Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Subproceso
Id
Activo
Caractersticas Interfaz que permite modificar, crear o eliminar algn recurso en el maestro de recursos. La informacin implicada es la relacin de materias primas que usa la empresa para crear sus productos. # usuarios= 20
Planificacin de Produccin
SIS - 01
Aplicacin: PRISM 7.0i Resource Management Plataforma: AS400 Tipo de aplicacin: Cliente/Servidor (Package) Servidor de base de datos relacional: IBM DB2 Interfaz que permite administrar el pedido de nuevas materias primas que se necesitan para la manufactura de algn producto determinado. La informacin implicada es la receta del producto, la relacin de materias primas, y los programas de produccin (Schedules) # usuarios= 20
Planificacin de Produccin
SIS - 02
Aplicacin: PRISM 7.0i Resource Processor Plataforma: AS400 Tipo de aplicacin: Cliente/Servidor (Package) Servidor de base de datos relacional: IBM DB2
Subproceso
Id
Activo
Caractersticas
Planificacin de Produccin
DOC - 01
Interfaz que permite modificar, crear o eliminar algn producto en el maestro de productos. La informacin implicada es el portafolio de productos que fabrica la empresa y sus caractersticas. # usuarios= 20 Aplicacin: PRISM 7.0i Resource Management Planificacin de Produccin SIS - 03 Interfaz de mantenimiento de productos Plataforma: AS400
Planificacin de Produccin
DOC - 02
Documentos impresos que con diversos reportes que se sacan del maestro de productos
Subproceso
Id
Activo
Caractersticas
Interfaz que permite crear nuevas rdenes de produccin, es decir programa la cantidad de materiales, cantidad de produccin, lneas, hornos, etc. La informacin que est implicada son las programaciones de produccin. # usuarios= 20 Planificacin de Produccin SIS - 04 Interfaz de mantenimiento de Ordenes de Produccin Aplicacin: PRISM 7.0i Planning Plataforma: AS400
Planificacin de Produccin
DOC - 03
Subproceso
Id
Activo
Caractersticas Interfaz que permite crear y modificar las ordenes de ejecucin de produccin, que indica la cantidad de operadores, programacin de hornos, tiempos de coccin, etc. La informacin que est implicada es la relacionada a las ordenes de trabajo de produccin # usuarios= 20
Planificacin de Produccin
SIS - 05
Planificacin de Produccin
DOC - 04
Subproceso
Id
Activo
Caractersticas
Sistema que se usa en todas las fases del proceso de produccin para hacer el seguimiento de los materiales, ordenes de proceso, programacin de manufactura, gestin de productos terminados, etc.
Planificacin de Produccin
# usuarios= 20 SIS - 06 Sistema de seguimiento de produccin Aplicacin: Q-Plant Servidor de 2GB Procesador: Intel Xeon 3.0 GHz Sistema operativo: Windows 2003 Server Motor de base de datos: SQL Server 2008 Procesador: Core i5 Sistema Operativo: Windows XP
Planificacin de Produccin
HW - 01
Subproceso
Id
Activo
Caractersticas Cintas de 20 GB para guardar los back up de toda la informacin sobre panificacin almacenada en la plataforma AS400
Planificacin de Produccin
HW- 02
Planificacin de Produccin
HW - 03
Robot que recibe las cintas, y luego copia la informacin de proceso de planificacin en ellas, ejecutando comandos desde la plataforma AS400
Pantalla tctil a colores ubicada al inicio de la lnea de produccin para monitorear la orden de proceso y orden de trabajo que se va a realizar Planificacin de Produccin HW - 04 Pantalla tctil con aplicacin Q-Plant # usuarios= 20 tamao: 15 pulgadas
Planificacin de Produccin
AF - 01
Cmaras de seguridad
Subproceso
Id
Activo
Caractersticas
Planificacin de Produccin
AF - 02
Impresoras
Planificacin de Produccin
SW - 01
Correo electronico
Planificacin de Produccin
SW - 02
Medios de almacenamiento con informacin confidencial que se encuentran en las oficinas de planeamiento.
Subproceso
Id
Activo
Caractersticas
Interfaz que permite hacer el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin. # usuarios= 25 Aplicacin: PRISM 7.0i Resource Management Proceso de Manufactura SIS - 07 Interfaz de trazabilidad de materiales en Produccin Plataforma: AS400
Proceso de Manufactura
DOC - 05
Documentos impresos que contienen diversos reportes de la trazabilidad de las transacciones internas de los materiales.
Subproceso
Id
Activo
Caractersticas
Interfaz que permite al usuario registrar cada consumo de materia prima o material intermedio que se da durante todo el proceso de manufactura. # usuarios= 123 Aplicacin: PRISM 7.0i Production Analysis Proceso de Manufactura SIS - 08 Interfaz de declaracin de consumo de materiales Plataforma: AS400
Proceso de Manufactura
DOC - 06
Documentos impresos que contienen diversos reportes de los consumos que se hacen de todos los materiales durante la manufactura.
10
Subproceso
Id
Activo
Caractersticas Interfaz que permite registrar cada vez que se haya terminado con la manufactura de algunos lotes de productos, es decir cuando se cumpla toda una orden de de produccin # usuarios= 123
Proceso de Manufactura
SIS - 09
Tipo de aplicacin: Cliente/Servidor (Package) Servidor de base de datos relacional: IBM DB2 Interfaz que permite iniciar la ejecucin del la orden de proceso de manufactura. # usuarios= 123 Aplicacin: PRISM 7.0i Production Analysis Proceso de Manufactura SIS - 10 Interfaz de ejecucin de Orden de Proceso Plataforma: AS400
11
Subproceso
Id
Activo
Caractersticas
Interfaz que permite surtir a la manufactura la cantidad necesaria de cada materia prima para la fabricacin de determinado producto # usuarios= 25 Proceso de Manufactura SIS - 11 Interfaz de Surtimiento de materiales a produccin Aplicacin: PRISM 7.0i Quick Scheduler Plataforma: AS400 Tipo de aplicacin: Cliente/Servidor (Package) Servidor de base de datos relacional: IBM DB2 Interfaz que permite modifica las unidades de medida de cada materia prima, as como las unidades de las cantidades de produccin # usuarios= 25 Proceso de Manufactura Interfaz de consulta y borrado de RS's y creacin de unidades de medida para las materias primas Aplicacin: PRISM 7.0i Resource Management Plataforma: AS400
SIS - 12
12
Subproceso
Id
Activo
Caractersticas Sistema que se usa en todas las fases del proceso de produccin para hacer el seguimiento de los materiales, ordenes de proceso, programacin de manufactura, gestin de productos terminados, etc. # usuarios= 123 Aplicacin: Q-Plant
Proceso de Manufactura
SIS - 13
Sistema de seguimiento de produccin Servidor de 2GB Procesador: Intel Xeon 3.0 GHz Sistema operativo: Windows 2003 Server Motor de base de datos: SQL Server 2008 Procesador: Core i5 Sistema Operativo: Windows XP
Proceso de Manufactura
HW - 05
13
Subproceso
Id
Activo
Caractersticas
Proceso de Manufactura
Cintas de 20 GB para guardar los back up de toda la informacin del proceso de manufactura almacenada en la plataforma AS400 HW - 06 Cintas de back up Proveedor para custodia: Iron Mountain Per
Proceso de Manufactura
HW - 07
Robot que recibe las cintas, y luego copia la informacin del proceso de manufactura en ellas, ejecutando comandos desde la plataforma AS400
Pantallas tctiles a colores ubicadas a lo largo de la lnea de produccin para monitorear todo el proceso de manufactura Proceso de Manufactura HW - 08 Pantallas tctiles con aplicacin Q-Plant # Usuarios = 20 tamao: 15 pulgadas
Proceso de Manufactura
AF - 03
Cmaras de seguridad
14
Subproceso
Id
Activo
Caractersticas
Proceso de Manufactura
AF - 04
Impresoras
Correos electrnicos de los usuarios y empleados que participan en este subproceso. Proceso de Manufactura Microsoft Exchange Server SW - 03 Correo electronico Microsoft Outlook 2010
Proceso de Manufactura
SW - 04
15
Subproceso
Id
Activo
Caractersticas Interfaz que permite realizar el mantenimiento de los controles de calidad de los productos. # usuarios= 20
Proceso de Calidad
SIS - 14
Proceso de Calidad
DOC - 07
Documentos impresos que contienen diversos reportes de resultados obtenidos en las pruebas de calidad de los productos.
16
Subproceso
Id
Activo
Caractersticas
Interfaz que permite gestionar los niveles de calidad que tendrn los productos.
# usuarios= 20 Aplicacin: PRISM 7.0i Quality Management Proceso de Calidad SIS - 15 Interfaz de gestin de calidad Plataforma: AS400
Proceso de Calidad
DOC - 08
Documento fsico con los niveles de calidad que tendrn los productos.
Documentos impresos que contienen los distintos niveles de calidad que se le han asignado a cada diferente producto que produce la empresa.
17
Subproceso
Id
Activo
Caractersticas Sistema que se usa en todas las fases del proceso de produccin para hacer el seguimiento de los materiales, ordeneces de proceso, programacin de manufactura, gestin de productos terminados, etc. # usuarios= 20 Aplicacin: Q-Plant
Proceso de Calidad
SIS - 16
Servidor de 2GB
Procesador: Intel Xeon 3.0 GHz Sistema operativo: Windows 2003 Server Motor de base de datos: SQL Server 2008 Procesador: Core i5 Proceso de Calidad Sistema Operativo: Windows XP
HW - 09
18
Subproceso
Id
Activo
Caractersticas
Proceso de Calidad
Cintas de 20 GB para guardar los back up de toda la informacin del proceso de calidad almacenada en la plataforma AS400 HW - 10 Cintas de back up Proveedor para custodia: Iron Mountain Per
Proceso de Calidad
HW - 11
Robot que recibe las cintas, y luego copia la informacin del proceso de calidad en ellas, ejecutando comandos desde la plataforma AS400
Pantallas tctiles a colores ubicadas a lo largo de la lnea de produccin para monitorear todo el proceso de manufactura Proceso de Calidad HW - 12 Pantallas tctiles con aplicacin Q-Plant # Usuarios = 20 tamao: 15 pulgadas
Proceso de Calidad
AF - 05
Cmaras de seguridad
19
Proceso de Calidad
AF - 06
Impresoras
Proceso de Calidad
Proceso de Calidad
SW - 06
20
Subproceso
Id
Activo
Caractersticas
Interfaz que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa en cierto momento.
# usuarios= 17 Aplicacin: PRISM 7.0i Resource Management Bodegas e inventarios SIS - 17 Interfaz de generacin de reportes de inventarios Plataforma: AS400
Bodegas e inventarios
DOC - 09
Documentos impresos que contienen los distintos reportes de inventarios de las bodegas y almacenes de la empresa.
21
Subproceso
Id
Activo
Caractersticas Interfaz que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes o puntos de distribucin. # usuarios= 17
Bodegas e inventarios
SIS - 18
Tipo de aplicacin: Cliente/Servidor (Package) Servidor de base de datos relacional: IBM DB2 Interfaz que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa # usuarios= 17 Bodegas e inventarios Interfaz para traslado de materias primas y productos entre plantas Aplicacin: PRISM 7.0i Resource Management Plataforma: AS400 Tipo de aplicacin: Cliente/Servidor (Package) Servidor de base de datos relacional: IBM DB2
SIS - 19
22
Subproceso
Id
Activo
Caractersticas Sistema que se usa en todas las fases del proceso de produccin para hacer el seguimiento de los materiales, ordeneces de proceso, programacin de manufactura, gestin de productos terminados, etc.
# usuarios= 20 Aplicacin: Q-Plant Bodegas e inventarios SIS - 20 Sistema de seguimiento de produccin (q-plant) Servidor de 2GB
Procesador: Intel Xeon 3.0 GHz Sistema operativo: Windows 2003 Server Motor de base de datos: SQL Server 2008
Bodegas e inventarios
DOC - 10
Registro en Microsoft Excel de la mercanca almacenada en las bodegas. Este registro contiene toda la informacin de las mercancas como cantidad, valor de medida, precio, etc.
23
Subproceso
Id
Activo
Caractersticas
Procesador: Core i5
Bodegas e inventarios
HW - 14
Cintas de back up
Cintas de 20 GB para guardar los back up de toda la informacin de bodegas e inventarios almacenada en la plataforma AS400 Proveedor para custodia: Iron Mountain Per
Bodegas e inventarios
HW - 15
Robot que recibe las cintas, y luego copia la informacin de las bodegas e inventarios en ellas, ejecutando comandos desde la plataforma AS400
24
Subproceso
Id
Activo
Caractersticas
Pantalla tctil a colores ubicada al final de la lnea de produccin para monitorear el almacenaje de los productos terminados. Bodegas e inventarios HW - 16 Pantallas tctiles con aplicacin QPlant tamao: 15 pulgadas
Bodegas e inventarios
AF - 07
Cmaras de seguridad
Bodegas e inventarios
AF - 08
Impresoras
25
Subproceso
Id
Activo
Caractersticas
Bodegas e inventarios
SW - 08
26
27
Subproceso
Id
Activo Interfaz para modificar, dar de alta y baja materiales Interfaz para administrar pedidos de materiales Interfaz de mantenimiento de productos
Vulnerabilidad
Amenaza
SIS - 01
SIS - 02
SIS - 04
SIS - 05
SIS - 06
Subproceso
Id
Vulnerabilidad
Amenaza
SIS - 01
SIS - 02
SIS - 03
Interfaz de mantenimiento de productos Puntos de acceso al sistema remotos a la red privada de la empresa Accesos de personas no autorizadas al sistema e intercepcin de la red
Planificacin de Produccin
SIS - 04
SIS - 05
SIS - 06
Subproceso
Id
Vulnerabilidad
Amenaza
SIS - 01
SIS - 02
Interfaz para administrar pedidos de materiales Interfaz de mantenimiento de productos Sistema operativo vulnerable Interfaz de mantenimiento de Ordenes de Produccin Sistema de mantenimiento de Ordenes de trabajos de Produccin Sistema de seguimiento de produccin Interfaz para modificar, dar de alta y baja materiales Interfaz para administrar pedidos de materiales Acceso de personas ajenas a la empresa que pueden robar informacin.
SIS - 05
SIS - 06
Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas.
Subproceso
Id SIS - 03
Vulnerabilidad
Amenaza
Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas.
SIS - 06
Sistema de seguimiento de produccin Interfaz para modificar, dar de alta y baja materiales Interfaz para administrar pedidos de materiales Interfaz de mantenimiento de productos Interfaz de mantenimiento de Ordenes de Produccin
SIS - 01
Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso.
SIS - 04
Subproceso
Id
Vulnerabilidad
Amenaza
Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso.
Sistema de seguimiento de produccin Interfaz para modificar, dar de alta y baja materiales
SIS - 01
SIS - 02
Interfaz de mantenimiento de productos Aplicacin desactualizada o parchada incorrectamente Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada.
SIS - 05
SIS - 06
Subproceso
Id
Activo
Vulnerabilidad
Amenaza
SIS - 01
Interfaz para modificar, dar de alta y baja materiales Interfaz para administrar pedidos de materiales Interfaz de mantenimiento de productos Interfaz de mantenimiento de Ordenes de Produccin Sistema de mantenimiento de Ordenes de trabajos de Produccin Sistema de seguimiento de produccin
Interfaz para modificar, dar de alta y baja materiales Falta de bitcoras de acceso al sistema Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
SIS - 02
SIS - 04
Uso inadecuado de la aplicacin y su informacin por parte de los usuarios debido a desconocimiento pudiendo causar daos al sistema o a la informacin.
SIS - 05
SIS - 06
Subproceso
Id SIS - 03
Vulnerabilidad
Amenaza
Interfaz de mantenimiento de Ordenes de Produccin Falta de bitcoras de acceso al sistema Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
SIS - 06
Sistema de seguimiento de produccin Documento fsico con lista de pedido de materiales Documento fsico con reportes del maestro de productos. Documentos impresos que contienen diversos reportes de las rdenes de produccin. Documento fsico con reportes de las rdenes de produccin. Poca higiene en el lugar donde se guarda el documento. Deterioro permanente de los documentos.
Subproceso
Activo Documento fsico con lista de pedido de materiales Documento fsico con reportes del maestro de productos. Documentos impresos que contienen diversos reportes de las ordenes de produccin. Documento fsico con reportes de las ordenes de produccin. Documento fsico con lista de pedido de materiales Documento fsico con reportes del maestro de productos.
Vulnerabilidad
Amenaza
Planificacin de Produccin
Acceso a los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
Planificacin de Produccin
DOC 03
Acceso a las copias de los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
Documento fsico con reportes de las rdenes de produccin. Documento fsico con lista de pedido de materiales Falta de contraseas y controles para el manejo de las impresoras y fotocopiadoras. Manejo de las impresoras/fotocopiadoras del rea por parte de usuarios inadecuados.
Subproceso
Id DOC 02
Vulnerabilidad
Amenaza
Planificacin de Produccin
DOC 03
DOC 04
DOC 01
Documento fsico con reportes del maestro de productos. Falta de polticas para el adecuado manejo de documentos impresos, con informacin importante. Documentos impresos que contienen diversos reportes de las rdenes de produccin. Manejo inadecuado de los documentos y/o sus copias por parte de los usuarios de la empresa debido al desconocimiento.
DOC 04
10
Subproceso
Id
Activo
Vulnerabilidad
Amenaza Acceso a las oficinas donde se encuentran las PC's, por parte de personas ajenas a la empresa o por personal no autorizado.
Desconocimiento sobre los intentos de accesos y acciones en las PC's de las oficinas de Planificacin por parte de cada usuario.
Planificacin de Produccin
HW - 01
PC's en el rea de Planificacin Falta de correcta identificacin de usuarios y contraseas para acceder a la PC. Filtraciones de informacin y accesos no autorizados a las PC's de la oficina de planificacin por parte de usuarios no autorizados o ajenos a la empresa.
Falta de seguridad de la red interna median la cual estn interconectadas las PC's
Interceptacin de la red de la empresa por parte de personas ajenas al negocio o usuarios sin autorizacin.
11
Subproceso
Id
Activo
Vulnerabilidad Falta de control de acceso al lugar donde se encuentra guardadas las cintas. Poca higiene en el lugar donde se guarda las cintas. Falta de control de acceso al lugar donde se encuentra el robot. Falta de control para el manejo del robot. Falta de correcta identificacin de usuarios y contraseas para acceder a la pantalla.
Amenaza Acceso a las cintas por parte de personas ajenas a la empresa o por usuarios inadecuados.
Planificacin de Produccin
HW - 02
Cintas de back up
Deterioro permanente de las cintas. Acceso al robot por parte de personas ajenas a la empresa o por usuarios inadecuados. Manejo del robot por parte de personas ajenas a la empresa o sin autorizacin Fcil acceso a las pantallas por parte de personas ajenas a la empresa o por usuarios inadecuados.
Planificacin de Produccin
HW - 03
Planificacin de Produccin|
HW - 04
Pantalla tctil con aplicacin QPlant Ubicacin inadecuada de la pantalla. Falta de control de acceso a la central de vigilancia donde se encuentra los monitores y dems equipos donde se ven las imgenes de las cmaras. Ubicacin inadecuada de las cmaras.
Visibilidad de lo que muestra las pantallas por parte de personas no autorizadas o daos graves a las pantallas debido a su mala ubicacin
Planificacin de Produccin|
AF - 01
Cmaras de seguridad
Fcil acceso a la central de vigilancia por parte de personas ajenas a la empresa o por usuarios no autorizados. Facilidad de manipulacin de las cmaras por parte de personal no autorizado.
12
Planificacin de Produccin
Falta de contraseas y controles para el manejo de las impresoras. AF - 02 Impresoras Falta de bitcoras de seguimiento del manejo de la impresora. Falta de Antivirus y Antispam para contrarrestar los virus que puedan contener los correos maliciosos. Mala configuracin de los firewall Falta de proteccin de los servidores de correo electronico SW - 01 Correo electrnico Acceso remoto al correo electronico poco seguro Falta de polticas para el correcto uso del correo electronico de la empresa. Medios de almacenamiento electrnico porttil (CD/DVD/USB) Falta de control de acceso al lugar donde se encuentra guardados los medios de almacenamiento.
Facilidad de acceso y manejo de la impresora del rea de planificacin por parte de personas sin autorizacin y ajenas al subproceso o a la empresa. Desconocimiento sobre los intentos de accesos y acciones en las impresoras de las oficinas de Planificacin por parte de cada usuario. Penetracin y propagacin de virus y spam en la red interna de la empresa mediante emails maliciosos. Accesos maliciosos mediante correos electrnicos. Ataques a los servidores de correo electronico por parte de personas ajenas a la organizacin. Acceso al correo electronico de los usuarios del rea de planificacin por parte de personas no autorizadas. Uso inadecuado del correo electrnico por parte de los usuarios debido a desconocimiento.
Planificacin de Produccin
Planificacin de Produccin
SW - 02
Fcil acceso a lugar donde se guardan los medios de almacenamiento por parte de personas no autorizadas o ajenas a la empresa.
13
Subproceso
Id SIS 07
Activo Interfaz de trazabilidad de materiales en Produccin Interfaz de declaracin de consumo de materiales Interfaz de declaracin de producto terminado Interfaz de ejecucin de Orden de Proceso
Vulnerabilidad
Amenaza
SIS 08
SIS 09
Proceso de Manufactura
SIS 10
SIS 11
SIS 12
Interfaz de consulta y borrado de RS's y creacin de unidades de medida para las materias primas Sistema de seguimiento de produccin
SIS 13
14
Subproceso
Id SIS 07
Vulnerabilidad
Amenaza
SIS 08
SIS 09
Proceso de Manufactura
SIS 10
SIS 11
SIS 12
Interfaz de consulta y borrado de RS's y creacin de unidades de medida para las materias primas Sistema de seguimiento de produccin
SIS 13
15
Subproceso
Id SIS 07
Vulnerabilidad
Amenaza
SIS 08
SIS 09
ceso de Manufactura
SIS 10
SIS 11
SIS 12
Interfaz de consulta y borrado de RS's y creacin de unidades de medida para las materias primas Sistema de seguimiento de produccin
SIS 13
16
Subproceso
Id SIS 07
Vulnerabilidad
Amenaza
SIS 08
SIS 09
Proceso de Manufactura
SIS 10
Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas.
SIS 11
SIS 12
Interfaz de consulta y borrado de RS's y creacin de unidades de medida para las materias primas Sistema de seguimiento de produccin
SIS 13
17
Subproceso
Id SIS 07
Vulnerabilidad
Amenaza
SIS 08
SIS 09
Proceso de Manufactura
SIS 10
Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso.
SIS 11
SIS 12
Interfaz de consulta y borrado de RS's y creacin de unidades de medida para las materias primas Sistema de seguimiento de produccin
SIS 13
18
Subproceso
Id SIS 07
Vulnerabilidad
Amenaza
SIS 08
SIS 09
Proceso de Manufactura
SIS 10
SIS 11
SIS 12
Interfaz de consulta y borrado de RS's y creacin de unidades de medida para las materias primas
SIS 13
19
Subproceso
Id SIS 07
Vulnerabilidad
Amenaza
SIS 08
SIS 09
Proceso de Manufactura
SIS 10
Uso inadecuado de la aplicacin y su informacin por parte de los usuarios debido a desconocimiento pudiendo causar daos al sistema o a la informacin.
SIS 11
SIS 12
Interfaz de consulta y borrado de RS's y creacin de unidades de medida para las materias primas
SIS 13
20
Subproceso
Id SIS 07
Activo Interfaz de trazabilidad de materiales en Produccin Interfaz de declaracin de consumo de materiales Interfaz de declaracin de producto terminado
Vulnerabilidad
Amenaza
SIS 08
SIS 09
Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
SIS 12
Interfaz de consulta y borrado de RS's y creacin de unidades de medida para las materias primas
SIS 13
21
Subproceso
Id
Vulnerabilidad
Amenaza
Poca higiene en el lugar donde se guarda el documento. Documento fsico con reportes del maestro de productos.
Documento fsico con lista de pedido de materiales Falta de control de acceso al lugar donde se guarda el documento. Documento fsico con reportes del maestro de productos. Acceso a los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
Documento fsico con lista de pedido de materiales Falta de manejo adecuado de las copias de los documentos Documento fsico con reportes del maestro de productos. Acceso a las copias de los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
22
Subproceso
Id
Vulnerabilidad
Amenaza
Falta de contraseas y controles para el manejo de las impresoras y fotocopiadoras. Documento fsico con reportes del maestro de productos.
Documento fsico con lista de pedido de materiales Falta de polticas para el adecuado manejo de documentos impresos, con informacin importante. Documento fsico con reportes del maestro de productos. Manejo inadecuado de los documentos y/o sus copias por parte de los usuarios de la empresa debido al desconocimiento.
Falta de control de acceso al lugar donde se encuentra las PC's Proceso de Manufactura HW - 05 PC's en planta Falta de bitcoras de acceso a la PC.
Acceso a las oficinas donde se encuentran las PC's, por parte de personas ajenas a la empresa o por personal no autorizado.
Desconocimiento sobre los intentos de accesos y acciones en las PC's de las oficinas de Planificacin por parte de cada usuario.
23
Subproceso
Id
Activo
Amenaza Filtraciones de informacin y accesos no autorizados a las PC's de la oficina de planificacin por parte de usuarios no autorizados o ajenos a la empresa.
Proceso de Manufactura
HW - 05
PC's en planta Falta de seguridad de la red interna median la cual estn interconectadas las PC's Falta de control de acceso al lugar donde se encuentra guardadas las cintas. Poca higiene en el lugar donde se guarda las cintas. Falta de control de acceso al lugar donde se encuentra el robot. Interceptacin de la red de la empresa por parte de personas ajenas al negocio o usuarios sin autorizacin. Acceso a las cintas por parte de personas ajenas a la empresa o por usuarios inadecuados. Deterioro permanente de las cintas. Acceso al robot por parte de personas ajenas a la empresa o por usuarios inadecuados. Manejo del robot por parte de personas ajenas a la empresa o sin autorizacin
Proceso de Manufactura
HW 06
Cintas de back up
Proceso de Manufactura
HW 07
Falta de control para el manejo del robot. Falta de correcta identificacin de usuarios y contraseas para acceder a la pantalla.
Fcil acceso a las pantallas por parte de personas ajenas a la empresa o por usuarios inadecuados.
Proceso de Manufactura
HW - 08
Visibilidad de lo que muestra las pantallas por parte de personas no autorizadas o daos graves a las pantallas debido a su mala ubicacin
24
Subproceso
Id
Activo
Vulnerabilidad Falta de control de acceso a la central de vigilancia donde se encuentra los monitores y dems equipos donde se ven las imgenes de las cmaras. Ubicacin inadecuada de las cmaras. Falta de contraseas y controles para el manejo de las impresoras.
Amenaza Fcil acceso a la central de vigilancia por parte de personas ajenas a la empresa o por usuarios no autorizados. Facilidad de manipulacin de las cmaras por parte de personal no autorizado. Facilidad de acceso y manejo de la impresora del rea de planificacin por parte de personas sin autorizacin y ajenas al subproceso o a la empresa. Desconocimiento sobre los intentos de accesos y acciones en las impresoras de las oficinas de Planificacin por parte de cada usuario. Penetracin y propagacin de virus y spam en la red interna de la empresa mediante emails maliciosos. Accesos maliciosos mediante correos electrnicos. Ataques a los servidores de correo electronico por parte de personas ajenas a la organizacin. Acceso al correo electronico de los usuarios del rea de planificacin por parte de personas no autorizadas. Uso inadecuado del correo electrnico por parte de los usuarios debido a desconocimiento.
Proceso de Manufactura
AF - 03
Cmaras de seguridad
Proceso de Manufactura
AF - 04
Impresoras Falta de bitcoras de seguimiento del manejo de la impresora. Falta de Antivirus y Antispam para contrarrestar los virus que puedan contener los correos maliciosos. Mala configuracin de los firewall Falta de proteccin de los servidores de correo electronico
Proceso de Manufactura
SW - 03
Correo electrnico Acceso remoto al correo electronico poco seguro Falta de polticas para el correcto uso del correo electronico de la empresa.
25
Id
Vulnerabilidad Falta de control de acceso al lugar donde se encuentra guardados los medios de almacenamiento.
Amenaza Fcil acceso a lugar donde se guardan los medios de almacenamiento por parte de personas no autorizadas o ajenas a la empresa.
SW - 04
26
Subproceso
Id
Activo Interfaz de control del procesos de Calidad Interfaz de gestin de calidad Sistema de seguimiento de produccin (q-plant) Interfaz de control del procesos de Calidad Interfaz de gestin de calidad Sistema de seguimiento de produccin (q-plant) Interfaz de control del procesos de Calidad Interfaz de gestin de calidad Sistema de seguimiento de produccin (q-plant)
Vulnerabilidades
Amenazas
SIS - 15
SIS - 16
27
Subproceso
Id SIS - 14
Activo Interfaz de control del procesos de Calidad Interfaz de gestin de calidad Sistema de seguimiento de produccin (q-plant) Interfaz de control del procesos de Calidad
Vulnerabilidades
Amenazas
Proceso de Calidad
SIS - 15
Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso.
SIS - 16
SIS - 15
Interfaz de gestin de calidad Sistema de seguimiento de produccin (q-plant) Interfaz de control del procesos de Calidad Interfaz de gestin de calidad
SIS - 16
Uso inadecuado de la aplicacin por parte de los usuarios debido a desconocimiento pudiendo causar daos al sistema o a la informacin.
SIS - 16
28
Subproceso
Id
Vulnerabilidades
Amenazas
SIS - 14
Proceso de Calidad
SIS - 15
Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
SIS - 16
Documento fsico con reportes de resultados de los controles de calidad Poca higiene en el lugar donde se guarda el documento. Documento fsico con los niveles de calidad que tendrn los productos. Deterioro permanente de los documentos.
Documento fsico con reportes de resultados de los controles de calidad Documento fsico con los niveles de calidad que tendrn los productos.
Acceso a los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
29
Subproceso
Id
Vulnerabilidades
Amenazas
Falta de manejo adecuado de las copias de los documentos Documento fsico con los niveles de calidad que tendrn los productos.
Acceso a las copias de los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
Documento fsico con los niveles de calidad que tendrn los productos.
Documento fsico con reportes de resultados de los controles de calidad Falta de polticas para el adecuado manejo de documentos impresos, con informacin importante. Documento fsico con los niveles de calidad que tendrn los productos. Manejo inadecuado de los documentos y/o sus copias por parte de los usuarios de la empresa debido al desconocimiento.
30
Subproceso
Id
Activo
Vulnerabilidades
Amenazas Acceso a las oficinas donde se encuentran las PC's, por parte de personas ajenas a la empresa o por personal no autorizado.
Desconocimiento sobre los intentos de accesos y acciones en las PC's de las oficinas de Planificacin por parte de cada usuario.
Proceso de
Calidad
HW - 09
PC's en las oficinas de Calidad Falta de correcta identificacin de usuarios y contraseas para acceder a la PC. Filtraciones de informacin y accesos no autorizados a las PC's de la oficina de planificacin por parte de usuarios no autorizados o ajenos a la empresa.
Falta de seguridad de la red interna median la cual estn interconectadas las PC's Falta de control de acceso al lugar donde se encuentra guardadas las cintas. Poca higiene en el lugar donde se guarda las cintas.
Interceptacin de la red de la empresa por parte de personas ajenas al negocio o usuarios sin autorizacin.
Proceso de Calidad
HW 10
Acceso a las cintas por parte de personas ajenas a la empresa o por usuarios inadecuados. Deterioro permanente de las cintas.
Cintas de back up
31
Id
Vulnerabilidades Falta de control de acceso al lugar donde se encuentra el robot. Falta de control para el manejo del robot. Falta de correcta identificacin de usuarios y contraseas para acceder a la pantalla.
Amenazas Acceso al robot por parte de personas ajenas a la empresa o por usuarios inadecuados. Manejo del robot por parte de personas ajenas a la empresa o sin autorizacin Fcil acceso a las pantallas por parte de personas ajenas a la empresa o por usuarios inadecuados.
HW 11
Proceso de Calidad
HW - 12
Visibilidad de lo que muestra las pantallas por parte de personas no autorizadas o daos graves a las pantallas debido a su mala ubicacin
Proceso de Calidad
AF - 05
Cmaras de seguridad
Falta de control de acceso a la central de vigilancia donde se encuentra los monitores y dems equipos donde se ven las imgenes de las cmaras. Ubicacin inadecuada de las cmaras. Falta de contraseas y controles para el manejo de las impresoras.
Fcil acceso a la central de vigilancia por parte de personas ajenas a la empresa o por usuarios no autorizados. Facilidad de manipulacin de las cmaras por parte de personal no autorizado. Facilidad de acceso y manejo de la impresora del rea de planificacin por parte de personas sin autorizacin y ajenas al subproceso o a la empresa. Desconocimiento sobre los intentos de accesos y acciones en las impresoras de las oficinas de Planificacin por parte de cada usuario.
Proceso de Calidad
AF - 06
32
Subproceso
Id
Activo
Vulnerabilidades Falta de Antivirus y Antispam para contrarrestar los virus que puedan contener los correos maliciosos. Mala configuracin de los firewall Falta de proteccin de los servidores de correo electronico
Amenazas Penetracin y propagacin de virus y spam en la red interna de la empresa mediante emails maliciosos. Accesos maliciosos mediante correos electrnicos. Ataques a los servidores de correo electronico por parte de personas ajenas a la organizacin. Acceso al correo electronico de los usuarios del rea de planificacin por parte de personas no autorizadas. Uso inadecuado del correo electrnico por parte de los usuarios debido a desconocimiento.
Proceso de Calidad
SW 05
Correo electrnico Acceso remoto al correo electronico poco seguro Falta de polticas para el correcto uso del correo electronico de la empresa. Medios de almacenamiento electrnico porttil (CD/DVD/USB) Falta de control de acceso al lugar donde se encuentra guardados los medios de almacenamiento.
Proceso de Calidad
SW - 06
Fcil acceso a lugar donde se guardan los medios de almacenamiento por parte de personas no autorizadas o ajenas a la empresa.
33
Subproceso
SIS 19
SIS - 20
SIS 17
SIS - 20
34
Subproceso
Id SIS 17
Activo Interfaz de generacin de reportes de inventarios Interfaz de entrega de salida de productos terminados
Vulnerabilidades
Amenazas
SIS 20
SIS 17
Bodegas e inventarios
SIS 18
Interfaz de entrega de salida de productos terminados Interfaz para traslado de materias primas y productos entre plantas Sistema de seguimiento de produccin (q-plant)
Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso.
SIS 19
SIS - 20
35
Subproceso
Id SIS 17
Activo Interfaz de generacin de reportes de inventarios Interfaz de entrega de salida de productos terminados
Vulnerabilidades
Amenazas
SIS 20
SIS 17
Bodegas e inventarios
SIS 18
Interfaz de entrega de salida de productos terminados Interfaz para traslado de materias primas y productos entre plantas Sistema de seguimiento de produccin (q-plant)
Uso inadecuado de la aplicacin por parte de los usuarios debido a desconocimiento pudiendo causar daos al sistema o a la informacin.
SIS 19
SIS - 20
36
Subproceso
Id SIS 17 SIS 18
Activo Interfaz de generacin de reportes de inventarios Interfaz de entrega de salida de productos terminados Interfaz para traslado de materias primas y productos entre plantas Sistema de seguimiento de produccin (q-plant)
Vulnerabilidades
Amenazas
Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Falta de polticas para el adecuado manejo de documentos impresos, con informacin importante
Manejo inadecuado de los documentos y/o sus copias por parte de los usuarios de la empresa debido al desconocimiento.
Falta de control de acceso al archivo Filtraciones de informacin y accesos no autorizados digital.. al archivo digital.
Lectura y/o modificacin de los datos que contiene el documento del Kardex, por parte de personas no autorizadas.
37
Subproceso
Id
Activo
Vulnerabilidades
Amenazas Acceso a las oficinas donde se encuentran las PC's, por parte de personas ajenas a la empresa o por personal no autorizado.
Desconocimiento sobre los intentos de accesos y acciones en las PC's de las oficinas de Planificacin por parte de cada usuario.
Bodegas e inventarios
HW - 13
PC's en las bodegas y almacenes Filtraciones de informacin y accesos no Falta de correcta identificacin de autorizados a las PC's de la oficina de planificacin usuarios y contraseas para acceder por parte de usuarios no autorizados o ajenos a la a la PC. empresa.
Falta de seguridad de la red interna Interceptacin de la red de la empresa por parte de median la cual estn interconectadas personas ajenas al negocio o usuarios sin las PC's autorizacin. Falta de control de acceso al lugar donde se encuentra guardadas las cintas. Poca higiene en el lugar donde se guarda las cintas.
Bodegas e inventarios
HW 14
Acceso a las cintas por parte de personas ajenas a la empresa o por usuarios inadecuados. Deterioro permanente de las cintas.
Cintas de back up
38
Id
Vulnerabilidades Falta de control de acceso al lugar donde se encuentra el robot. Falta de control para el manejo del robot. Falta de correcta identificacin de usuarios y contraseas para acceder a la pantalla.
Amenazas Acceso al robot por parte de personas ajenas a la empresa o por usuarios inadecuados. Manejo del robot por parte de personas ajenas a la empresa o sin autorizacin Fcil acceso a las pantallas por parte de personas ajenas a la empresa o por usuarios inadecuados.
HW 15
Bodegas e inventarios
HW 16
Visibilidad de lo que muestra las pantallas por parte de personas no autorizadas o daos graves a las pantallas debido a su mala ubicacin
Bodegas e inventarios
AF 07
Cmaras de seguridad
Falta de control de acceso a la central de vigilancia donde se encuentra los monitores y dems equipos donde se ven las imgenes de las cmaras. Ubicacin inadecuada de las cmaras. Falta de contraseas y controles para el manejo de las impresoras.
Fcil acceso a la central de vigilancia por parte de personas ajenas a la empresa o por usuarios no autorizados. Facilidad de manipulacin de las cmaras por parte de personal no autorizado. Facilidad de acceso y manejo de la impresora del rea de planificacin por parte de personas sin autorizacin y ajenas al subproceso o a la empresa. Desconocimiento sobre los intentos de accesos y acciones en las impresoras de las oficinas de Planificacin por parte de cada usuario.
Bodegas e inventarios
AF - 08
39
Subproceso
Id
Activo
Vulnerabilidades Falta de Antivirus y Antispam para contrarrestar los virus que puedan contener los correos maliciosos. Mala configuracin de los firewall Falta de proteccin de los servidores de correo electrnico
Amenazas Penetracin y propagacin de virus y spam en la red interna de la empresa mediante emails maliciosos. Accesos maliciosos mediante correos electrnicos. Ataques a los servidores de correo electrnico por parte de personas ajenas a la organizacin. Acceso al correo electrnico de los usuarios del rea de planificacin por parte de personas no autorizadas. Uso inadecuado del correo electrnico por parte de los usuarios debido a desconocimiento.
Bodegas e inventarios
SW 07
Correo electrnico Acceso remoto al correo electrnico poco seguro Falta de polticas para el correcto uso del correo electrnico de la empresa. Medios de almacenamiento electrnico porttil (CD/DVD/USB) Falta de control de acceso al lugar donde se encuentra guardados los medios de almacenamiento.
Bodegas e inventarios
SW - 08
Fcil acceso a lugar donde se guardan los medios de almacenamiento por parte de personas no autorizadas o ajenas a la empresa.
40
41
Id
Filtraciones de informacin y accesos no autorizados el sistema. Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. SIS - 01 Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento pudiendo causar daos al sistema o a la informacin. Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Alta
Alta
Mayor
Alta
Mayor
Alta
Mayor
Alta
Mayor
Alta
Mayor
Alta
Mayor
Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Media
Significativo
impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
Id
Amenazas
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos , por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de personas ajenas a la empresa. Robo de la informacin, sobre los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de usuarios inadecuados. Prdida o dao a la informacin o al sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de hackers. Prdida o dao a la informacin o al sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin
Prioridad
Impacto Gravedad Tipo descripcin Impacto cualitativo muy alto debido a la prdida de credibilidad en los mercados, dao a la Reputacin de la empresa, prdida de confianza por parte de los clientes y los proveedores. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Alta
Catastrfico
Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Alta
Catastrfico
Alta
Catastrfico
Robo de informacin confidencial y su posible revelacin a terceros Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de Oportunidades de negocio.
Alta
Catastrfico
impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los retrasos de en produccin, las fallas en la calidad, etc.
SIS - 02
Alta
Catastrfico
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativo alta ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los retrasos de en produccin, las fallas en la calidad, etc. Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
Alta
Catastrfico
Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Falta de captura y demanda contra el autor del dao o perjuicio a la aplicacin.
Alta
Catastrfico
Media
Significativo
Id
Amenazas
Riesgos
Prioridad
Media
Poco Significativo
Impacto medio ya que los documentos pueden volver a ser impresos a travs de la aplicacin.
Acceso a los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
Robo de los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin.
Media
Significativo
Impacto cualitativo medio porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
DOC 01
Acceso a las copias de los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados
Robo de las copias los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin.
Media
Significativo
Impacto cualitativo medio porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Robo de la informacin contenida en los documentos sobre la lista de pedidos de materiales, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Media
Significativo
Impacto cualitativo medio porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Manejo inadecuado de los documentos y/o sus copias por parte de los usuarios de la empresa debido al desconocimiento.
Prdida o dao a los documentos que contienen la informacin sobre las listas de pedidos de materiales para la fabricacin de sus productos, por parte de los usuarios debido a desconocimiento.
Media
Significativo
Impacto cualitativo medio porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Tipo Robo de informacin confidencial y su posible revelacin a terceros. descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Alta
Mayor
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de personas ajenas a la empresa.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Robo de la informacin, sobre el catalogo de productos que fabrica la empresa, por parte de personas sin autorizacin.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativo alta ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativo alta ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
SIS - 03
Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de personas sin autorizacin.
Alta
Mayor
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de usuarios inadecuados. Prdida o dao a la informacin o al sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de hackers. Prdida o dao a la informacin o al sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de los usuarios debido a desconocimiento. Prdida o dao a la informacin o al sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de los usuarios debido a desconocimiento.
Alta
Mayor
Alta
Mayor
Alta
Mayor
Media
Significativo
Id
Amenazas
Riesgos
Prioridad
Media
Poco Significativo
Impacto medio ya que los documentos pueden volver a ser impresos a travs de la aplicacin.
Acceso a los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
Robo de los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin.
Alta
Significativo
Impacto cualitativo medio porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
DOC 02
Acceso a las copias de los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados
Robo de las copias los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin.
Alta
Significativo
Impacto cualitativo medio porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Robo de la informacin contenida en los documentos sobre la lista de pedidos de materiales, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Significativo
Impacto cualitativo medio porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Manejo inadecuado de los documentos y/o sus copias por parte de los usuarios de la empresa debido al desconocimiento.
Prdida o dao a los documentos que contienen la informacin sobre las listas de pedidos de materiales para la fabricacin de sus productos, por parte de los usuarios debido a desconocimiento.
Alta
Significativo
Impacto cualitativo medio porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de produccin de la empresa, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Tipo Posible impacto en la imagen de la empresa ante terceros. descripcin Impacto cualitativo muy alto debido a la prdida de credibilidad en los mercados, dao a lareputacin de la empresa, prdida de confianza por parte de los clientes y los proveedores. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial..
Alta
Catastrfico
Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de produccin de la empresa , por parte de personas ajenas a la empresa.
Alta
Catastrfico
Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada.
Robo de la informacin, sobre las ordenes de produccin de la empresa, por parte de personas sin autorizacin.
Alta
Catastrfico
Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida deoportunidades de negocio. Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida deoportunidades de negocio. Dao ocasionado a lo clientes mediante la distribucin de productos de poca calidad o dainos
impacto cualitativo muy alto ya que es difcil medir el coste deoportunidad por no poder utilizar estos recursos para la empresa.
Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de produccin de la empresa, por parte de personas sin autorizacin.
Alta
Catastrfico
impacto cualitativo muy alto ya que es difcil medir el coste deoportunidad por no poder utilizar estos recursos para la empresa.
SIS - 04
Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de produccin de la empresa, por parte de usuarios inadecuados.
Alta
Catastrfico
Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Prdida o dao a la informacin o al sistema, que maneja las ordenes de produccin de la empresa, por parte de hackers.
Alta
Catastrfico
impacto cualitativo muy alto ya que es difcil medir el coste deoportunidad por no poder utilizar estos recursos para la empresa.
Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Prdida o dao a la informacin o al sistema, que maneja las ordenes de produccin de la empresa, por parte de los usuarios debido a desconocimiento.
Alta
Catastrfico
Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Media
Importante
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
Id
Amenazas
Riesgos
Prioridad
Media
Poco Significativo
Impacto medio ya que los documentos pueden volver a ser impresos a travs de la aplicacin.
Acceso a los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
Robo de los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
DOC 03
Acceso a las copias de los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados
Robo de las copias los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Robo de la informacin contenida en los documentos sobre la lista de pedidos de materiales, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Manejo inadecuado de los documentos y/o sus copias Prdida o dao a los documentos que contienen la por parte de los usuarios de la informacin sobre las rdenes de produccin, por parte de los empresa debido al usuarios debido a desconocimiento. desconocimiento.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de trabajo de produccin de la empresa, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Tipo Posible impacto en la imagen de la empresa ante terceros. descripcin Impacto cualitativo muy alto debido a la prdida de credibilidad en los mercados, dao a la reputacin de la empresa, prdida de confianza por parte de los clientes y los proveedores. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial..
Alta
Catastrfico
Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de trabajos de produccin de la empresa , por parte de personas ajenas a la empresa.
Alta
Catastrfico
Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Robo de la informacin, sobre las ordenes de trabajo de produccin de la empresa, por parte de personas sin autorizacin.
Alta
Catastrfico
Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Dao ocasionado a lo clientes mediante la distribucin de productos de poca calidad o dainos Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Falta de captura y demanda contra el autor del dao o perjuicio a la aplicacin.
impacto cualitativo muy alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de trabajo de produccin de la empresa, por parte de personas sin autorizacin.
Alta
Catastrfico
impacto cualitativo muy alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
SIS - 05
Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de trabajo de produccin de la empresa, por parte de usuarios inadecuados.
Alta
Catastrfico
Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Prdida o dao a la informacin o al sistema, que maneja las ordenes de trabajo de produccin de la empresa, por parte de hackers. Prdida o dao a la informacin o al sistema, que maneja las ordenes de trabajo de produccin de la empresa, por parte de los usuarios debido a desconocimiento.
Alta
Catastrfico
impacto cualitativo muy alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
Alta
Catastrfico
Imposibilidad de identificar al o a los usuarios culpables de algun robo o dao a la informacin o a la aplicacin.
Media
Importante
Id
Amenazas
Riesgos
Prioridad
Media
Poco Significativo
Impacto medio ya que los documentos pueden volver a ser impresos a travs de la aplicacin.
Acceso a los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
Robo de los documentos y su informacin, sobre la ejecucin de las ordenes de produccin, por parte personas sin autorizacin.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
DOC 04
Acceso a las copias de los Robo de las copias los documentos y su informacin, sobre la documentos por parte de ejecucin de las ordenes de produccin, por parte personas personas ajenas a la empresa sin autorizacin. o por usuarios inadecuados
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Manejo de las Robo de la informacin contenida en los documentos sobre la impresoras/fotocopiadoras del ejecucin de las ordenes de produccin, mediante la rea por parte de usuarios realizacin de fotocopiado por parte de usuarios sin inadecuados. autorizacin.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Manejo inadecuado de los documentos y/o sus copias por parte de los usuarios de la empresa debido al desconocimiento.
Prdida o dao a los documentos que contienen la informacin sobre la ejecucin de las ordenes de produccin, por parte de los usuarios debido a desconocimiento.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
10
Id
Amenazas Filtraciones de informacin y accesos no autorizados el sistema. Accesos de personas no autorizadas al sistema e intercepcin de la red
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Importante Tipo Robo de informacin confidencial y su posible revelacin a terceros Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo medio porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los retrasos de en produccin, las fallas en la calidad, etc.
Alta
Alta
Importante
Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. SIS - 06 Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Alta
Importante
Alta
Importante
Robo de informacin confidencial y su posible revelacin a terceros Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos
Alta
Importante
Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de los usuarios debido a desconocimiento..
Alta
Importante
impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Media
Significativo
impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
11
Id
Amenazas Acceso a las oficinas donde se encuentran las PC's, por parte de personas ajenas a la empresa o por personal no autorizado. Desconocimiento sobre los intentos de accesos y acciones en las PC's de las oficinas de Planificacin por parte de cada usuario.
Riesgos
Prioridad
Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin.
Alta
Mayor
Impacto cualitativo medio porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin o dao a las PC's.
Media
Importante
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
HW - 01
Filtraciones de informacin y accesos no autorizados a las PC's de la oficina de planificacin por parte de usuarios no autorizados o ajenos a la empresa.
Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin.
Alta
Mayor
Divulgacin de informacin personal privada de los usuarios de la empresa, clientes, proveedores, etc.
impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada.
Interceptacin de la red de la empresa por parte de personas ajenas al negocio o usuarios sin autorizacin..
Robo de la informacin contenida en las PCs, por parte de personas sin autorizacin.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones as como el dao que causara la filtracin de informacin confidencial.
Acceso a las cintas por parte de personas ajenas a la empresa o por usuarios inadecuados. HW - 02
Impacto cualitativo alto porque es difcil medir el Robo de las cintas con informacin sobre planificacin por parte de personas no autorizadas. Alta Mayor Robo de informacin confidencial y su posible revelacin a terceros dao que causara a la empresa la divulgacin de informacin relevante..
Perdida de informacin del proceso de planeacin contenida en las cintas de back up.
Media
Significativo
impacto medio ya que no se puede medir el problema que causara para la empresa la perdida de estas cintas de back up.
12
Id
Amenazas Acceso al robot por parte de personas ajenas a la empresa o por usuarios inadecuados.
Riesgos
Prioridad
Impacto Gravedad Tipo Horas de trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes descripcin Impacto cualitativo medio porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones.
Manipulacin maliciosa del robot para daarlo, por parte de personas no autorizadas.
Media
Importante
HW - 03 Manejo del robot por parte de personas ajenas a la empresa o sin autorizacin Robo de informacin sobre planificacin mediante el uso del dispositivo para realizar copias de las cintas de back up, por parte de personas no autorizadas.. Robo de informacin confidencial y su posible revelacin a terceros Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Media
Mayor
Fcil acceso a las pantallas por parte de personas ajenas a la empresa o por usuarios inadecuados. HW - 04 Visibilidad de lo que muestra las pantallas por parte de personas no autorizadas o daos graves a las pantallas debido a su mala ubicacin Fcil acceso a la central de vigilancia por parte de personas ajenas a la empresa o por usuarios no autorizados. AF - 01 Facilidad de manipulacin de las camaras por parte de personal no autorizado.
Manipulacin maliciosa de la pantalla para daarla o robar informacin, por parte de personas no autorizadas.
Alta
Importante
impacto cualitativo alta ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Robo de informacin sobre las ordenes de proceso y ordenes de trabajo, por parte de personas no autorizadas.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Robo de los videos registrados con las camaras de seguridad del rea de planificacin, por parte de personas no autorizadas para no dejar evidencias de algn acto malicioso.
Media
Significativo
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio..
Manipulacin de las cmaras por parte de personas no autorizadas con el fin de mover su ngulo de filmacin o desconectarlas para evitar que se filme algn acto malicioso en el rea de Planificacin.
Baja
Menor
Impacto cualitativo bajo ya que no considera muy indispensable para la continuidad del negocio.
13
Id
Amenazas Facilidad de acceso y manejo de la impresora del rea de planificacin por parte de personas sin autorizacin y ajenas al subproceso o a la empresa. Desconocimiento sobre los intentos de accesos y acciones en las impresoras de las oficinas de Planificacin por parte de cada usuario. Penetracin y propagacin de virus y spam en la red interna de la empresa mediante emails maliciosos. Accesos maliciosos mediante correos electrnicos. Ataques a los servidores de correo electronico por parte de personas ajenas a la organizacin. Acceso al correo electronico de los usuarios del rea de planificacin por parte de personas no autorizadas. Uso inadecuado del correo electrnico por parte de los usuarios debido a desconocimiento.
Riesgos Robo de la informacin contenida en los documentos importantes del rea de planificacin, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Prioridad
Impacto Gravedad Tipo descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Alta
Importante
AF - 02
Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin mediante el fotocopiado de documentos privados del rea de planificacin.
Baja
Significativo
impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio. impacto cualitativo alta ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.. Impacto cualitativo medio porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante. impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada.
Robo de la informacin contenida en las computadoras del rea de Planificacin y/o dao a estas, por parte de personas no autorizadas.
Alta
Mayor
Robo de la informacin contenida en las computadoras del rea de Planificacin, por parte de personas no autorizadas.
Alta
Mayor
Robo de informacin confidencial y su posible revelacin a terceros Horas de trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes
SW - 01
Robo de la informacin o dao a los servidores de correo electronico, por parte de personas no autorizadas.
Alta
Mayor
Robo de la informacin contenida en los correos electrnicos del personal del rea de Planificacin, por parte de personas no autorizadas.
Alta
Mayor
Perdida o divulgacin de informacin confidencial de la empresa mediante el correo electronico, por parte del personal del rea de planificacin.
Alta
Mayor
Divulgacin de informacin personal privada de los usuarios de la empresa, clientes, proveedores, etc.
14
Id
Amenazas Fcil acceso a lugar donde se guardan los medios de almacenamiento por parte de personas no autorizadas o ajenas a la empresa.
Riesgos
Prioridad
Impacto Gravedad Tipo descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
SW - 02
Robo de los medios de almacenamiento con informacin sobre planificacin por parte de personas no autorizadas.
Alta
Mayor
15
Id
Filtraciones de informacin y accesos no autorizados el sistema. Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. SIS - 07 Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento pudiendo causar daos al sistema o a la informacin. Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Alta
Mayor
Alta
Mayor
Alta
Mayor
Alta
Mayor
Divulgacin de informacin personal privada de los usuarios de la empresa, clientes, proveedores, etc.
Alta
Mayor
Robo de informacin confidencial y su posible revelacin a terceros. Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos
Alta
Mayor
Alta
Mayor
Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Media
Significativo
impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
16
Id
Amenazas
Riesgos
Prioridad
Media
Poco Significativo
Impacto medio ya que los documentos pueden volver a ser impresos a travs de la aplicacin.
Acceso a los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
Robo de los documentos y su informacin, sobre la trazabilidad de las transacciones internas de los materiales, por parte personas sin autorizacin.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
DOC 05
Acceso a las copias de los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados
Robo de las copias los documentos y su informacin, sobre la trazabilidad de las transacciones internas de los materiales, por parte personas sin autorizacin.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Robo de la informacin contenida en los documentos sobre la trazabilidad de las transacciones internas de los materiales, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Manejo inadecuado de los documentos y/o sus copias por parte de los usuarios de la empresa debido al desconocimiento.
Prdida o dao a los documentos que contienen la informacin sobre la trazabilidad de las transacciones internas de los materiales, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
17
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja el registro de cada consumo de materia prima o material intermedio durante el proceso de manufactura, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas ajenas a la empresa.
Prioridad
Impacto Gravedad Tipo Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Alta
Importante
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Robo de la informacin, sobre el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativa alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
SIS - 08
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin.
Alta
Importante
Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Divulgacin de informacin personal privada de los usuarios de la empresa, clientes, proveedores, etc.
Alta
Importante
Alta
Importante
Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de los usuarios debido a desconocimiento..
Alta
Importante
Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Media
Significativo
impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
18
Id
Amenazas
Riesgos
Prioridad
Media
Poco Significativo
Impacto medio ya que los documentos pueden volver a ser impresos a travs de la aplicacin.
Acceso a los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
Robo de los documentos y su informacin, sobre los consumos que se hacen de todos los materiales durante la manufactura, por parte personas sin autorizacin.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
DOC 06
Acceso a las copias de los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados
Robo de las copias los documentos y su informacin, sobre los consumos que se hacen de todos los materiales durante la manufactura, por parte personas sin autorizacin.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Robo de la informacin contenida en los documentos sobre los consumos que se hacen de todos los materiales durante la manufactura, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Manejo inadecuado de los documentos y/o sus copias por parte de los usuarios de la empresa debido al desconocimiento.
Prdida o dao a los documentos que contienen la informacin sobre los consumos que se hacen de todos los materiales durante la manufactura, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
19
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja la declaracin de los productos terminados, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Tipo Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Media
Mayor
Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Robo de la informacin y manipulacin maliciosa del sistema, que maneja la declaracin de los productos terminados, por parte de personas ajenas a la empresa.
Media
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativa alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Robo de la informacin, sobre la declaracin de los productos terminados, por parte de personas sin autorizacin.
Media
Mayor
Robo de la informacin y manipulacin maliciosa del sistema, que maneja la declaracin de los productos terminados, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja la declaracin de los productos terminados, por parte de usuarios inadecuados.
Media
Mayor
Divulgacin de informacin personal privada de los usuarios de la empresa, clientes, proveedores, etc.
SIS 09
Media
Mayor
Robo de la informacin, sobre la declaracin de los productos terminados, por parte de personas sin autorizacin.
Media
Mayor
Prdida o dao a la informacin o al sistema, que maneja la declaracin de los productos terminados, por parte de los usuarios debido a desconocimiento.
Media
Mayor
Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Media
Significativo
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
20
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Tipo Posible impacto en la imagen de la empresa ante terceros. descripcin Impacto cualitativo muy alto debido a la prdida de credibilidad en los mercados, dao a la reputacin de la empresa, prdida de confianza por parte de los clientes y los proveedores. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Alta
Catastrfico
Robo de la informacin y manipulacin maliciosa del sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de personas ajenas a la empresa.
Alta
Catastrfico
Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Robo de la informacin, sobre la ejecucin del la orden de proceso de manufactura, por parte de personas sin autorizacin.
Alta
Catastrfico
Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativa muy alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
SIS 10
Robo de la informacin y manipulacin maliciosa del sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de usuarios inadecuados. Robo de la informacin, sobre la ejecucin del la orden de proceso de manufactura, por parte de personas sin autorizacin.
Alta
Mayor
Divulgacin de informacin personal privada de los usuarios de la empresa, clientes, proveedores, etc.
Alta
Catastrfico
Alta
Catastrfico
Prdida o dao a la informacin o al sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de los usuarios debido a desconocimiento.
Alta
Catastrfico
Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Media
Importante
21
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de usuarios inadecuados. Robo de la informacin, sobre el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Prioridad
Impacto Gravedad Tipo Posible impacto en la imagen de la empresa ante terceros. descripcin Impacto cualitativo muy alto debido a la prdida de credibilidad en los mercados, dao a la reputacin de la empresa, prdida de confianza por parte de los clientes y los proveedores. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo muy alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. impacto cualitativa muy alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial. Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
Alta
Catastrfico
Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Alta
Catastrfico
Alta
Catastrfico
Alta
Catastrfico
SIS 11
Divulgacin de informacin personal privada de los usuarios de la empresa, clientes, proveedores, etc.
Alta
Catastrfico
Robo de informacin confidencial y su posible revelacin a terceros Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Robo de informacin confidencial y su posible revelacin a terceros
Alta
Catastrfico
Alta
Catastrfico
Media
Importante
22
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de personas ajenas a la empresa.
Prioridad
Impacto Gravedad Tipo Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin muy confidencial.
Media
Mayor
Media
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin confidencial.
Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Robo de la informacin, sobre las unidades de medida de la materia prima y de las cantidades de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de usuarios inadecuados. Robo de la informacin, sobre las unidades de medida de la materia prima y de las cantidades de produccin por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de los usuarios debido a desconocimiento.
Media
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin confidencial.
Media
Mayor
SIS 12
Impacto cualitativo alto porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin confidencial. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos y aplicacin, para la empresa. Impacto cualitativo alto porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones.
Media
Mayor
Media
Mayor
Media
Mayor
Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Media
Importante
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
23
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Importante Tipo Robo de informacin confidencial y su posible revelacin a terceros Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Alta
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de personas ajenas a la empresa.
Alta
Importante
impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los retrasos de en produccin, las fallas en la calidad, etc.
Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. SIS - 13 Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada.
Robo de la informacin, sobre el seguimiento de la produccin en la etapa de manufactura, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de manufactura, por parte de personas sin autorizacin.
Alta
Importante
Robo de informacin confidencial y su posible revelacin a terceros Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Robo de informacin confidencial y su posible revelacin a terceros
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Alta
Importante
Alta
Importante
Alta
Importante
Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento
Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de los usuarios debido a desconocimiento.
Alta
Importante
impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Media
Significativo
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
24
Id
Amenazas Acceso a las oficinas donde se encuentran las PC's, por parte de personas ajenas a la empresa o por personal no autorizado. Desconocimiento sobre los intentos de accesos y acciones en las PC's de las oficinas de manufactura por parte de cada usuario. Filtraciones de informacin y accesos no autorizados a las PC's de la oficina de manufactura por parte de usuarios no autorizados o ajenos a la empresa. Interceptacin de la red de la empresa por parte de personas ajenas al negocio o usuarios sin autorizacin..
Riesgos
Prioridad
Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin o dao a las PC's.
Media
Importante
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
HW 05
Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin.
Alta
Mayor
Divulgacin de informacin personal privada de los usuarios de la empresa, clientes, proveedores, etc.
Impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada.
Robo de la informacin contenida en las PCs, por parte de personas sin autorizacin.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones as como el dao que causara la filtracin de informacin confidencial.
Acceso a las cintas por parte de personas ajenas a la empresa o por usuarios inadecuados. HW 06
Impacto cualitativo alto porque es difcil medir el Robo de las cintas con informacin sobre la manufactura por parte de personas no autorizadas. Alta Mayor Robo de informacin confidencial y su posible revelacin a terceros dao que causara a la empresa la divulgacin de informacin relevante..
Perdida de informacin del proceso de planeacin contenida en las cintas de back up.
Media
Significativo
Impacto medio ya que no se puede medir el problema que causara para la empresa la perdida de estas cintas de back up.
25
Id
Amenazas
Riesgos
Prioridad
Impacto Gravedad Tipo Horas de trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes descripcin Impacto cualitativo medio porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones.
Acceso al robot por parte de personas ajenas a la empresa o por usuarios inadecuados. HW - 07 Manejo del robot por parte de personas ajenas a la empresa o sin autorizacin
Manipulacin maliciosa del robot para daarlo, por parte de personas no autorizadas.
Media
Importante
Robo de informacin sobre manufactura mediante el uso del dispositivo para realizar copias de las cintas de back up, por parte de personas no autorizadas.
Media
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Fcil acceso a las pantallas por parte de personas ajenas a la empresa o por usuarios inadecuados. HW - 08 Visibilidad de lo que muestra las pantallas por parte de personas no autorizadas o daos graves a las pantallas debido a su mala ubicacin Fcil acceso a la central de vigilancia por parte de personas ajenas a la empresa o por usuarios no autorizados. AF - 03 Facilidad de manipulacin de las camaras por parte de personal no autorizado.
Manipulacin maliciosa de la pantalla para daarla o robar informacin, por parte de personas no autorizadas.
Alta
Importante
impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Robo de informacin sobre el proceso de manufactura en ejecucin, por parte de personas no autorizadas.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Robo de los videos registrados con las camaras de seguridad del rea de manufactura, por parte de personas no autorizadas para no dejar evidencias de algn acto malicioso.
Media
Significativo
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio..
Manipulacin de las cmaras por parte de personas no autorizadas con el fin de mover su ngulo de filmacin o desconectarlas para evitar que se filme algn acto malicioso en el rea de manufactura.
Baja
Menor
Impacto cualitativo bajo ya que no considera muy indispensable para la continuidad del negocio.
26
Id
Amenazas Facilidad de acceso y manejo de la impresora del rea de manufactura por parte de personas sin autorizacin y ajenas al subproceso o a la empresa. Desconocimiento sobre los intentos de accesos y acciones en las impresoras de las oficinas de manufactura por parte de cada usuario. Penetracin y propagacin de virus y spam en la red interna de la empresa mediante emails maliciosos. Accesos maliciosos mediante correos electrnicos. Ataques a los servidores de correo electronico por parte de personas ajenas a la organizacin. Acceso al correo electronico de los usuarios del rea de manufactura por parte de personas no autorizadas. Uso inadecuado del correo electrnico por parte de los usuarios debido a desconocimiento. Fcil acceso a lugar donde se guardan los medios de almacenamiento por parte de personas no autorizadas o ajenas a la empresa.
Riesgos
Prioridad
Impacto Gravedad Tipo descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Robo de la informacin contenida en los documentos importantes del rea de manufactura, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Importante
AF - 04
Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin mediante el fotocopiado de documentos privados del rea de manufactura.
Baja
Significativo
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
Robo de la informacin contenida en las computadoras del rea de Planificacin y/o dao a estas, por parte de personas no autorizadas. Robo de la informacin contenida en las computadoras del rea de Planificacin, por parte de personas no autorizadas. Robo de la informacin o dao a los servidores de correo electronico, por parte de personas no autorizadas.
Alta
Mayor
Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Robo de informacin confidencial y su posible revelacin a terceros Horas de trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes
impacto cualitativo alta ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.. Impacto cualitativo medio porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Alta
Mayor
Alta
Mayor
SW - 03
Robo de la informacin contenida en los correos electrnicos del personal del rea de manufactura, por parte de personas no autorizadas.
Alta
Mayor
Perdida o divulgacin de informacin confidencial de la empresa mediante el correo electronico, por parte del personal del rea de manufactura.
Alta
Mayor
Divulgacin de informacin personal privada de los usuarios de la empresa, clientes, proveedores, etc.
Impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada.
SW - 04
Robo de los medios de almacenamiento con informacin sobre el proceso de manufactura por parte de personas no autorizadas.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
27
Id
Filtraciones de informacin y accesos no autorizados el sistema. Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. SIS - 14 Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Alta
Alta
Catastrfico
Robo de informacin confidencial y su posible revelacin a terceros Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Dao ocasionado a lo clientes mediante la distribucin de productos de poca calidad o dainos Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Falta de captura y demanda contra el autor del dao o perjuicio a la aplicacin.
Alta
Catastrfico
Robo de la informacin y manipulacin maliciosa del sistema, que permite controlar los proceso de calidad, por parte de personas sin autorizacin.
Alta
Catastrfico
Robo de la informacin y manipulacin maliciosa del sistema, que permite controlar los proceso de calidad, por parte de usuarios inadecuados.
Alta
Catastrfico
Robo de la informacin, sobre los procesos de calidad, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite controlar los proceso de calidad, por parte de los usuarios debido a desconocimiento.
Alta
Catastrfico
Alta
Catastrfico
Imposibilidad de identificar al o a los usuarios culpables de algun robo o dao a la informacin o a la aplicacin.
Media
Importante
28
Id
Amenazas
Riesgos
Prioridad
Media
Poco Significativo
Impacto medio ya que los documentos pueden volver a ser impresos a travs de la aplicacin.
Acceso a los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
Robo de los documentos y su informacin, sobre los resultados obtenidos en las pruebas de calidad de los productos, por parte personas sin autorizacin.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
DOC 07
Acceso a las copias de los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados
Robo de las copias los documentos y su informacin, sobre los resultados obtenidos en las pruebas de calidad de los productos, por parte personas sin autorizacin.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Robo de la informacin contenida en los documentos sobre los resultados obtenidos en las pruebas de calidad de los productos, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Manejo inadecuado de los documentos y/o sus copias por parte de los usuarios de la empresa debido al desconocimiento.
Prdida o dao a los documentos que contienen la informacin sobre los resultados obtenidos en las pruebas de calidad de los productos, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
29
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar los niveles de calidad que tendrn los productos, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Tipo Posible impacto en la imagen de la empresa ante terceros. descripcin Impacto cualitativo muy alto debido a la prdida de credibilidad en los mercados, dao a la reputacin de la empresa, prdida de confianza por parte de los clientes y los proveedores. Impacto cualitativo muy alto porque es dificil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo muy alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa los retrasos de en produccin, las fallas en la calidad, etc.
Alta
Mayor
Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. SIS - 15 Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso.
Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar los niveles de calidad que tendrn los productos, por parte de personas ajenas a la empresa. Robo de la informacin, sobre los niveles de calidad que tendrn los productos, por parte de personas sin autorizacin.
Alta
Mayor
Robo de informacin confidencial y su posible revelacin a terceros Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Dao ocasionado a lo clientes mediante la distribucin de productos de poca calidad o dainos Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos
Alta
Mayor
Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar los niveles de calidad que tendrn los productos, por parte de personas sin autorizacin.
Alta
Mayor
Robo de la informacin y manipulacin maliciosa del sistema, que permite controlar los proceso de calidad, por parte de usuarios inadecuados.
Alta
Mayor
impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa los retrasos de en produccin, las fallas en la calidad, etc. Impacto cualitativo muy alto porque es difcil de medir las consecuencias negativas que traer el disgusto del cliente impacto cualitativo muy alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Robo de la informacin, sobre los niveles de calidad que tendrn los productos, por parte de personas sin autorizacin.
Alta
Mayor
Prdida o dao a la informacin o al sistema, que permite gestionar los niveles de calidad que tendrn los productos, por parte de los usuarios debido a desconocimiento.
Alta
Mayor
Imposibilidad de identificar al o a los usuarios culpables de algun robo o dao a la informacin o a la aplicacin.
Media
Importante
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
30
Id
Amenazas
Riesgos
Prioridad
Media
Poco Significativo
Impacto medio ya que los documentos pueden volver a ser impresos a travs de la aplicacin.
Acceso a los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
Robo de los documentos y su informacin, sobre los distintos niveles de calidad que se le han asignado a cada diferente producto que produce la empresa, por parte personas sin autorizacin.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
DOC 08
Acceso a las copias de los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados
Robo de las copias los documentos y su informacin, sobre los distintos niveles de calidad que se le han asignado a cada diferente producto que produce la empresa, por parte personas sin autorizacin.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Robo de la informacin contenida en los documentos sobre los distintos niveles de calidad que se le han asignado a cada diferente producto que produce la empresa, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Manejo inadecuado de los documentos y/o sus copias por parte de los usuarios de la empresa debido al desconocimiento.
Prdida o dao a los documentos que contienen la informacin sobre los distintos niveles de calidad que se le han asignado a cada diferente producto que produce la empresa, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
31
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Importante Tipo Robo de informacin confidencial y su posible revelacin a terceros Retrasos en los procesos de produccin, prdida de pedidos, impacto en la calidad del producto, prdida de oportunidades de negocio. Robo de informacin confidencial y su posible revelacin a terceros Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Alta
Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. SIS - 16 Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada.
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de personas ajenas a la empresa.
Alta
Importante
impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los retrasos de en produccin, las fallas en la calidad, etc. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Robo de la informacin, sobre el seguimiento de la produccin en la etapa de calidad, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de usuarios inadecuados.
Alta
Importante
Alta
Importante
Alta
Importante
Robo de la informacin, sobre el seguimiento de la produccin en la etapa de calidad, por parte de personas sin autorizacin.
Alta
Importante
Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento
Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de los usuarios debido a desconocimiento.
Alta
Importante
impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Media
Significativo
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
32
Id
Amenazas Acceso a las oficinas donde se encuentran las PC's, por parte de personas ajenas a la empresa o por personal no autorizado. Desconocimiento sobre los intentos de accesos y acciones en las PC's de las oficinas de calidad por parte de cada usuario. Filtraciones de informacin y accesos no autorizados a las PC's de la oficina de calidad por parte de usuarios no autorizados o ajenos a la empresa. Interceptacin de la red de la empresa por parte de personas ajenas al negocio o usuarios sin autorizacin..
Riesgos
Prioridad
Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin o dao a las PC's.
Media
Importante
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
HW 09
Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin.
Alta
Mayor
Divulgacin de informacin personal privada de los usuarios de la empresa, clientes, proveedores, etc.
Impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada.
Robo de la informacin contenida en las PCs, por parte de personas sin autorizacin.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones as como el dao que causara la filtracin de informacin confidencial.
HW 10
Acceso a las cintas por parte de personas ajenas a la empresa o por usuarios inadecuados.
Impacto cualitativo alto porque es difcil medir el Robo de las cintas con informacin sobre la calidad de los productos por parte de personas no autorizadas. Alta Mayor Robo de informacin confidencial y su posible revelacin a terceros dao que causara a la empresa la divulgacin de informacin relevante..
Perdida de informacin del proceso de calidad contenida en las cintas de back up.
Media
Significativo
Impacto medio ya que no se puede medir el problema que causara para la empresa la perdida de estas cintas de back up.
33
Id
Amenazas
Riesgos
Prioridad
Impacto Gravedad Tipo Horas de trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes descripcin Impacto cualitativo medio porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones.
Acceso al robot por parte de personas ajenas a la empresa o por usuarios inadecuados. HW 11 Manejo del robot por parte de personas ajenas a la empresa o sin autorizacin
Manipulacin maliciosa del robot para daarlo, por parte de personas no autorizadas.
Media
Importante
Robo de informacin sobre calidad mediante el uso del dispositivo para realizar copias de las cintas de back up, por parte de personas no autorizadas..
Media
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Fcil acceso a las pantallas por parte de personas ajenas a la empresa o por usuarios inadecuados. HW 12 Visibilidad de lo que muestra las pantallas por parte de personas no autorizadas o daos graves a las pantallas debido a su mala ubicacin Fcil acceso a la central de vigilancia por parte de personas ajenas a la empresa o por usuarios no autorizados. AF 05 Facilidad de manipulacin de las camaras por parte de personal no autorizado.
Manipulacin maliciosa de la pantalla para daarla o robar informacin, por parte de personas no autorizadas.
Alta
Importante
impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Robo de informacin sobre la calidad de los productos que se estn fabricando, por parte de personas no autorizadas.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Robo de los videos registrados con las camaras de seguridad del rea de calidad, por parte de personas no autorizadas para no dejar evidencias de algn acto malicioso..
Media
Significativo
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio..
Manipulacin de las cmaras por parte de personas no autorizadas con el fin de mover su ngulo de filmacin o desconectarlas para evitar que se filme algn acto malicioso en el rea de calidad.
Baja
Menor
Impacto cualitativo bajo ya que no considera muy indispensable para la continuidad del negocio.
34
Id
Amenazas Facilidad de acceso y manejo de la impresora del rea de calidad por parte de personas sin autorizacin y ajenas al subproceso o a la empresa. Desconocimiento sobre los intentos de accesos y acciones en las impresoras de las oficinas de calidad por parte de cada usuario. Penetracin y propagacin de virus y spam en la red interna de la empresa mediante emails maliciosos. Accesos maliciosos mediante correos electrnicos. Ataques a los servidores de correo electronico por parte de personas ajenas a la organizacin. Acceso al correo electronico de los usuarios del rea de calidad por parte de personas no autorizadas. Uso inadecuado del correo electrnico por parte de los usuarios debido a desconocimiento. Fcil acceso a lugar donde se guardan los medios de almacenamiento por parte de personas no autorizadas o ajenas a la empresa.
Riesgos Robo de la informacin contenida en los documentos importantes del rea de calidad, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Prioridad
Impacto Gravedad Tipo Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Alta
Importante
AF 06
Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin mediante el fotocopiado de documentos privados del rea de calidad..
Baja
Significativo
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
Robo de la informacin contenida en las computadoras del rea de calidad y/o dao a estas, por parte de personas no autorizadas.
Alta
Mayor
impacto cualitativo alta ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.. Impacto cualitativo medio porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Robo de la informacin contenida en las computadoras del rea de calidad, por parte de personas no autorizadas. Robo de la informacin o dao a los servidores de correo electronico, por parte de personas no autorizadas.
Alta
Mayor
Robo de informacin confidencial y su posible revelacin a terceros Horas de trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes
Alta
Mayor
SW - 05
Robo de la informacin contenida en los correos electrnicos del personal del rea de calidad, por parte de personas no autorizadas.
Alta
Mayor
Perdida o divulgacin de informacin confidencial de la empresa mediante el correo electronico, por parte del personal del rea de calidad.
Alta
Mayor
Divulgacin de informacin personal privada de los usuarios de la empresa, clientes, proveedores, etc.
Impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada.
SW - 06
Robo de los medios de almacenamiento con informacin sobre el proceso de calidad por parte de personas no autorizadas.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
35
Id
Identificacin de riesgos y anlisis de impacto de los activos del subproceso de Bodegas e inventarios:
Amenazas Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa, por parte de personas ajenas a la empresa. Robo de la informacin, sobre los inventarios tanto de materias primas como de productos terminados que tiene la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa, por parte de usuarios inadecuados. Robo de la informacin, sobre los inventarios tanto de materias primas como de productos terminados que tiene la empresa, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin. Prioridad Impacto Gravedad Importante Tipo Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante. impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los errores y perdidas en la entrega de los pedidos impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los errores y perdidas en la entrega de los pedidos impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. impacto cualitatitvo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
Filtraciones de informacin y accesos no autorizados el sistema. Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada. Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Alta
Alta
Importante
Alta
Importante
Robo de informacin confidencial y su posible revelacin a terceros Retrasos en los procesos de bodegas, prdida y error en la entrega de pedidos, prdida de oportunidades de negocio. Retrasos en los procesos de bodegas, prdida y error en la entrega de pedidos, prdida de oportunidades de negocio. Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Falta de captura y demanda contra el autor del dao o perjuicio a la aplicacin.
Alta
Importante
SIS 17
Alta
Importante
Alta
Importante
Alta
Importante
Media
Significativo
36
Id
Amenazas
Riesgos
Prioridad
Media
Poco Significativo
Impacto medio ya que los documentos pueden volver a ser impresos a travs de la aplicacin.
Acceso a los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados.
Robo de los documentos y su informacin, sobre los distintos reportes de inventarios de las bodegas y almacenes de la empresa, por parte personas sin autorizacin.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
DOC 09
Acceso a las copias de los documentos por parte de personas ajenas a la empresa o por usuarios inadecuados
Robo de las copias los documentos y su informacin, sobre los distintos reportes de inventarios de las bodegas y almacenes de la empresa, por parte personas sin autorizacin.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Robo de la informacin contenida en los documentos sobre los distintos reportes de inventarios de las bodegas y almacenes de la empresa, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Manejo inadecuado de los documentos y/o sus copias por parte de los usuarios de la empresa debido al desconocimiento.
Prdida o dao a los documentos que contienen la informacin sobre los distintos reportes de inventarios de las bodegas y almacenes de la empresa, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
37
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes o puntos de distribucin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de personas ajenas a la empresa. Robo de la informacin, sobre la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de usuarios inadecuados. Robo de la informacin, sobre la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Tipo Posible impacto en la imagen de la empresa ante terceros. descripcin Impacto cualitativo muy alto debido a la prdida de credibilidad en los mercados, dao a la reputacin de la empresa, prdida de confianza por parte de los clientes y los proveedores. Impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante. impacto cualitativo muy alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa los retrasos de en la entrega y distribucin de pedidos. impacto cualitativo muy alto porque es difcil medir el dao que causara a la empresa los retrasos de en la entrega y distribucin de pedidos. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Alta
Mayor
Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. SIS 18 Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada.
Alta
Mayor
Alta
Mayor
Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Retrasos en los procesos de entrega y distribucin, prdida de pedidos, prdida de oportunidades de negocio. Retrasos en los procesos de entrega y distribucin, prdida de pedidos, prdida de oportunidades de negocio. Robo de informacin confidencial y su posible revelacin a terceros
Alta
Mayor
Alta
Mayor
Alta
Mayor
Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Prdida o dao a la informacin o al sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de los usuarios debido a desconocimiento.
Alta
Mayor
impacto cualitativo muy alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Imposibilidad de identificar al o a los usuarios culpables de algun robo o dao a la informacin o a la aplicacin.
Media
Importante
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
38
Id
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de usuarios inadecuados. Robo de la informacin, sobre el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Importante Tipo Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Alta
Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas. SIS 19 Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante. impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los retrasos en los traslados internos.
Alta
Importante
Robo de informacin confidencial y su posible revelacin a terceros Retrasos en los procesos de traslados internos de materia prima o productos, perdida de oportunidades de negocio. Retrasos en los procesos de entrega y distribucin, prdida de pedidos, prdida de oportunidades de negocio. Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos
Alta
Importante
Alta
Importante
impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los errores y perdidas en la entrega de los pedidos
Alta
Importante
impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Prdida o dao a la informacin o al sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de los usuarios debido a desconocimiento.
Alta
Importante
impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Media
Significativo
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
39
Id
Amenazas Filtraciones de informacin y accesos no autorizados el sistema. Accesos de personas no autorizadas al sistema e intercepcin de la red Acceso de personas ajenas a la empresa que pueden robar informacin. Fcil descifrado de las contraseas de los usuarios por parte de personas inadecuadas.
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Importante Tipo Robo de informacin confidencial y su posible revelacin a terceros Retrasos en los procesos de bodegas, prdida y error en la entrega de pedidos, prdida de oportunidades de negocio. Robo de informacin confidencial y su posible revelacin a terceros Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto porque es difcil medir el dao que causara a la empresa los errores y perdidas en la entrega de los pedidos Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Alta
Alta
Importante
Alta
Importante
Alta
Importante
SIS 20
Acceso al sistema por parte de usuarios inadecuados que no deberan tener dicho acceso. Ataque por parte de Hackers a las vulnerabilidades de la aplicacin desactualizada.
Alta
Importante
Alta
Importante
Uso inadecuado de la aplicacin y sus informacin por parte de los usuarios debido a desconocimiento
Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de los usuarios debido a desconocimiento.
Alta
Importante
impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Desconocimiento sobre los intentos de accesos y acciones a la aplicacin por parte de los usuarios.
Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Media
Significativo
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
40
Id
Riesgos Robo de la informacin y manipulacin maliciosa del archivo digital, que contiene toda la informacin de las mercancas como cantidad, valor de medida, precio, etc., por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del archivo digital, que contiene toda la informacin de las mercancas como cantidad, valor de medida, precio, etc., por parte de personas sin autorizacin.
Prioridad
Impacto Gravedad Importante Tipo Robo de informacin confidencial y su posible revelacin a terceros descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante. impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin no tan relevante.
Alta
DOC 10
Lectura y/o modificacin de los datos que contiene el documento del Kardex, por parte de personas no autorizadas. Acceso a las oficinas donde se encuentran las PC's, por parte de personas ajenas a la empresa o por personal no autorizado. Desconocimiento sobre los intentos de accesos y acciones en las PC's de las bodegas por parte de cada usuario.
Alta
Importante
Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin.
Alta
Mayor
Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin o dao a las PC's.
Media
Importante
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
HW 13
Filtraciones de informacin y accesos no autorizados a las PC's de las bodegas por parte de usuarios no autorizados o ajenos a la empresa. Interceptacin de la red de la empresa por parte de personas ajenas al negocio o usuarios sin autorizacin. Acceso a las cintas por parte de personas ajenas a la empresa o por usuarios inadecuados. Deterioro permanente de las cintas.
Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin.
Alta
Mayor
Divulgacin de informacin personal privada de los usuarios de la empresa, clientes, proveedores, etc.
Impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada.
Robo de la informacin contenida en las PCs, por parte de personas sin autorizacin.
Alta
Mayor
Impacto cualitativo alto porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones as como el dao que causara la filtracin de informacin confidencial. Impacto cualitativo alto porque es difcil medir el
HW 14
Robo de las cintas con informacin sobre las bodegas y almacenes, por parte de personas no autorizadas.
Alta
Mayor
Robo de informacin confidencial y su posible revelacin a terceros Perdidas ocasionadas por la indisponibilidad de la informacin contenida en estas cintas.
dao que causara a la empresa la divulgacin de informacin relevante.. Impacto medio ya que no se puede medir el problema que causara para la empresa la perdida de estas cintas de back up.
Perdida de informacin del proceso de calidad contenida en las cintas de back up.
Media
Significativo
41
Id
Amenazas
Riesgos
Prioridad
Impacto Gravedad Tipo Horas de trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes descripcin Impacto cualitativo medio porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones.
Acceso al robot por parte de personas ajenas a la empresa o por usuarios inadecuados. HW 15 Manejo del robot por parte de personas ajenas a la empresa o sin autorizacin
Manipulacin maliciosa del robot para daarlo, por parte de personas no autorizadas.
Media
Importante
Robo de informacin sobre bodegas e inventarios mediante el uso del dispositivo para realizar copias de las cintas de back up, por parte de personas no autorizadas.
Media
Mayor
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Fcil acceso a las pantallas por parte de personas ajenas a la empresa o por usuarios inadecuados. HW 16 Visibilidad de lo que muestra las pantallas por parte de personas no autorizadas o daos graves a las pantallas debido a su mala ubicacin Fcil acceso a la central de vigilancia por parte de personas ajenas a la empresa o por usuarios no autorizados. AF 07 Facilidad de manipulacin de las camaras por parte de personal no autorizado.
Manipulacin maliciosa de la pantalla para daarla o robar informacin, por parte de personas no autorizadas.
Alta
Importante
impacto cualitativo alto ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa.
Robo de informacin sobre el almacenaje de los productos terminados, por parte de personas no autorizadas.
Alta
Importante
Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Robo de los videos registrados con las camaras de seguridad del rea de bodegas e inventarios, por parte de personas no autorizadas para no dejar evidencias de algn acto malicioso.
Media
Significativo
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio..
Manipulacin de las cmaras por parte de personas no autorizadas con el fin de mover su ngulo de filmacin o desconectarlas para evitar que se filme algn acto malicioso en el rea de bodegas e inventarios.
Baja
Menor
Impacto cualitativo bajo ya que no considera muy indispensable para la continuidad del negocio.
42
Id
Amenazas Facilidad de acceso y manejo de la impresora del rea de bodegas por parte de personas sin autorizacin y ajenas al subproceso o a la empresa. Desconocimiento sobre los intentos de accesos y acciones en las impresoras del rea de bodegas por parte de cada usuario. Penetracin y propagacin de virus y spam en la red interna de la empresa mediante emails maliciosos. Accesos maliciosos mediante correos electrnicos. Ataques a los servidores de correo electronico por parte de personas ajenas a la organizacin. Acceso al correo electronico de los usuarios del rea de bodegas por parte de personas no autorizadas. Uso inadecuado del correo electrnico por parte de los usuarios debido a desconocimiento. Fcil acceso a lugar donde se guardan los medios de almacenamiento por parte de personas no autorizadas o ajenas a la empresa.
Riesgos Robo de la informacin contenida en los documentos importantes del rea de bodegas e inventarios, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Prioridad
Impacto Gravedad Tipo descripcin Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Alta
Importante
AF 08
Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin mediante el fotocopiado de documentos privados del rea de bodegas e inventarios.
Baja
Significativo
Impacto cualitativo medio ya que no considera muy indispensable para la continuidad del negocio.
Robo de la informacin contenida en las computadoras del rea de bodegas e inventarios, y/o dao a estas, por parte de personas no autorizadas. Robo de la informacin contenida en las computadoras del rea de bodegas e inventarios, por parte de personas no autorizadas. Robo de la informacin o dao a los servidores de correo electronico, por parte de personas no autorizadas.
Alta
Mayor
Prdidas ocasionadas por la indisponibilidad de la aplicacin y servicios informticos Robo de informacin confidencial y su posible revelacin a terceros Horas de trabajo invertidas en las reparaciones y reconfiguraciones de los equipos y redes
impacto cualitativo alta ya que es difcil medir el coste de oportunidad por no poder utilizar estos recursos para la empresa. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.. Impacto cualitativo medio porque es difcil medir el retraso y perdida de tiempo que causara estas reparaciones. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante. Impacto cualitativo alto ya que es difcil medir el dao que causara en la empresa el descontento por parte de sus clientes y/o proveedores al ser revelada su informacin privada. Impacto cualitativo alto porque es difcil medir el dao que causara a la empresa la divulgacin de informacin relevante.
Alta
Mayor
SW - 07
Alta
Mayor
Robo de la informacin contenida en los correos electrnicos del personal del rea de bodegas e inventarios, por parte de personas no autorizadas. Perdida o divulgacin de informacin confidencial de la empresa mediante el correo electronico, por parte del personal del rea de bodegas e inventarios. Robo de los medios de almacenamiento con informacin sobre el proceso de bodegas e inventarios por parte de personas no autorizadas.
Alta
Mayor
Alta
Mayor
Divulgacin de informacin personal privada de los usuarios de la empresa, clientes, proveedores, etc.
SW - 08
Alta
Mayor
43
44
Id
Activo
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de personas ajenas a la empresa. Robo de la informacin sobre los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de personas sin autorizacin.
Prioridad
Tratamiento
Alta
Eliminar
SIS - 01
Robo de la informacin y manipulacin maliciosa del sistema, que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de usuarios inadecuados. Prdida o dao a la informacin o al sistema que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos por parte de hackers Prdida o dao a la informacin o al sistema que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta Media
Mayor Significativo
Eliminar Mitigar
Robo de la informacin y manipulacin maliciosa del sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos , por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de personas ajenas a la empresa. Robo de la informacin, sobre los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de personas sin autorizacin. Interfaz para administrar pedidos de materiales Robo de la informacin y manipulacin maliciosa del sistema, que maneja los recursos y materiales que usa la empresa para la fabricacin de sus productos, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de usuarios inadecuados. Prdida o dao a la informacin o al sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de hackers. Prdida o dao a la informacin o al sistema, que maneja los pedidos de materiales y los programas de produccin que usa la empresa para la fabricacin de sus productos, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
SIS - 02
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Media
Significativo
Mitigar
Media
Poco Significativo
Transferir
Robo de los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin. Documento fsico con lista de pedido de materiales
Media
Significativo
Transferir
DOC - 01
Robo de las copias los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin. Robo de la informacin contenida en los documentos sobre la lista de pedidos de materiales, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin. Prdida o dao a los documentos que contienen la informacin sobre las listas de pedidos de materiales para la fabricacin de sus productos, por parte de los usuarios debido a desconocimiento.
Media
Significativo
Mitigar
Media
Significativo
Mitigar
Media
Significativo
Mitigar
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el catalogo de productos que fabrica la empresa, por parte de personas sin autorizacin. SIS - 03 Interfaz de mantenimiento de productos Robo de la informacin y manipulacin maliciosa del sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de usuarios inadecuados. Prdida o dao a la informacin o al sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de hackers. Prdida o dao a la informacin o al sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de los usuarios debido a desconocimiento. Prdida o dao a la informacin o al sistema, que maneja el catalogo de productos que fabrica la empresa, por parte de los usuarios debido a desconocimiento.
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Media
Significativo
Mitigar
Media
Poco Significativo
Transferir
Robo de los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin. Interfaz de mantenimiento de Ordenes de Produccin
Alta
Significativo
Transferir
DOC 02
Robo de las copias los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin. Robo de la informacin contenida en los documentos sobre la lista de pedidos de materiales, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin. Prdida o dao a los documentos que contienen la informacin sobre las listas de pedidos de materiales para la fabricacin de sus productos, por parte de los usuarios debido a desconocimiento.
Alta
Significativo
Mitigar
Alta
Significativo
Mitigar
Alta
Significativo
Mitigar
Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de produccin de la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de produccin de la empresa , por parte de personas ajenas a la empresa. Robo de la informacin, sobre las ordenes de produccin de la empresa, por parte de personas sin autorizacin. SIS 04 Interfaz de mantenimiento de productos Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de produccin de la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de produccin de la empresa, por parte de usuarios inadecuados. Prdida o dao a la informacin o al sistema, que maneja las ordenes de produccin de la empresa, por parte de hackers. Prdida o dao a la informacin o al sistema, que maneja las ordenes de produccin de la empresa, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Media
Poco Significativo
Transferir
Robo de los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin. Documento fsico con reportes de las rdenes de produccin.
Alta
Mayor
Transferir
DOC 03
Robo de las copias los documentos y su informacin, sobre la listas de pedidos de materiales para la produccin, por parte personas sin autorizacin. Robo de la informacin contenida en los documentos sobre la lista de pedidos de materiales, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin. Prdida o dao a los documentos que contienen la informacin sobre las rdenes de produccin, por parte de los usuarios debido a desconocimiento.
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de trabajo de produccin de la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de trabajos de produccin de la empresa , por parte de personas ajenas a la empresa.
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
SIS 05
Robo de la informacin, sobre las ordenes de trabajo de produccin de la empresa, por parte de personas sin autorizacin.
Alta
Catastrfico
Eliminar
Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de trabajo de produccin de la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja las ordenes de trabajo de produccin de la empresa, por parte de usuarios inadecuados. Prdida o dao a la informacin o al sistema, que maneja las rdenes de trabajo de produccin de la empresa, por parte de hackers. Prdida o dao a la informacin o al sistema, que maneja las rdenes de trabajo de produccin de la empresa, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Catastrfico
Eliminar
Media
Importante
Mitigar
Media
Poco Significativo
Transferir
Robo de los documentos y su informacin, sobre la ejecucin de las ordenes de produccin, por parte personas sin autorizacin. Documento fsico con reportes de las rdenes de produccin.
Alta
Mayor
Transferir
DOC 04
Robo de las copias los documentos y su informacin, sobre la ejecucin de las ordenes de produccin, por parte personas sin autorizacin.
Alta
Mayor
Eliminar
Robo de la informacin contenida en los documentos sobre la ejecucin de las ordenes de produccin, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin. Prdida o dao a los documentos que contienen la informacin sobre la ejecucin de las ordenes de produccin, por parte de los usuarios debido a desconocimiento.
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
10
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. SIS 06 Sistema de seguimiento de produccin Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de los usuarios debido a desconocimiento.. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta Alta
Importante Importante
Eliminar Eliminar
Alta
Importante
Eliminar
Media
Significativo
Mitigar
11
Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin.
Alta
Mayor
Eliminar
Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin o dao a las PC's. HW 01 PC's en el rea de Planificacin Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin.
Media
Importante
Mitigar
Alta
Mayor
Eliminar
Robo de la informacin contenida en las PCs, por parte de personas sin autorizacin. Robo de las cintas con informacin sobre planificacin por parte de personas no autorizadas. Perdida de informacin del proceso de planeacin contenida en las cintas de back up.
Alta
Mayor
Eliminar
Alta
Mayor
Transferir
HW- 02
Cintas de back up
Media
Significativo
Transferir
12
HW 03
Manipulacin maliciosa del robot para daarlo, por parte de personas no autorizadas.
Media
Importante
Mitigar
Robo de informacin sobre planificacin mediante el uso del dispositivo para realizar copias de las cintas de back up, por parte de personas no autorizadas..
Media
Mayor
Eliminar
HW 04
Manipulacin maliciosa de la pantalla para daarla o robar informacin, por parte de personas no autorizadas.
Alta
Importante
Eliminar
Robo de informacin sobre las rdenes de proceso y ordenes de trabajo, por parte de personas no autorizadas. Robo de los videos registrados con las camaras de seguridad del rea de planificacin, por parte de personas no autorizadas para no dejar evidencias de algn acto malicioso. Manipulacin de las cmaras por parte de personas no autorizadas con el fin de mover su ngulo de filmacin o desconectarlas para evitar que se filme algn acto malicioso en el rea de Planificacin.
Alta
Importante
Mitigar
Media
Significativo
Mitigar
AF 01
Cmaras de seguridad
Baja
Menor
Mitigar
13
AF 02
Robo de la informacin contenida en los documentos importantes del rea de manufactura, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin. Impresoras Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin mediante el fotocopiado de documentos privados del rea de manufactura. Robo de la informacin contenida en las computadoras del rea de Planificacin y/o dao a estas, por parte de personas no autorizadas. Robo de la informacin contenida en las computadoras del rea de Planificacin, por parte de personas no autorizadas.
Alta
Importante
Eliminar
Baja
Significativo
Mitigar
Alta
Mayor
Eliminar
SW 01
Correo electronico
Robo de la informacin o dao a los servidores de correo electronico, por parte de personas no autorizadas. Robo de la informacin contenida en los correos electrnicos del personal del rea de manufactura, por parte de personas no autorizadas. Perdida o divulgacin de informacin confidencial de la empresa mediante el correo electronico, por parte del personal del rea de manufactura.
Alta
Mayor
Eliminar
SW 02
Medios de almacenamiento Robo de los medios de almacenamiento con informacin sobre el proceso electrnico de manufactura por parte de personas no autorizadas. porttil (CD/DVD/USB)
Alta
Mayor
Transferir
14
Id
Activo
Riesgos
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de personas sin autorizacin.
Prioridad
Tratamiento Eliminar
Alta
Alta Alta
Mayor Mayor
Eliminar Eliminar
SIS - 07
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que maneja el seguimiento de las transacciones internas de materiales que se dan en el proceso de produccin, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Mayor
Eliminar
15
Media
Poco Significativo
Mitigar
Robo de los documentos y su informacin, sobre la trazabilidad de las transacciones internas de los materiales, por parte personas sin autorizacin. Documento fsico con reportes de la DOC 05 trazabilidad de materiales en un programa de produccin
Alta
Importante
Eliminar
Robo de las copias los documentos y su informacin, sobre la trazabilidad de las transacciones internas de los materiales, por parte personas sin autorizacin.
Alta
Importante
Eliminar
Robo de la informacin contenida en los documentos sobre la trazabilidad de las transacciones internas de los materiales, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Importante
Eliminar
Prdida o dao a los documentos que contienen la informacin sobre la trazabilidad de las transacciones internas de los materiales, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Eliminar
16
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el registro de cada consumo de materia prima o material intermedio durante el proceso de manufactura, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Interfaz de declaracin de consumo de materiales Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de planificacin, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de planificacin, por parte de los usuarios debido a desconocimiento.. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
SIS 08
Alta
Importante
Eliminar
Alta Alta
Importante Importante
Eliminar Eliminar
Alta
Importante
Eliminar
Media
Significativo
Mitigar
17
Falta de disponibilidad de la informacin contenida en el documento, en el momento que sea requerida. Robo de los documentos y su informacin, sobre los consumos que se hacen de todos los materiales durante la manufactura, por parte personas sin autorizacin. Robo de las copias los documentos y su informacin, sobre los consumos que se hacen de todos los materiales durante la manufactura, por parte personas sin autorizacin. Robo de la informacin contenida en los documentos sobre los consumos que se hacen de todos los materiales durante la manufactura, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Media
Poco Significativo
Mitigar
Alta
Importante
Eliminar
DOC 06
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Prdida o dao a los documentos que contienen la informacin sobre los consumos que se hacen de todos los materiales durante la manufactura, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Eliminar
18
Robo de la informacin y manipulacin maliciosa del sistema, que maneja la declaracin de los productos terminados, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja la declaracin de los productos terminados, por parte de personas ajenas a la empresa. Robo de la informacin, sobre la declaracin de los productos terminados, por parte de personas sin autorizacin. Interfaz de declaracin de producto terminado Robo de la informacin y manipulacin maliciosa del sistema, que maneja la declaracin de los productos terminados, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja la declaracin de los productos terminados, por parte de usuarios inadecuados. Robo de la informacin, sobre la declaracin de los productos terminados, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que maneja la declaracin de los productos terminados, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Media
Mayor
Eliminar
Media
Mayor
Eliminar
Media
Mayor
Eliminar
SIS 09
Media
Mayor
Eliminar
Media Media
Mayor Mayor
Eliminar Eliminar
Media
Mayor
Eliminar
Media
Significativo
Mitigar
19
Robo de la informacin y manipulacin maliciosa del sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de personas ajenas a la empresa. Robo de la informacin, sobre la ejecucin del la orden de proceso de manufactura, por parte de personas sin autorizacin. Interfaz de ejecucin de Orden de Proceso Robo de la informacin y manipulacin maliciosa del sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de usuarios inadecuados. Robo de la informacin, sobre la ejecucin del la orden de proceso de manufactura, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite iniciar la ejecucin del la orden de proceso de manufactura, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
SIS 10
Alta
Mayor
Eliminar
Alta Alta
Catastrfico Catastrfico
Eliminar Eliminar
Alta
Catastrfico
Eliminar
Media
Importante
Mitigar
20
Robo de la informacin y manipulacin maliciosa del sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas sin autorizacin. SIS 11 Interfaz de Surtimiento de materiales a produccin Robo de la informacin y manipulacin maliciosa del sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de usuarios inadecuados. Robo de la informacin, sobre el surtimiento de materias primas para la fabricacin de determinado producto, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite realizar el surtimiento de materias primas para la fabricacin de determinado producto, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Media
Importante
Eliminar
21
Robo de la informacin y manipulacin maliciosa del sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de personas ajenas a la empresa. Robo de la informacin, sobre las unidades de medida de la materia prima y de las cantidades de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de usuarios inadecuados. Robo de la informacin, sobre las unidades de medida de la materia prima y de las cantidades de produccin por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite modificar las unidades de medida de la materia prima y de las cantidades de produccin, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Media
Mayor
Eliminar
Media
Mayor
Eliminar
Media
Mayor
Eliminar
Interfaz de consulta y borrado de RS's SIS 12 y creacin de unidades de medida para las materias primas
Media
Mayor
Eliminar
Media
Mayor
Eliminar
Media
Mayor
Eliminar
Media
Mayor
Eliminar
Media
Importante
Eliminar
22
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de manufactura, por parte de personas sin autorizacin. Sistema de seguimiento de produccin Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de manufactura, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de manufactura, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
SIS 13
Alta
Importante
Eliminar
Alta Alta
Importante Importante
Eliminar Eliminar
Alta
Importante
Eliminar
Media
Significativo
Mitigar
23
Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin.
Alta
Mayor
Eliminar
HW 05
PC's en planta
Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin o dao a las PC's.
Media
Importante
Eliminar
Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin.
Alta
Mayor
Eliminar
Robo de la informacin contenida en las PCs, por parte de personas sin autorizacin. Robo de las cintas con informacin sobre la manufactura por parte de personas no autorizadas. Perdida de informacin del proceso de planeacin contenida en las cintas de back up.
Alta
Mayor
Eliminar
Alta
Mayor
Transferir
HW- 06
Cintas de back up
Media
Significativo
Transferir
24
Manipulacin maliciosa del robot para daarlo, por parte de personas no autorizadas. Dispositivo (robot) para generar back ups
Media
Importante
Mitigar
HW 07
Robo de informacin sobre manufactura mediante el uso del dispositivo para realizar copias de las cintas de back up, por parte de personas no autorizadas.
Media
Mayor
Eliminar
Manipulacin maliciosa de la pantalla para daarla o robar informacin, por parte de personas no autorizadas. HW 08 Pantalla tctil con aplicacin Q-Plant
Alta
Importante
Eliminar
Robo de informacin sobre el proceso de manufactura en ejecucin, por parte de personas no autorizadas. Robo de los videos registrados con las camaras de seguridad del rea de manufactura, por parte de personas no autorizadas para no dejar evidencias de algn acto malicioso.
Alta
Importante
Eliminar
Media
Significativo
Mitigar
AF 03
Cmaras de seguridad
Manipulacin de las cmaras por parte de personas no autorizadas con el fin de mover su ngulo de filmacin o desconectarlas para evitar que se filme algn acto malicioso en el rea de manufactura.
Baja
Menor
Mitigar
25
AF 04
Robo de la informacin contenida en los documentos importantes del rea de manufactura, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin. Impresoras Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin mediante el fotocopiado de documentos privados del rea de manufactura. Robo de la informacin contenida en las computadoras del rea de Planificacin y/o dao a estas, por parte de personas no autorizadas. Robo de la informacin contenida en las computadoras del rea de Planificacin, por parte de personas no autorizadas.
Alta
Importante
Eliminar
Baja
Significativo
Mitigar
Alta
Mayor
Eliminar
SW 03
Correo electronico
Robo de la informacin o dao a los servidores de correo electronico, por parte de personas no autorizadas. Robo de la informacin contenida en los correos electrnicos del personal del rea de manufactura, por parte de personas no autorizadas. Perdida o divulgacin de informacin confidencial de la empresa mediante el correo electronico, por parte del personal del rea de manufactura.
Alta
Mayor
Eliminar
SW 04
Medios de almacenamiento Robo de los medios de almacenamiento con informacin sobre el proceso electrnico de manufactura por parte de personas no autorizadas. porttil (CD/DVD/USB)
Alta
Mayor
Transferir
26
Id
Activo
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite controlar los proceso de calidad, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite controlar los proceso de calidad, por parte de personas ajenas a la empresa. Robo de la informacin, sobre los procesos de calidad, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite controlar los proceso de calidad, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite controlar los proceso de calidad, por parte de usuarios inadecuados. Robo de la informacin, sobre los procesos de calidad, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite controlar los proceso de calidad, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Prioridad Alta
Tratamiento Transferir
SIS - 14
Alta
Catastrfico
Eliminar
Alta
Catastrfico
Eliminar
Alta Media
Catastrfico Importante
Eliminar Eliminar
27
Media
Poco Significativo
Mitigar
Robo de los documentos y su informacin, sobre los resultados obtenidos en las pruebas de calidad de los productos, por parte personas sin autorizacin. Documento fsico con reportes de DOC 07 resultados de los controles de calidad
Alta
Importante
Eliminar
Robo de las copias los documentos y su informacin, sobre los resultados obtenidos en las pruebas de calidad de los productos, por parte personas sin autorizacin. Robo de la informacin contenida en los documentos sobre los resultados obtenidos en las pruebas de calidad de los productos, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Prdida o dao a los documentos que contienen la informacin sobre los resultados obtenidos en las pruebas de calidad de los productos, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Eliminar
28
Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar los niveles de calidad que tendrn los productos, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar los niveles de calidad que tendrn los productos, por parte de personas ajenas a la empresa. Robo de la informacin, sobre los niveles de calidad que tendrn los productos, por parte de personas sin autorizacin. SIS 15 Interfaz de gestin de calidad Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar los niveles de calidad que tendrn los productos, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite controlar los proceso de calidad, por parte de usuarios inadecuados. Robo de la informacin, sobre los niveles de calidad que tendrn los productos, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite gestionar los niveles de calidad que tendrn los productos, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta Alta
Mayor Mayor
Eliminar Eliminar
Alta
Mayor
Eliminar
Media
Importante
Mitigar
29
Media
Poco Significativo
Mitigar
Robo de los documentos y su informacin, sobre los distintos niveles de calidad que se le han asignado a cada diferente producto que produce la empresa, por parte personas sin autorizacin. Documento fsico con los niveles de calidad que tendrn los productos.
Alta
Importante
Eliminar
DOC 08
Robo de las copias los documentos y su informacin, sobre los distintos niveles de calidad que se le han asignado a cada diferente producto que produce la empresa, por parte personas sin autorizacin. Robo de la informacin contenida en los documentos sobre los distintos niveles de calidad que se le han asignado a cada diferente producto que produce la empresa, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin. Prdida o dao a los documentos que contienen la informacin sobre los distintos niveles de calidad que se le han asignado a cada diferente producto que produce la empresa, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
30
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de calidad, por parte de personas sin autorizacin. SIS 16 Sistema de seguimiento de produccin (qplant) Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de calidad, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de calidad, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta Alta
Importante Importante
Eliminar Eliminar
Alta
Importante
Eliminar
Media
Significativo
Mitigar
31
Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin. Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin o dao a las PC's. PC's en planta Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin.
Alta
Mayor
Eliminar
Media
Importante
Mitigar
HW 09
Alta
Mayor
Eliminar
Robo de la informacin contenida en las PCs, por parte de personas sin autorizacin. Robo de las cintas con informacin sobre la calidad de los productos por parte de personas no autorizadas. Perdida de informacin del proceso de calidad contenida en las cintas de back up.
Alta
Mayor
Eliminar
Alta
Mayor
Transferir
HW- 10
Cintas de back up
Media
Significativo
Transferir
32
HW 11
Manipulacin maliciosa del robot para daarlo, por parte de personas no autorizadas.
Media
Importante
Mitigar
Robo de informacin sobre calidad mediante el uso del dispositivo para realizar copias de las cintas de back up, por parte de personas no autorizadas.. Manipulacin maliciosa de la pantalla para daarla o robar informacin, por parte de personas no autorizadas.
Media
Mayor
Eliminar
Alta
Importante
Eliminar
HW 12
Pantalla tctil con aplicacin Q-Plant Robo de informacin sobre la calidad de los productos que se estn fabricando, por parte de personas no autorizadas. Robo de los videos registrados con las camaras de seguridad del rea de calidad, por parte de personas no autorizadas para no dejar evidencias de algn acto malicioso.. Alta Importante Eliminar
Media
Significativo
Mitigar
AF 05
Cmaras de seguridad
Manipulacin de las cmaras por parte de personas no autorizadas con el fin de mover su ngulo de filmacin o desconectarlas para evitar que se filme algn acto malicioso en el rea de calidad.
Baja
Menor
Mitigar
33
AF 06
Robo de la informacin contenida en los documentos importantes del rea de calidad, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin. Impresoras Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin mediante el fotocopiado de documentos privados del rea de calidad.. Robo de la informacin contenida en las computadoras del rea de calidad y/o dao a estas, por parte de personas no autorizadas. Robo de la informacin contenida en las computadoras del rea de calidad, por parte de personas no autorizadas.
Alta
Importante
Eliminar
Baja
Significativo
Mitigar
Alta
Mayor
Eliminar
SW 05
Correo electronico
Robo de la informacin o dao a los servidores de correo electronico, por parte de personas no autorizadas. Robo de la informacin contenida en los correos electrnicos del personal del rea de calidad, por parte de personas no autorizadas. Perdida o divulgacin de informacin confidencial de la empresa mediante el correo electronico, por parte del personal del rea de calidad.
Alta
Mayor
Eliminar
SW 06
Medios de almacenamiento Robo de los medios de almacenamiento con informacin sobre el proceso electrnico de calidad por parte de personas no autorizadas. porttil (CD/DVD/USB)
Alta
Mayor
Eliminar
34
Id
Activo
Riesgos Robo de la informacin y manipulacin maliciosa del sistema, que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa, por parte de personas ajenas a la empresa.
Tratamiento Eliminar
Alta
Importante
Eliminar
SIS 17
Robo de la informacin, sobre los inventarios tanto de materias primas como de productos terminados que tiene la empresa, por parte de personas sin autorizacin. Interfaz de Robo de la informacin y manipulacin maliciosa del sistema, que permite generacin de generar reportes del inventario tanto de materias primas como de productos reportes de terminados que tiene la empresa, por parte de personas sin autorizacin. inventarios Robo de la informacin y manipulacin maliciosa del sistema, que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa, por parte de usuarios inadecuados. Robo de la informacin, sobre los inventarios tanto de materias primas como de productos terminados que tiene la empresa, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite generar reportes del inventario tanto de materias primas como de productos terminados que tiene la empresa, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta Media
Importante Significativo
Eliminar Mitigar
35
Media
Poco Significativo
Mitigar
Robo de los documentos y su informacin, sobre los distintos reportes de inventarios de las bodegas y almacenes de la empresa, por parte personas sin autorizacin. Documento fsico con los niveles de calidad que tendrn los productos.
Alta
Importante
Eliminar
DOC 09
Robo de las copias los documentos y su informacin, sobre los distintos reportes de inventarios de las bodegas y almacenes de la empresa, por parte personas sin autorizacin. Robo de la informacin contenida en los documentos sobre los distintos reportes de inventarios de las bodegas y almacenes de la empresa, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Prdida o dao a los documentos que contienen la informacin sobre los distintos reportes de inventarios de las bodegas y almacenes de la empresa, por parte de los usuarios debido a desconocimiento.
Alta
Importante
Eliminar
36
Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes o puntos de distribucin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de personas ajenas a la empresa. Robo de la informacin, sobre la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de personas sin autorizacin. SIS 18 Interfaz de entrega de salida de productos terminados Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de usuarios inadecuados. Robo de la informacin, sobre la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes o puntos de distribucin, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite gestionar la entrega de cierta cantidad de productos para que vayan a los almacenes, por parte de personas ajenas a la empresa.
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta
Mayor
Eliminar
Alta Alta
Mayor Mayor
Eliminar Eliminar
Alta
Mayor
Eliminar
Alta
Mayor
Mitigar
37
Robo de la informacin y manipulacin maliciosa del sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas sin autorizacin. Interfaz para traslado de SIS 19 materias primas y productos entre plantas Robo de la informacin y manipulacin maliciosa del sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de usuarios inadecuados. Robo de la informacin, sobre el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que permite registrar el traslado de materias primas o productos terminados entre almacenes de la empresa, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Media
Significativo
Mitigar
38
Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas ajenas a la empresa. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas sin autorizacin. SIS 20 Sistema de seguimiento de produccin (qplant) Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de usuarios inadecuados. Robo de la informacin, sobre el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de personas sin autorizacin. Prdida o dao a la informacin o al sistema, que maneja el seguimiento de la produccin en la etapa de bodegas e inventarios, por parte de los usuarios debido a desconocimiento. Imposibilidad de identificar al o a los usuarios culpables de algn robo o dao a la informacin o a la aplicacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta Alta
Importante Importante
Eliminar Eliminar
Alta
Importante
Eliminar
Media
Significativo
Mitigar
39
DOC 10
Robo de la informacin y manipulacin maliciosa del archivo digital, que contiene toda la informacin de las mercancas como cantidad, valor de medida, precio, etc., por parte de personas sin autorizacin. Robo de la informacin y manipulacin maliciosa del archivo digital, que contiene toda la informacin de las mercancas como cantidad, valor de medida, precio, etc., por parte de personas sin autorizacin. Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin.
Alta
Importante
Eliminar
Alta
Importante
Eliminar
Alta
Mayor
Eliminar
HW 13
Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin o dao a las PC's. Robo de la informacin contenida en las PC's y manipulacin maliciosa de stas, por parte de personas sin autorizacin. Robo de la informacin contenida en las PCs, por parte de personas sin autorizacin. Robo de las cintas con informacin sobre las bodegas y almacenes, por parte de personas no autorizadas. Perdida de informacin del proceso de calidad contenida en las cintas de back up.
Alta
Mayor
Transferir
HW 14
Cintas de back up
Media
Significativo
Transferir
40
Manipulacin maliciosa del robot para daarlo, por parte de personas no autorizadas. Dispositivo (robot) para generar back ups
Media
Importante
Mitigar
HW 15
Robo de informacin sobre bodegas e inventarios mediante el uso del dispositivo para realizar copias de las cintas de back up, por parte de personas no autorizadas.
Media
Mayor
Eliminar
Manipulacin maliciosa de la pantalla para daarla o robar informacin, por parte de personas no autorizadas. HW 16 Pantalla tctil con aplicacin Q-Plant Robo de informacin sobre el almacenaje de los productos terminados, por parte de personas no autorizadas. Robo de los videos registrados con las camaras de seguridad del rea de bodegas e inventarios, por parte de personas no autorizadas para no dejar evidencias de algn acto malicioso. AF 07 Cmaras de seguridad Manipulacin de las cmaras por parte de personas no autorizadas con el fin de mover su ngulo de filmacin o desconectarlas para evitar que se filme algn acto malicioso en el rea de bodegas e inventarios.
Alta
Importante
Eliminar
Alta
Media
Significativo
Baja
Menor
Mitigar
41
AF 08
Robo de la informacin contenida en los documentos importantes del rea de bodegas e inventarios, mediante la realizacin de fotocopiado por parte de usuarios sin autorizacin. Impresoras Imposibilidad de identificar al o a los usuarios culpables de algn robo de informacin mediante el fotocopiado de documentos privados del rea de bodegas e inventarios. Robo de la informacin contenida en las computadoras del rea de bodegas e inventarios, y/o dao a estas, por parte de personas no autorizadas. Robo de la informacin contenida en las computadoras del rea de bodegas e inventarios, por parte de personas no autorizadas.
Alta
Importante
Eliminar
Baja
Significativo
Mitigar
Alta
Mayor
Eliminar
SW 07
Correo electronico
Robo de la informacin o dao a los servidores de correo electronico, por parte de personas no autorizadas. Robo de la informacin contenida en los correos electrnicos del personal del rea de bodegas e inventarios, por parte de personas no autorizadas. Perdida o divulgacin de informacin confidencial de la empresa mediante el correo electronico, por parte del personal del rea de bodegas e inventarios.
Alta
Mayor
Eliminar
SW 08
Medios de almacenamiento Robo de los medios de almacenamiento con informacin sobre el proceso electrnico de bodegas e inventarios por parte de personas no autorizadas. porttil (CD/DVD/USB)
Alta
Mayor
Transferir
42
43
Id RN R1 Clu. CA
Controles planteados para tratar los riesgos de los activos del subproceso de Planificacin:
Control 1 Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio. Control 2 Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuarios. Se deben utilizar mtodos apropiados de autentificacin para controlar el acceso de usuarios remotos. Control 3 La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Las identificaciones automticas de equipo deben ser consideradas como medios para autenticar conexiones desde locales y equipos especficos. Control 4 Las sesiones se deberan desactivar tras un periodo definido de inactividad. Los requisitos de la poltica de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organizacin, se deberan basar en los requisitos de las aplicaciones de negocio.
R2
CA
Los usuarios solo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica
Se deben revisar y probar las aplicaciones del sistema operativo cuando se efecten R3 ADM cambios, para asegurar que no impactan adversamente en el funcionamiento o en la seguridad. Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas. Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivos para asegurar la calidad de las mismas. La mayora de las instalaciones SIS SIS SIS SIS SIS SIS 01/ 02/ 03/ 04/ 05/ 06. Todos los usuarios deberan disponer un identificador nico para su uso personal y R5 CA Debera restringirse y controlarse el uso y asignacin de privilegios. debera ser escogida una tcnica de autentificacin adecuada para verificar la identidad de estos. informticas disponen de programas del sistema capaces de eludir las medidas de control del sistema o de las aplicaciones. Es fundamental que su uso se restrinja y se mantenga fuertemente controlado. Debe haber restricciones en los cambios a los La implementacin de cambios debe ser controlada usando procedimiento formales de cambio. paquetes de software. No se recomiendan modificaciones a los paquetes de software, se deberan limitar a cambios necesarios y todos estos debe ser estrictamente controlados. La poltica de seguridad debe ser revisada en R7 PS La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuacin y efectividad. Los registros de auditora grabando actividades de los usuarios, excepciones y eventos R8 GC de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente. Las instalaciones de registros de informacin deben ser protegidas contra acciones forzosas u accesos no autorizados. Las actividades del administrador y de los operadores del sistema deben ser registradas. Se debe obtener a tiempo la informacin sobre las vulnerabilidades tcnicas de los sistemas de informacin utilizadas. Se debera dar acceso a la informacin y a las funciones del sistema de aplicaciones solo a los usuarios de ste, incluido el personal de apoyo de acuerdo con una poltica de control de accesos definida. -
R4
CA
R6
ADM
R1
GC
R2
GC
CA
Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento.
Se debera formalizar un procedimiento de CA Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio. registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. La poltica de seguridad debe ser revisada en R5 PS La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuacin y efectividad. Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente.
La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios.
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin.
La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada.
El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados.
Los registros de auditora grabando actividades de los usuarios, excepciones y eventos R2 GC de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso.
Las instalaciones de registros de informacin deben ser protegidas contra acciones forzosas u accesos no autorizados. -
HW 01 R3 CA Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio.
Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. Las caractersticas de seguridad, niveles de Las redes deben ser manejadas y controladas adecuadamente para protegerse de R4 GC amenazas y para mantener la seguridad en los sistemas y aplicaciones usando las redes, incluyendo informacin en trnsito. servicio y los requisitos de gestin de todos los servicios de red deben ser identificados e incluidos en cualquier acuerdo de servicio de red, as estos servicios sean provistos dentro o fuera de la organizacin.
La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios.
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 HW 02/ SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. Se deberan Eliminar los medios de forma segura
La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada. -
R2
GC
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin. HW 03 R2 SFA La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados. Se debera formalizar un procedimiento de
La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada.
El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados.
Los equipos deberan mantenerse adecuadamente para asegurar su continua disponibilidad e integridad. -
R1 HW 0HS HW 04
CA
Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio.
registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuarios.
La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios.
R2
SFA
El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados.
Los equipos deberan mantenerse adecuadamente para asegurar su continua disponibilidad e integridad. -
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin. AF 01 El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. -
Los equipos deberan mantenerse adecuadamente para asegurar su continua disponibilidad e integridad. -
R2
SFA
Se debera formalizar un procedimiento de Una poltica de control de acceso debe ser establecida, documentada revisada y debe R1 CA estar basada en los requerimientos de seguridad y del negocio. registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuarios. AF 02/ R2 GC Los registros de auditora grabando actividades de los usuarios, excepciones y eventos de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente. Se debera adoptar una poltica formal y medidas R1 GC Se deberan implantar controles para detectar el software malicioso y prevenirse contra l junto a procedimientos adecuados para concientizar a los usuarios. de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informtica. La informacin implicada con la mensajera electrnica debe ser protegida apropiadamente.
La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Las instalaciones de registros de informacin deben ser protegidas contra acciones forzosas u accesos no autorizados.
Las actividades del administrador y de los operadores del sistema deben ser registradas.
R2
GC
Se deberan establecer polticas, procedimientos R3 SW 01 GC Se deberan implantar controles para detectar el software malicioso y prevenirse contra l junto a procedimientos adecuados para concientizar a los usuarios. y controles formales de intercambio con el fin de proteger la informacin a travs de todos los tipos de instalaciones de comunicacin. Se deberan establecer polticas, La informacin implicada con la mensajera electrnica debe ser protegida apropiadamente. Los acuerdos deben ser establecidos para el intercambio de informacin y software entre la organizacin y otros. procedimientos y controles formales de intercambio con el fin de proteger la informacin a travs de todos los tipos de instalaciones de comunicacin. La poltica de seguridad debe ser revisada en R5 PS La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continu, adecuacin y efectividad. -
R4
GC
SW 02
R1
SFAS SFA
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado.
La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada. -
Id RN R1 Clu. CA
Controles planteados para tratar los riesgos de los activos del subproceso de Manufactura:
Control 1 Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio. Control 2 Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuarios. Se deben utilizar mtodos apropiados de autentificacin para controlar el acceso de usuarios remotos. Control 3 La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Las identificaciones automticas de equipo deben ser consideradas como medios para autenticar conexiones desde locales y equipos especficos. Control 4 Las sesiones se deberan desactivar tras un periodo definido de inactividad. Los requisitos de la poltica de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organizacin, se deberan basar en los requisitos de las aplicaciones de negocio.
R2
CA
Los usuarios solo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica
Se deben revisar y probar las aplicaciones del sistema operativo cuando se efecten R3 ADM cambios, para asegurar que no impactan adversamente en el funcionamiento o en la seguridad. Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas. Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. La mayora de las instalaciones SIS SIS SIS SIS SIS SIS SIS 07/ 08/ 09/ 10/ 11/ 12/ 13. Todos los usuarios deberan disponer un identificador nico para su uso personal y R5 CA Debera restringirse y controlarse el uso y asignacin de privilegios. debera ser escogida una tcnica de autentificacin adecuada para verificar la identidad de estos. informticas disponen de programas del sistema capaces de eludir las medidas de control del sistema o de las aplicaciones. Es fundamental que su uso se restrinja y se mantenga fuertemente controlado. Debe haber restricciones en los cambios a los La implementacin de cambios debe ser controlada usando procedimiento formales de cambio. paquetes de software. No se recomiendan modificaciones a los paquetes de software, se deberan limitar a cambios necesarios y todos estos debe ser estrictamente controlados. La poltica de seguridad debe ser revisada en R7 PS La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuacin y efectividad. Los registros de auditora grabando actividades de los usuarios, excepciones y eventos R8 GC de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente. Las instalaciones de registros de informacin deben ser protegidas contra acciones forzosas u accesos no autorizados. Las actividades del administrador y de los operadores del sistema deben ser registradas. Se debe obtener a tiempo la informacin sobre las vulnerabilidades tcnicas de los sistemas de informacin utilizadas. Se debera dar acceso a la informacin y a las funciones del sistema de aplicaciones solo a los usuarios de ste, incluido el personal de apoyo de acuerdo con una poltica de control de accesos definida. -
R4
CA
R6
ADM
R1
GC
R2
GC
CA
Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento.
Se debera formalizar un procedimiento de CA Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio. registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. La poltica de seguridad debe ser revisada en R5 PS La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuacin y efectividad. Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente.
La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios.
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin.
La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada.
El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados.
Los registros de auditora grabando actividades de los usuarios, excepciones y eventos R2 GC de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso.
Las instalaciones de registros de informacin deben ser protegidas contra acciones forzosas u accesos no autorizados. -
HW 05 R3 CA Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio.
Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. Las caractersticas de seguridad, niveles de Las redes deben ser manejadas y controladas adecuadamente para protegerse de R4 GC amenazas y para mantener la seguridad en los sistemas y aplicaciones usando las redes, incluyendo informacin en trnsito. servicio y los requisitos de gestin de todos los servicios de red deben ser identificados e incluidos en cualquier acuerdo de servicio de red, as estos servicios sean provistos dentro o fuera de la organizacin.
La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios.
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 HW 06/ SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. Se deberan Eliminar los medios de forma segura
La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada. -
R2
GC
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin. HW 07 R2 SFA La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados. Se debera formalizar un procedimiento de
La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada.
El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados.
Los equipos deberan mantenerse adecuadamente para asegurar su continua disponibilidad e integridad. -
R1 HW 0HS HW 08
CA
Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio.
registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuarios.
La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios.
R2
SFA
El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados.
Los equipos deberan mantenerse adecuadamente para asegurar su continua disponibilidad e integridad. -
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin. AF 03 El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. -
Los equipos deberan mantenerse adecuadamente para asegurar su continua disponibilidad e integridad. -
R2
SFA
Se debera formalizar un procedimiento de Una poltica de control de acceso debe ser establecida, documentada revisada y debe R1 CA estar basada en los requerimientos de seguridad y del negocio. registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuarios. AF 04/ R2 GC Los registros de auditora grabando actividades de los usuarios, excepciones y eventos de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente. Se debera adoptar una poltica formal y medidas R1 GC Se deberan implantar controles para detectar el software malicioso y prevenirse contra l junto a procedimientos adecuados para concientizar a los usuarios. de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informtica. La informacin implicada con la mensajera electrnica debe ser protegida apropiadamente.
La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Las instalaciones de registros de informacin deben ser protegidas contra acciones forzosas u accesos no autorizados.
Las actividades del administrador y de los operadores del sistema deben ser registradas.
R2
GC
Se deberan establecer polticas, procedimientos R3 SW 03 GC Se deberan implantar controles para detectar el software malicioso y prevenirse contra l junto a procedimientos adecuados para concientizar a los usuarios. y controles formales de intercambio con el fin de proteger la informacin a travs de todos los tipos de instalaciones de comunicacin. Se deberan establecer polticas, La informacin implicada con la mensajera electrnica debe ser protegida apropiadamente. Los acuerdos deben ser establecidos para el intercambio de informacin y software entre la organizacin y otros. procedimientos y controles formales de intercambio con el fin de proteger la informacin a travs de todos los tipos de instalaciones de comunicacin. La poltica de seguridad debe ser revisada en R5 PS La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continu, adecuacin y efectividad. -
R4
GC
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o SW 04 R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado.
La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada. -
Id RN R1 Clu. CA
Controles planteados para tratar los riesgos de los activos del subproceso de Calidad:
Control 1 Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio. Control 2 Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuarios. Se deben utilizar mtodos apropiados de autentificacin para controlar el acceso de usuarios remotos. Control 3 La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Las identificaciones automticas de equipo deben ser consideradas como medios para autenticar conexiones desde locales y equipos especficos. Control 4 Las sesiones se deberan desactivar tras un periodo definido de inactividad. Los requisitos de la poltica de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organizacin, se deberan basar en los requisitos de las aplicaciones de negocio.
R2
CA
Los usuarios solo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica
Se deben revisar y probar las aplicaciones del sistema operativo cuando se efecten R3 ADM cambios, para asegurar que no impactan adversamente en el funcionamiento o en la seguridad. Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas. Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. La mayora de las instalaciones Todos los usuarios deberan disponer un SIS 14/ SIS 15/ SIS 16. identificador nico para su uso personal y R5 CA Debera restringirse y controlarse el uso y asignacin de privilegios. debera ser escogida una tcnica de autentificacin adecuada para verificar la identidad de estos. informticas disponen de programas del sistema capaces de eludir las medidas de control del sistema o de las aplicaciones. Es fundamental que su uso se restrinja y se mantenga fuertemente controlado. Debe haber restricciones en los cambios a los La implementacin de cambios debe ser controlada usando procedimiento formales de cambio. paquetes de software. No se recomiendan modificaciones a los paquetes de software, se deberan limitar a cambios necesarios y todos estos debe ser estrictamente controlados. La poltica de seguridad debe ser revisada en R7 PS La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuacin y efectividad. Los registros de auditora grabando actividades de los usuarios, excepciones y eventos R8 GC de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente. Las instalaciones de registros de informacin deben ser protegidas contra acciones forzosas u accesos no autorizados. Las actividades del administrador y de los operadores del sistema deben ser registradas. Se debe obtener a tiempo la informacin sobre las vulnerabilidades tcnicas de los sistemas de informacin utilizadas. Se debera dar acceso a la informacin y a las funciones del sistema de aplicaciones solo a los usuarios de ste, incluido el personal de apoyo de acuerdo con una poltica de control de accesos definida. -
R4
CA
R6
ADM
10
R1
GC
R2
GC
CA
Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento.
Se debera formalizar un procedimiento de CA Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio. registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. La poltica de seguridad debe ser revisada en R5 PS La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuacin y efectividad. Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente.
La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios.
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin.
La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada.
El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados.
Los registros de auditora grabando actividades de los usuarios, excepciones y eventos R2 GC de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso.
Las instalaciones de registros de informacin deben ser protegidas contra acciones forzosas u accesos no autorizados. -
HW 09 R3 CA Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio.
Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. Las caractersticas de seguridad, niveles de Las redes deben ser manejadas y controladas adecuadamente para protegerse de R4 GC amenazas y para mantener la seguridad en los sistemas y aplicaciones usando las redes, incluyendo informacin en trnsito. servicio y los requisitos de gestin de todos los servicios de red deben ser identificados e incluidos en cualquier acuerdo de servicio de red, as estos servicios sean provistos dentro o fuera de la organizacin.
La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios.
11
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 HW 10/ SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. Se deberan Eliminar los medios de forma segura
La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada. -
R2
GC
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin. HW 11 R2 SFA La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados. Se debera formalizar un procedimiento de
La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada.
El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados.
Los equipos deberan mantenerse adecuadamente para asegurar su continua disponibilidad e integridad. -
R1 HW 0HS HW 12
CA
Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio.
registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuarios.
La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios.
R2
SFA
El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados.
Los equipos deberan mantenerse adecuadamente para asegurar su continua disponibilidad e integridad. -
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin. AF 05 El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. -
Los equipos deberan mantenerse adecuadamente para asegurar su continua disponibilidad e integridad. -
R2
SFA
12
Se debera formalizar un procedimiento de Una poltica de control de acceso debe ser establecida, documentada revisada y debe R1 CA estar basada en los requerimientos de seguridad y del negocio. registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuarios. AF 06/ R2 GC Los registros de auditora grabando actividades de los usuarios, excepciones y eventos de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente. Se debera adoptar una poltica formal y medidas R1 GC Se deberan implantar controles para detectar el software malicioso y prevenirse contra l junto a procedimientos adecuados para concientizar a los usuarios. de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informtica. La informacin implicada con la mensajera electrnica debe ser protegida apropiadamente.
La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Las instalaciones de registros de informacin deben ser protegidas contra acciones forzosas u accesos no autorizados.
Las actividades del administrador y de los operadores del sistema deben ser registradas.
R2
GC
Se deberan establecer polticas, procedimientos R3 SW 05 GC Se deberan implantar controles para detectar el software malicioso y prevenirse contra l junto a procedimientos adecuados para concientizar a los usuarios. y controles formales de intercambio con el fin de proteger la informacin a travs de todos los tipos de instalaciones de comunicacin. Se deberan establecer polticas, La informacin implicada con la mensajera electrnica debe ser protegida apropiadamente. Los acuerdos deben ser establecidos para el intercambio de informacin y software entre la organizacin y otros. procedimientos y controles formales de intercambio con el fin de proteger la informacin a travs de todos los tipos de instalaciones de comunicacin. La poltica de seguridad debe ser revisada en R5 PS La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continu, adecuacin y efectividad. -
R4
GC
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o SW 06 R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado.
La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada. -
13
Controles planteados para tratar los riesgos de los activos del subproceso de Bodegas e inventarios:
Id
RN R1
Clu. CA
Control 1 Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio.
Control 2 Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuarios. Se deben utilizar mtodos apropiados de autentificacin para controlar el acceso de usuarios remotos.
Control 3 La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Las identificaciones automticas de equipo deben ser consideradas como medios para autenticar conexiones desde locales y equipos especficos.
Control 4 Las sesiones se deberan desactivar tras un periodo definido de inactividad. Los requisitos de la poltica de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organizacin, se deberan basar en los requisitos de las aplicaciones de negocio.
R2
CA
Los usuarios solo deberan tener acceso directo a los servicios para los que estn autorizados de una forma especfica
Se deben revisar y probar las aplicaciones del sistema operativo cuando se efecten R3 ADM cambios, para asegurar que no impactan adversamente en el funcionamiento o en la seguridad. Los usuarios deberan seguir buenas prcticas de seguridad para la seleccin y uso de sus contraseas. Los sistemas de gestin de contraseas deberan proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. La mayora de las instalaciones Todos los usuarios deberan disponer un SIS SIS SIS SIS 17/ 18/ 19/ 20. identificador nico para su uso personal y R5 CA Debera restringirse y controlarse el uso y asignacin de privilegios. debera ser escogida una tcnica de autentificacin adecuada para verificar la identidad de estos. informticas disponen de programas del sistema capaces de eludir las medidas de control del sistema o de las aplicaciones. Es fundamental que su uso se restrinja y se mantenga fuertemente controlado. Debe haber restricciones en los cambios a los La implementacin de cambios debe ser controlada usando procedimiento formales de cambio. paquetes de software. No se recomiendan modificaciones a los paquetes de software, se deberan limitar a cambios necesarios y todos estos debe ser estrictamente controlados. La poltica de seguridad debe ser revisada en R7 PS La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuacin y efectividad. Los registros de auditora grabando actividades de los usuarios, excepciones y eventos R8 GC de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente. Las instalaciones de registros de informacin deben ser protegidas contra acciones forzosas u accesos no autorizados. Las actividades del administrador y de los operadores del sistema deben ser registradas. Se debe obtener a tiempo la informacin sobre las vulnerabilidades tcnicas de los sistemas de informacin utilizadas. Se debera dar acceso a la informacin y a las funciones del sistema de aplicaciones solo a los usuarios de ste, incluido el personal de apoyo de acuerdo con una poltica de control de accesos definida. -
R4
CA
R6
ADM
14
R1
GC
R2
GC
R3 DOC 09 R4
CA
Se debera adoptar una poltica de escritorio limpio para papeles y medios removibles de almacenamiento.
Se debera formalizar un procedimiento de CA Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio. registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. La poltica de seguridad debe ser revisada en R5 PS La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuacin y efectividad. Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente.
La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios.
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin.
La seguridad fsica para oficinas, despachos y recur-sos debe ser asignada y aplicada.
El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados.
Los registros de auditora grabando actividades de los usuarios, excepciones y eventos R2 GC de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso.
Las instalaciones de registros de informacin deben ser protegidas contra acciones forzosas u accesos no autorizados. -
HW 13 R3 CA Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio.
Se debera formalizar un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuario. Las caractersticas de seguridad, niveles de Las redes deben ser manejadas y controladas adecuadamente para protegerse de R4 GC amenazas y para mantener la seguridad en los sistemas y aplicaciones usando las redes, incluyendo informacin en trnsito. servicio y los requisitos de gestin de todos los servicios de red deben ser identificados e incluidos en cualquier acuerdo de servicio de red, as estos servicios sean provistos dentro o fuera de la organizacin.
La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios.
15
Una poltica de control de acceso debe ser establecida, documentada revisada y debe R1 DOC 10 R2 CA CA estar basada en los requerimientos de seguridad y del negocio. Se deberan establecer polticas, procedimientos y controles formales de intercambio con el fin de proteger la informacin a travs de todos los tipos de instalaciones de comunicacin. Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 HW 14 GC Debera haber procedimientos para la gestin de medios informticos removibles. SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. Se deberan Eliminar los medios de forma segura
La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada. -
R2
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin. HW 15 R2 SFA La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados. Se debera formalizar un procedimiento de
La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada.
El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados.
Los equipos deberan mantenerse adecuadamente para asegurar su continua disponibilidad e integridad. -
R1
CA
Una poltica de control de acceso debe ser establecida, documentada revisada y debe estar basada en los requerimientos de seguridad y del negocio.
registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuarios.
La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios.
HW 16 El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados. Los equipos deberan mantenerse adecuadamente para asegurar su continua disponibilidad e integridad. -
R2
SFA
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin. AF 07 El equipo debera situarse y protegerse para reducir el riesgo de amenazas del entorno, as como las oportunidades de accesos no autorizados.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado. -
Los equipos deberan mantenerse adecuadamente para asegurar su continua disponibilidad e integridad. -
R2
SFA
16
Se debera formalizar un procedimiento de Una poltica de control de acceso debe ser establecida, documentada revisada y debe R1 CA estar basada en los requerimientos de seguridad y del negocio. registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de informacin multiusuarios. AF 08 R2 GC Los registros de auditora grabando actividades de los usuarios, excepciones y eventos de la seguridad de informacin deben ser producidos y guardados por un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso. Los procedimientos para el uso del monitoreo de procesamiento de informacin, deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente. Se debera adoptar una poltica formal y medidas R1 GC Se deberan implantar controles para detectar el software malicioso y prevenirse contra l junto a procedimientos adecuados para concientizar a los usuarios. de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informtica. La informacin implicada con la mensajera electrnica debe ser protegida apropiadamente.
La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. Las instalaciones de registros de informacin deben ser protegidas contra acciones forzosas u accesos no autorizados.
Las actividades del administrador y de los operadores del sistema deben ser registradas.
R2
GC
Se deberan establecer polticas, procedimientos R3 SW 07 GC Se deberan implantar controles para detectar el software malicioso y prevenirse contra l junto a procedimientos adecuados para concientizar a los usuarios. y controles formales de intercambio con el fin de proteger la informacin a travs de todos los tipos de instalaciones de comunicacin. Se deberan establecer polticas, La informacin implicada con la mensajera electrnica debe ser protegida apropiadamente. Los acuerdos deben ser establecidos para el intercambio de informacin y software entre la organizacin y otros. procedimientos y controles formales de intercambio con el fin de proteger la informacin a travs de todos los tipos de instalaciones de comunicacin. La poltica de seguridad debe ser revisada en R5 PS La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continu, adecuacin y efectividad. -
R4
GC
Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas, o SW 08 R1 SFA un puesto manual de recepcin) deben ser usados para proteger reas que contengan informacin y recursos de procesamiento de informacin.
Las reas de seguridad deben estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo al personal autorizado.
La seguridad fsica para oficinas, despachos y recursos debe ser asignada y aplicada. -
17
18
definidos de la gestin de revisin, incluyendo un calendario o periodo de revisin. El output para la revisin de la gestin debe incluir informacin acerca de: Mejoras en el alcance de la organizacin para gestionar seguridad de informacin y sus procesos. Mejoras en los objetivos de control controles. Mejoras en la asignacin de recursos y/o responsabilidades.
controles
de
autenticacin,
por
ejemplo,
tarjetas
con
nmero
de
identificacin personal (PIN), para autorizar y validar el acceso. Se debera mantener un rastro auditable de todos los accesos, con las debidas medidas de seguridad. Se debera exigir a todo el personal que lleve puesta alguna forma de identificacin visible y se le pedir que solicite a los extraos no acompaados y a cualquiera que no lleve dicha identificacin visible, que se identifique. Se debe garantizar el acceso restringido al personal de apoyo tercerizado, hacia reas de seguridad o a los recursos de procesamiento de informacin sensibles, solo cuando este sea requerido. Este acceso debe ser autorizado y monitoreado. Se deberan revisar y actualizar regularmente los derechos de acceso a las reas de seguridad. Para la seguridad fsica de las oficinas se deberan considerar las siguientes pautas: Se debera tomar en cuenta regulaciones y estndares de salud y seguridad. Se deben instalar equipos con clave para evitar el acceso del pblico. Donde sea aplicable, los edificios deben ser discretos y deben dar una mnima indicacin de su propsito, sin signos obvios, fuera o dentro del edificio, que identifiquen la presencia de actividades de tratamiento de informacin. Los directorios y las guas telefnicas internas identificando locaciones de los recursos de informacin sensible no deben ser fcilmente accesibles por el pblico.
Los archivos ingresados. El programa o recursos utilizados. Todas las operaciones privilegiadas como: Uso de cuentas privilegiadas, como supervisores, administradores. Puesta en marcha y parada del sistema. Conexin o desconexin de un recurso de entrada o salida. Intentos de accesos no autorizados, como: Intentos fallidos. Acciones con fallas o rechazadas que involucran datos y otros recursos. Violaciones a la poltica de acceso y las notificaciones de los firewalls y entradas de red. Las alertas de los sistemas de deteccin de intrusos del propietario. Alertas o fallas del sistema, como: Alertas o mensajes de consola. Excepciones de registro en el sistema. Alarmas de la gerencia de red. Alarmas levantadas por los sistemas de control de accesos. Cambios o intentos de cambio a la configuracin y controles de los sistemas de seguridad.
La peticin a los usuarios para que reconozcan con su firma la comprensin de las condiciones de acceso. La garanta de que no se provea acceso al servicio hasta que se haya completado los proceso de autorizacin. El mantenimiento de un registro formalizado de todos los autorizados para usar el servicio. La eliminacin inmediata de las autorizaciones de acceso a los usuarios que dejan la organizacin o cambien de trabajo en ella. La revisin peridica y eliminacin de identificadores y cuentas de usuarios redundantes.
Se debera controlar la asignacin de privilegios, por un proceso formal de autorizacin en los sistemas multiusuario. Se deberan considerar los pasos siguientes: Identificar los privilegios asociados a cada elemento del sistema, por ejemplo, el sistema operativo, el sistema gestor de base de datos y cada aplicacin. Asignar privilegios a los individuos segn los principios de necesidad de sus uso y caso por caso y en lnea con la poltica de control de acceso. Mantener un proceso de autorizacin y un registro de todos los privilegios asignados. Promover el desarrollo y uso de rutinas del sistema para evitar la asignacin de privilegios a los usuarios. El proceso de controlar la asignacin de contraseas debe incluir los siguientes requisitos: Requerir que los usuarios firmen un compromiso para mantener secreto sus contraseas personales y las compartidas por un grupo solo entre los miembros de dicho grupo. Proporcionar inicialmente una contrasea temporal segura que
forzosamente deben cambiar inmediatamente despus. Establecer procedimientos para verificar la identidad de un usuario antes de proveer una contrasea nueva, de reemplazo o temporal.
Establecer un conducto seguro para hacer llegar las contraseas temporales a los usuarios. Se debera evitar su envo por terceros o por mensajes no cifrados de correo electrnico.
Las contraseas temporales deben ser nicas para cada individuo y no deben ser obvias. Los usuarios deberan remitir acuse de recibo de sus contraseas.
10
integrados siempre que sea posible. Este proceso debera incluir: El mantenimiento de un registro de los niveles de autorizacin acordados. La garanta de que los cambios se realizan por usuarios autorizados. La revisin de los controles y procedimientos de integridad para asegurarse que los cambios no los debilitan. La identificacin de todo el software, informacin, entidades de bases de datos y hardware que requiera mejora. La obtencin de la aprobacin formal para propuestas detalladas antes de empezar el trabajo. La garanta de la aceptacin por parte del usuario autorizado de los cambios antes de cualquier implantacin. Adems se deberan revisar y probar las aplicaciones cuando se efecten cambios. Este proceso debera incluir: La revisin de los procedimientos de control de la aplicacin y de la integridad para asegurar que los cambios en el sistema operativo no han sido comprometidos. La garanta de que el plan de soporte anual y el presupuesto cubren las revisiones y las pruebas del sistema que requieran los cambios del sistema operativo. 11
La garanta de que la modificacin de los cambios del sistema operativo se realiza a tiempo para que puedan hacerse las revisiones apropiadas antes de su implantacin.
12
II. Alcance: Esta poltica contempla a todos los equipos de cmputo, telefona y celulares que el rea de Sistemas tiene a su cargo y que pueda ser asignado permanente o temporalmente a personal de la empresa, incluyendo a empleados, practicantes y personal de outsourcing. Esta poltica establece los lineamientos acerca de la solicitud, aprobacin, asignacin o reasignacin, y desincorporacin por
Equipos de cmputo y telefona: Cualquier dispositivo que el rea de Sistemas administra y suministra al personal que lo requiera, tales como: PCs, laptops, impresoras, telfonos fijos, entre otros.
Celulares: Equipos celulares contratados a operadores de telefona local que el rea de Sistemas administra y suministra al personal que lo requiera.
IV. Poltica:
A continuacin se detalla la descripcin de la presente poltica. Es responsabilidad de la Gerencia de Sistemas evaluar las alternativas tecnolgicas existentes en el mercado con la finalidad de proveer equipos de computacin acordes con los requerimientos de la Empresa . La Gerencia de Sistemas deber elaborar anualmente los planes de adquisicin de equipos de cmputo y celulares que requiera la Compaa tomando como base los estndares aprobados y lo establecido en la poltica de activos fijos de la empresa. Toda solicitud de equipos de cmputo y celulares deber ser realizada por la Gerencia del usuario solicitante a travs del responsable designado por la
Gerencia de Sistemas, previa aprobacin del Director o Gerente del rea correspondiente y de la Gerencia de Sistemas, con los tiempos de anticipacin establecidos. Dicha aprobacin deber contar con el sustento del requerimiento de acuerdo con las funciones y puesto del usuario solicitante.
Es responsabilidad del rea de compras evaluar los posibles proveedores y realizar las compras de los equipos recomendados por la Gerencia de Sistemas de Informacin o Tecnologa de Informacin para satisfacer los requerimientos de la Empresa de acuerdo a lo establecido en la poltica de Compras del rea Andina y sobre la base de los acuerdos corporativos establecidos.
En aquellos casos donde el activo a adquirir no se comercialice en el pas y localidad solicitante y el tiempo de entrega pueda exceder lo contemplado inicialmente, la Gerencia de Sistemas deber notificar al usuario solicitante la fecha estimada de entrega del equipo solicitado.
La asignacin, reasignacin, administracin, distribucin y mantenimiento de los equipos de cmputo es responsabilidad de la Gerencia de Sistemas. Para el caso de los mantenimientos y gestiones referidas al cumplimiento de garantas, la Gerencia de Sistemas deber canalizarlo a travs de los proveedores correspondientes.
Todos los movimientos de equipos de cmputo sern efectuados por la Gerencia de Sistemas previa solicitud del rea que lo requiera y debern ser notificados inmediatamente a la Gerencia o Coordinacin de Contabilidad para su incorporacin o actualizacin en el sistema contable respectivo.
La Gerencia de Sistemas deber evaluar y proveer a los usuarios, los equipos que satisfagan la carga de trabajo requerida y las ventajas tcnicas adicionales de acuerdo a su funcin y puesto.
Toda solicitud de equipos que no se encuentren definidos bajo los estndares de la compaa, no cumplan con la normativa establecida en esta poltica y puedan ser catalogados como riesgosos para la Compaa, debern ser autorizados por la Gerencia de Sistemas.
Ser responsabilidad de la Gerencia de Sistemas atender todas las solicitudes y reclamos a travs del Service Desk o Soporte de Comunicaciones, segn sea el caso.
V. Disposiciones particulares:
Auditora y Revisin La Gerencia de Sistemas ser la responsable de realizar revisiones peridicas (cada 6 meses) de la presente poltica a fin de revisar si existe algn cambio relevante que deba ser indicado en el presente documento.
Excepciones Las excepciones a esta poltica debern ser aprobadas por la Gerencia de Sistemas de la empresa o la persona que l designe.
Sanciones Las acciones que incumplan al presente procedimiento se harn efectivas de acuerdo con la falta cometida y a la evaluacin realizada por las Gerencias competentes.
Este lineamiento incluye textos de la norma ISO/IEC 17799 (2002 y 2005) y de la metodologa de desarrollo de aplicaciones en la plataforma Microsoft, a fin de considerarlos como mejores prcticas en seguridad de la informacin a ser incluidos en los sistemas de informacin desarrollados y utilizados en la Compaa. Este lineamiento contempla la infraestructura, las aplicaciones de negocio y las aplicaciones desarrolladas por usuarios.
III. Lineamientos Generales: A continuacin se detalla la descripcin del presente lineamiento referente al proceso de desarrollo de sistemas.
Indicar explcitamente en los requerimientos del negocio para sistemas nuevos o mejoras a sistemas existentes los controles de aplicacin que van a ser implementados en el desarrollo de las mismas. Dichas especificaciones deberan considerar los controles automatizados a ser incorporados en el sistema y la necesidad de controles manuales de apoyo. Se deberan aplicar consideraciones similares cuando se evalen paquetes de software para aplicaciones de negocio.
Validar los datos de entrada a las aplicaciones del sistema para garantizar que estos sean ingresados de manera correcta y apropiada. Se deberan aplicar verificaciones a la entrada de las transacciones , de los datos de referencia (por ejemplo nombres y direcciones, lmites de crdito, nmeros de clientes) y de las tablas de parmetros (por ejemplo precios de venta, tasas de cambio de monedas, tasas de impuestos, entre otros).
Verificar que los datos ingresados al sistema no hayan sido corrompidos por errores del proceso o por actos deliberados. Se deberan incorporar a los sistemas, comprobaciones de validacin para detectar dicha corrupcin. El 5
diseo de las aplicaciones debera asegurar la implantacin de controles que minimicen el riesgo de los fallos del proceso con prdidas de integridad.
Los controles requeridos dependern del diseo de la aplicacin y de la complejidad de la corrupcin de los datos que puedan impactar en el negocio. Validar los datos de salida de los sistemas de informacin para garantizar que el proceso de la informacin ha sido correcto y ha culminado
satisfactoriamente a travs de controles de aplicacin. Dichos controles incluirn la validacin, verificacin y prueba de los datos.
Los controles criptogrficos se podran determinar previamente, desde el diseo del sistema como posteriormente, luego de la evaluacin de riesgos. Dependiendo del momento en que se definan dichos controles, se podr especificar si las medidas criptogrficas son aplicables al sistema de informacin y se podr definir qu tipo de control criptogrfico se debera aplicar, con qu propsito y en qu procesos del negocio.
Para asegurar que cualquier modificacin de los archivos, libreras o cualquier objeto de los programas fuentes sean manejados a cabo de una forma segura, se deberan tomar en cuenta los siguientes controles: Control del software en produccin, proteccin de los datos de prueba del sistema, control de acceso a las libreras de programas fuente.
Se deberan revisar y probar las aplicaciones del sistema cuando se efecten cambios, para asegurar que no impactan adversamente en el funcionamiento o en la seguridad.
No se recomiendan modificaciones a los paquetes de software. Se deberan usar los paquetes de software suministrados por los proveedores sin modificacin en la medida que sea factible.
Considerar los siguientes controles a fin de mitigar posible cdigo malicioso o encubierto en los sistemas de informacin o software: o o o o o Adquirir programas solamente de fuente confiable; Adquirir programas en cdigo fuente de tal forma que el cdigo pueda ser verificado Utilizar productos evaluados Inspeccionar todo cdigo fuente antes de su uso operativo Controlar el acceso y las modificaciones en todo cdigo una vez implementado
Utilizar personal de confianza para trabajar en los sistemas clave del negocio
Se deberan considerar los siguientes controles cuando se tercerice el desarrollo de software: o Acuerdos bajo licencia, acuerdos de confidencialidad de informacin, propiedad del cdigo y derechos de propiedad intelectual. o o o o o Certificacin de la calidad y exactitud del trabajo realizado. Acuerdos acerca de fallas posteriores a la implementacin. Derechos de acceso para auditar la calidad y exactitud del trabajo realizado. Requisitos contractuales sobre la calidad del cdigo. Pruebas antes de la implantacin para detectar posible cdigo malicioso o encubierto.
Auditora y Revisin La Gerencia de Sistemas ser la responsable de realizar revisiones peridicas (cada 6 meses) de la presente poltica a fin de revisar si existe algn cambio relevante que deba ser indicado en el presente documento.
Excepciones Las excepciones a esta poltica debern ser aprobadas por la Gerencia de Sistemas de la empresa o la persona que l designe.
Sanciones Las acciones que incumplan al presente procedimiento se harn efectivas de acuerdo con la falta cometida y a la evaluacin realizada por las Gerencias competentes.
II. Alcance:
Se encuentran alcanzadas por la presente poltica todas las aplicaciones de la plataforma Windows que cumplan con alguna de las siguientes caractersticas: a. Aplicaciones desarrolladas por el equipo de Soporte local. b. Aplicaciones desarrolladas por consultoras externas, pero cuyo cdigo fuente sea propiedad de la empresa. c. Aplicaciones de terceros sujetas a cambios realizados por el equipo de Soporte. En este caso solo se mantendrn los objetos a ser modificados.
Asimismo, se encuentran alcanzados todos los proyectos de implementacin o cambio de versin de sistemas aplicativos locales. III. Lineamientos Generales:
1) Procedimiento de manejo de Cdigos Fuente Se deben mantener en lnea las ltimas dos versiones del cdigo fuente u objetos a ser modificados. La administracin del cdigo fuente de las aplicaciones u objetos a ser modificados es realizada nicamente por parte de los Managers y Project Managers del rea de sistemas. Dentro del directorio debe existir un directorio con el nombre de la aplicacin a resguardar y una subcarpeta con cada versin de la misma. Cada actualizacin de cdigos fuentes debe ir acompaada por un archivo log indicando las modificaciones realizadas a dicho cdigo fuente.
En el caso de requerirse por parte de un programador o consultor externo, la ltima versin del cdigo fuente de una aplicacin, se deber solicitar el mismo al Project Manager responsable del control de la aplicacin a ser modificada. Tanto la solicitud de cdigos fuentes como la entrega de nuevas versiones de cdigos fuentes deben quedar registradas en un mail.
2) Procedimiento de Change Manegement aprobacin sobre cambios a los aplicativos, puesta en produccin y test. El procedimiento de Change Manangement ser administrado a travs de la aplicacin ClearQuest. En ClearQuest deber existir un Group dentro del Systemgroup de Sistemas de Cono Sur para cada una de las aplicaciones alcanzadas por el procedimiento de Change Management. De
requerirse, se podr separar los Grupos por mdulos de la aplicacin. En el caso de tratarse de aplicaciones de terceros, todo cambio en las mismas deber ser informado previamente a sistemas,
crendose un CR que respalde cualquier tipo de modificacin. En el caso de existir cambios no informados por el usuario o el proveedor, se informar a los responsables de las reas involucradas a los efectos de tomar las acciones correctivas necesarias.
II. Alcance:
Las pautas y lineamientos establecidos en esta norma, son de aplicacin y cumplimiento asociado a TODAS las tareas, funciones y responsabilidades de TODOS los empleados de la empresa.
Siempre sepa con quin se est comunicando. Verifique la identidad de cualquiera que diga que es de una compaa que trabaja con la empresa.
10
Obtenga el nombre de la persona, empresa, nmero telefnico y su nmero de documento y llame a la Compaa para verificar que la persona sea un empleado.
No revele informacin personal o de negocios sin antes saber cmo ser utilizada. No incluya informacin sensible del negocio en e-mail (a menos que utilice un encriptado aprobado). Nunca discuta informacin sensible de la Compaa por telfono. Nunca hable de informacin sensible del negocio en lugares pblicos. No discuta informacin sensible con personas ajenas a la Compaa, a menos que tenga una necesidad de saber. Deshgase de informacin de la Compaa siguiendo las polticas de manejo de documentacin de la Compaa, retencin y eliminacin.
Oficinas Privadas:
Los empleados que ocupan una oficina total o parcialmente cerrada, debern resguardar documentacin e informacin propietaria / activos, en mobiliarios, cajas de seguridad (cuando se trate de valores, certificaciones de propiedad u otra documentacin similar) o cajoneras personales, con cerraduras de seguridad con llave.
Ser responsabilidad de los empleados ocupantes de oficinas, contemplar los riesgos inherentes a la seguridad de la informacin sensible en su poder, solicitando al responsable del sector de Servicio de Oficina, todos los elementos necesarios para asegurar la guarda y conservacin de los mismos.
En todos los casos, el empleado deber contemplar el estado de seguridad de la documentacin y de los bienes asignados en sus momentos de ausencia, limitando el posible acceso a su oficina y/o practicando su guarda bajo llave.
Los empleados poseedores de oficinas, sern nicos responsables por la prdida, extravo o destruccin de la documentacin y/o de los bienes asignados, siempre que no se verifique una violacin expresa al recinto y/o a los instrumentos elegidos para guarda y conservacin.
11
Los empleados que ocupan oficinas privadas no podrn limitar el acceso a las mismas al finalizar su jornada laboral o durante perodos prolongados de ausencia, permitiendo el aseo y mantenimiento del recinto. Esta accin, no limita su responsabilidad y deber contemplar, segn se establece en los puntos anteriores, la correcta guarda y conservacin de los elementos y de la informacin sensible del negocio.
Los empleados que trabajen en espacios abiertos (ubicaciones de piso de administracin) debern contemplar los riesgos inherentes a la seguridad de la informacin sensible en su poder, y solicitar al responsable del sector de Servicio de Oficina, todos los elementos necesarios para asegurar la guarda y conservacin de los mismos.
Con el objeto de minimizar riesgos, los empleados que trabajen en espacios abiertos, debern asegurarse que el mobiliario asignado (cajones, muebles, etc.) posea la capacidad adecuada a los efectos de archivo sectorial, con cerradura y llave por duplicado.
Los empleados debern identificar las llaves y entregarn copia de stas al responsable del rea o sector al que pertenecen, a los efectos de permitir el acceso a la documentacin a dicho responsable, en caso de ausencia del empleado y bajo necesidad de urgencia.
Cuando la documentacin supere en volumen de capacidad al mobiliario asignado, dicha documentacin deber ser clasificada y claramente identificada, para ser remitida al Archivo General de la Organizacin.
Protejan la informacin sensible del negocio como por ejemplo, toda informacin de planeamiento comercial o financiero y documentos contables, anlisis de investigacin de mercado, desarrollo de nuevos producto, planes de fabricacin y produccin, estrategias de venta, informacin del personal, informacin del cliente y/o consumidor, etc.; del robo o acceso / uso no autorizados.
12
Aseguren la informacin sensible cuando no se encuentran en su espacio laboral luego del horario de trabajo, cuando estn de viaje de negocios / feriados / vacaciones o, cuando utilizan impresoras, fotocopiadoras o equipos de fax comunitarios.
Resguarden todos los elementos y documentos sensibles de negocios, disquetes de computadora, discos compactos y equipos de computacin porttiles tales como computadoras laptop, PDAs, equipos inalmbricos de correo electrnico, telfonos celulares, videos y otros, utilizando: Un compartimento bajo llave, como un cajn de escritorio o un gabinete. Cerraduras para asegurar dentro de los lmites de oficinas, que la misma permanezca cerrada durante los perodos de ausencia, siempre que algn responsable del sector conserve copia de la llave de ingreso para asegurar aseo y mantenimiento del recinto. Elementos, que en el caso de las computadoras porttiles, se pueden asegurar a su terminal con un seguro / cable especial, diseado para este propsito; las computadoras personales, deben ser apagadas al final de cada da laboral. Contraseas seguras y acceso restringido a las computadoras personales, las cuales deben apagarse al finalizar la jornada laboral y las contraseas deben ser protegidas en forma adecuada, no deben ser escritas y ocultas en lugares predecibles o pegadas en un papel debajo del escritorio, etc. Protectores de pantalla activos durante la jornada laboral, cuando los empleados estn ausentes de sus oficinas o fuera del rea de trabajo inmediato, con contraseas que se activan automticamente despus de transcurrido un perodo designado de inactividad.
Los empleados notificaran al responsable del sector de Servicio de Oficina, de todos los elementos de seguridad faltantes o en condiciones de reparacin, necesarios para asegurar la guarda y conservacin de los mismos, e informarn a la gerencia del rea o sector del pedido realizado, al momento de efectuarse el mismo.
13
II. Alcance:
Esta poltica contempla a todos los usuarios administradores existentes en los sistemas operativos y software de base como recursos esenciales para la instalacin y administracin de dichos sistemas (Administradores en Servidores Windows 2000, Administradores de Bases de datos, Administradores en los equipos de comunicacin, entre otros).
III. Definiciones:
Sobre lacrado: sobre de papel, el cual es cerrado de manera que se pueda evidenciar la violacin del mismo, a travs de alguna ruptura u otro mecanismo que asegure que la informacin contenida dentro del mismo ha sido comprometida. Dentro del sobre lacrado se colocarn las contraseas de los usuarios privilegiados. Dicho sobre deber mostrar exteriormente la fecha del lacrado, as como el nombre de la persona que lo lacr.
IV. Poltica:
A continuacin se detalla la descripcin de la presente poltica.
De ser tcnicamente posible, todos los usuarios que por defecto incorporen los sistemas operativos y software de base debern ser renombrados o inhabilitados y reemplazados por otros, contando con los mismos atributos, pero con nombres y contraseas diferentes, a fin de que en caso de intentos de penetracin a la seguridad establecida, no resulte obvio el nombre de los mismos. Todos los usuarios privilegiados existentes debern ser
Los nombres que se generen debern respetar un estndar definido por el Lder de Proyectos de Tecnologa (segn los estndares corporativos), y deben pasar por desapercibidos frente a los dems usuarios.
No debe existir en las plataformas ms de un usuario con estas caractersticas. Las excepciones debern ser justificadas tcnica y
14
funcionalmente por el mximo responsable de la plataforma tecnolgica, y debern ser autorizadas por el Lder de Proyectos.
Estos usuarios no debern ser utilizados para tareas de administracin de la seguridad y su actividad deber ser auditada mediante la revisin de los registros en los logs correspondientes.
Los
usuarios
privilegiados
solo
debern
ser
utilizados
para
las
circunstancias estrictamente necesarias como son la instalacin de software, procesos o actividades de administracin que no puedan ser llevados a cabo por usuarios de menor acceso o menores privilegios. Las cuentas de los usuarios privilegiados (Administrador, root, sa) deben ser utilizadas, salvo en casos de emergencia o incidentes, quedando debidamente documentados en la Bitcora de utilizacin especial de contraseas de usuarios privilegiados.
Es de responsabilidad directa del Lder de Proyectos de Tecnologa, el conocimiento de las contraseas de los usuarios privilegiados. El ser el responsable de controlar su conocimiento, y de existir algn indicio en el compromiso de las contraseas, ser el responsable de cambiarlas inmediatamente.
Las contraseas de los usuarios privilegiados debern ser guardadas en un sobre lacrado en custodia del Gerente de Sistemas bajo llave. Una copia del mismo, deber ser custodiada por el Responsable de Security&Controls. En caso surja algn incidente en el cual no se encuentre el Lder de Proyectos de Tecnologa y se necesite de las contraseas de acceso de los usuarios privilegiados, el Gerente de Sistemas deber abrir el sobre lacrado. Cualquier incidente que requiera romper las contraseas contenidas en el sobre lacrado debern ser registradas en la Bitcora de utilizacin especial de contraseas de usuarios privilegiados.
En caso el Gerente de Sistemas ni el Lder de Proyectos de Tecnologa se encuentren y sea necesario romper las contraseas, el Lder de Proyectos de Security&Controls ser el responsable de abrir el sobre lacrado y utilizar las contraseas necesarias.
En caso el sobre lacrado se abra por alguna emergencia o incidente, el Lder de Proyectos de Tecnologa deber cambiar las contraseas utilizadas, destruir los sobres lacrados existentes y deber guardar las nuevas contraseas en sobres lacrados nuevos. Dicho sobre deber ser
15
custodiado por el Gerente de Sistemas bajo llave y una copia del mismo deber ser custodiado por el Responsable de Security&Controls.
V. Disposiciones particulares:
Auditora y Revisin El Responsable de Security & Controls ser responsable de realizar revisiones peridicas (cada 6 meses) de los sobres lacrados, para lo cual el Gerente de Sistemas firmar su revisin en el formato de revisin.
Excepciones Las excepciones a esta poltica debern ser aprobadas por la Gerencia de Sistemas de la empresa o la persona que l designe.
Sanciones Las acciones que incumplan al presente procedimiento se harn efectivas de acuerdo con la falta cometida y a la evaluacin realizada por las Gerencias competentes.
16
II. Alcance:
Esta poltica es aplicable a todas las unidades de negocio, responsables de la custodia de los documentos contables, financieros, legales y administrativos que se deriven de las operaciones de la Compaa.
III. Definiciones:
Documentos contables: Se refiere a los Libros originales de entradas contables que incluyen, Libros de Ventas, el balance general y los balances subsidiarios, los registros de facturas relacionados y los archivos informales y memorandos como hojas de trabajo que apoyen asignaciones de costos, confirmaciones y conciliaciones, facturas o recibos que soporten los gastos, inversiones, cumplimiento de obligaciones tributarias, parafiscales, entre otras de fuente legal.
Documentos financieros: Se refiere al material documental de corroboracin o soporte de registros de ndole financiero que incluye, entre otros, cheques, facturas, contratos, actas de reuniones, confirmaciones y otras
representaciones escritas.
Documentos legales: Se refiere al material documental relacionado con aspectos legales de la Compaa, tales como: Libros Corporativos: Actas de Junta Directiva, Asambleas de Accionistas y Libro de Acciones, contratos, acuerdos, convenios, archivos de arbitraje y negociaciones internacionales, opiniones legales, entre otros.
Documentos administrativos: Se contemplan en sta categora aquellos documentos de carcter administrativo, los cuales no generan operaciones o registros contables, sin embargo representan valor para la Compaa, dado que soportan sus operaciones regulares. Entre ellos encontramos: las
17
polticas, manuales de procedimientos, solicitudes de empleo, registro de proveedores, estudios de mercado, actividades de mercadeo, actividades promocionales, archivos de personal, cumplimiento de obligaciones laborales, correspondencia, entre otros.
IV. Lineamientos Generales: Las unidades organizativas responsables de la custodia de los documentos contables, financieros, legales y administrativos de la Compaa, sern responsables del estricto cumplimiento de esta poltica. La retencin de los documentos en las diferentes unidades organizativas se realizar de acuerdo al perodo de tiempo establecido en los anexos a este documento Las declaraciones de impuestos, recibos y Estados Financieros sern retenidos por la Gerencia de Finanzas o unidades responsables de su emisin permanentemente, como el Departamento de Contabilidad, Cuentas por pagar, Recursos Humanos y relacionados. Las unidades organizativas responsables de la custodia de los documentos contables, financieros, legales y administrativos, debern mantenerlos archivados durante el tiempo establecido para su retencin, en un lugar seguro y en condiciones idneas que garanticen su integridad, conservacin y disponibilidad para su consulta. No debern ser rayados ni mutilados. Las unidades organizativas responsables de la custodia de los documentos contables, financieros, legales y administrativos, sern responsables de efectuar revisiones peridicas de sus archivos, a fin de desincorporar los documentos que hayan cumplido con el perodo de retencin establecido en esta poltica.
V. Disposiciones particulares:
Auditora y Revisin La Gerencia de Sistemas ser la responsable de realizar revisiones peridicas (cada 6 meses) de la presente poltica a fin de revisar si existe algn cambio relevante que deba ser indicado en el presente documento.
Excepciones
18
Las excepciones a esta poltica debern ser aprobadas por la Gerencia de Sistemas de la empresa o la persona que l designe.
Sanciones Las acciones que incumplan al presente procedimiento se harn efectivas de acuerdo con la falta cometida y a la evaluacin realizada por las Gerencias competentes.
19