PORCENTAJE

0% A 10%
11% A 20%
21% A 60%
61% A 80%
81% A 100%
El nivel de seguridad preocupa y es recomendable aplicar controles de prevencion
El nivel de inseguridad es muy alto, esta en juego la funcionalidad e integridad total de la Organizacin
MODERADO
CRITICO
CATASTROFICO
El nivel de inseguridad esta por ensima de los niveles y recomendable generar controles de prevencion y detectivos
EXPRECION
INSIGNIFICANTE
MARGINAL
PARAMETROS DE ACEPTABILIDAD
CRITERIO
El nivel de inseguridad no afecta la infraestructura tecnologica de la organizacin
El nivel de inseguridad esta dentro los margenes, se deben aplicar controles preventivos
El nivel de seguridad preocupa y es recomendable aplicar controles de prevencion
El nivel de inseguridad es muy alto, esta en juego la funcionalidad e integridad total de la Organizacin
El nivel de inseguridad esta por ensima de los niveles y recomendable generar controles de prevencion y detectivos
PARAMETROS DE ACEPTABILIDAD
CRITERIO
El nivel de inseguridad no afecta la infraestructura tecnologica de la organizacin
El nivel de inseguridad esta dentro los margenes, se deben aplicar controles preventivos
F
U
E
G
O
I
N
U
N
D
A
C
I
O
N
F
A
L
L
O

D
E
L

S
U
M
I
N
I
S
T
R
O

E
L
E
C
T
R
I
C
O
F
A
L
L
O

D
E

L
A
S

C
O
M
U
N
I
C
A
C
I
O
N
E
S
E
R
R
O
R
E
S

D
E

L
O
S

U
S
U
A
R
I
O
S
E
R
R
O
R
E
S

D
E
L

A
D
M
I
N
I
S
T
R
A
D
O
R
E
R
R
O
R
E
S

O
R
G
A
N
I
Z
A
L
T
I
V
O
S
D
I
F
U
S
I
O
N

D
E

S
O
F
T
W
A
R
E

D
A

I
N
O
Alicaciones de gestion X
Aplicaciones comerciales X
Servidores X
Puestos de usuario X
Red de comunicaciones X X
INSTALACIONES Oficinas X
Empleados
Subcontratados
Expedientes
Contabilidad X
MATRIS AMENAZAS/ACTIVOS
AMENAZAS
A
C
T
I
V
O
S
SOFTWARE
HARDWARE
PERSONAL
DATOS
D
E
S
T
R
U
C
C
I
O
N

D
E

I
N
F
O
R
M
A
C
I
O
N
D
I
F
U
S
I
O
N

D
E

I
N
F
O
R
M
A
C
I
O
N
F
A
L
L
O
S

D
E

M
A
N
T
E
N
I
M
I
E
N
T
O

D
E

H
A
R
D
W
A
R
E
F
A
L
L
O
S

D
E

M
A
N
T
E
N
I
M
I
E
N
T
O

D
E

S
O
F
T
W
A
R
E
S
U
P
L
A
N
T
A
C
I
O
N

D
E

L
A

I
D
E
N
T
I
D
A
D

D
E
L

U
S
U
A
R
I
O
A
C
C
E
S
O

N
O

A
U
T
O
R
I
Z
A
D
O
R
O
B
O
I
N
D
I
S
P
O
N
I
B
I
L
I
D
A
D

D
E
L

P
E
R
S
O
N
A
L
I
N
G
E
N
I
E
R
I
A

S
O
C
I
A
L
X
X
X
X
X
X X
x X
X X
X
AMENAZAS
C
1A 20% 2
1B 60% 3
2A 40% 3
2B 40% 1
3A 60% 1
3B 40% 1
4A 60% 1
4B 80% 3
5A 60% 1
5B 100% 1
6A 40% 1
6B 60% 3
7A 80% 1
7B 80% 3
8A 60% 3
8B 80% 3
9A 40% 3
9B 20% 3
10A 60% 3
10B 40% 3
ID RIESGO
PRO
IMPACTO
Ingeniera social de los subcontratados
Destruccin de la informacin de los expedientes
Difusin de la informacin de los expedientes
Errores administrativos en la contabilidad
Acceso no autorizado a las oficinas
Errores de usuario en las aplicaciones de gestin
Destruccin de informacin de las aplicaciones de gestin
Difusin de software daino en las aplicaciones comerciales
Fallos de mantenimiento de software en las aplicaciones comerciales
Fallos de suministro elctrico
Inundacin en las oficinas
Fallo de mantenimiento de hardware en los servidores
Fallo en el suministro elctrico en los puestos de usuario
Robo en los puestos de usuario
Fallos de comunicaciones en la red de comunicaciones
Fallos en el hardware de la red de comunicaciones
Destruccin de informacin de la contabilidad
Indisponibilidad de los empleados
Ingeniera social a los empleados
Acceso no autorizado de subcontratados:
I D ID
3 3 8 2.666666667 0.53 17.8% 12.2.1
3 1 7 2.333333333 1.40 46.7% 10.5.1
3 2 8 2.666666667 1.07 35.6% 10.4.1
3 3 7 2.333333333 0.93 31.1% 12.4.1
1 3 5 1.666666667 1.00 33.3% 9.2.2
2 3 6 2 0.80 26.7% 9.2.4
1 3 5 1.666666667 1.00 33.3% 9.2.2
3 3 9 3 2.40 80.0% 9.1.2
3 3 7 2.333333333 1.40 46.7% 9.2.4
2 3 6 2 2.00 66.7% 9.2.1
3 3 7 2.333333333 0.93 31.1% 9.1.4
3 1 7 2.333333333 1.40 46.7% 9.1.2
3 2 6 2 1.60 53.3% 8.2.3
3 1 7 2.333333333 1.87 62.2% 6.1.5
3 1 7 2.333333333 1.40 46.7% 11.2.4
3 2 8 2.666666667 2.13 71.1% 10.2.2
1 1 5 1.666666667 0.67 22.2% 10.5.1
3 3 9 3 0.60 20.0% 11.6.1
3 1 7 2.333333333 1.40 46.7% 10.10.5
3 3 9 3 1.20 40.0% 10.5.1
INDICE DE
IMPACTO
IMPACTO IMPACTO
COMPUESTO
Registro de fallos
VULNERABILIDAD
RIESGO
INHERENTE
Restriccion de acceso a la informacion
Copias de seguridad de la informacion
Controles contra el codigo malicioso
control del software en explotacion
Controles fisicos de entradas
Proteccion contra las amenazas externas
CONTROL IMPLEMENTADO
Validacion de los datos de entrada
Copias de seguridad de la informacion
Copias de seguridad de la informacion
Instalacion de suministros
Mantenimiento de los equipos
Instalacion de suministros
Mantenimiento de los equipos
Emplazamiento y proteccion de equipos
Proceso desciplinario
Acuerdos de confidencialidad y secreto
Revicion de los derechos de acceso de usuario
Supercicion y revicion de los servicios prestados por terceros
Controles fisicos de entradas
C I D
20% 2 2 3 2.333333333 0.4666667
60% 2 2 1 1.666666667 1
40% 2 2 2 2 0.8
40% 1 2 2 1.666666667 0.6666667
40% 1 1 3 1.666666667 0.6666667
40% 1 1 2 1.333333333 0.5333333
40% 1 1 3 1.666666667 0.6666667
60% 3 3 3 3 1.8
40% 1 3 3 2.333333333 0.9333333
80% 1 2 3 2 1.6
40% 1 2 2 1.666666667 0.6666667
40% 3 3 1 2.333333333 0.9333333
60% 1 3 2 2 1.2
60% 3 3 1 2.333333333 1.4
40% 3 3 1 2.333333333 0.9333333
60% 3 3 2 2.666666667 1.6
40% 2 1 1 1.333333333 0.5333333
10% 3 3 3 3 0.3
40% 3 3 1 2.333333333 0.9333333
40% 2 2 3 2.333333333 0.9333333
Registro de fallos
Restriccion de acceso a la informacion
Copias de seguridad de la informacion
Controles contra el codigo malicioso
control del software en explotacion
Controles fisicos de entradas
Proteccion contra las amenazas externas
CONTROL IMPLEMENTADO
Validacion de los datos de entrada
Copias de seguridad de la informacion
Copias de seguridad de la informacion
Instalacion de suministros
Mantenimiento de los equipos
Instalacion de suministros
Mantenimiento de los equipos
Emplazamiento y proteccion de equipos
Proceso desciplinario
Acuerdos de confidencialidad y secreto
Revicion de los derechos de acceso de usuario
Supercicion y revicion de los servicios prestados por terceros
Controles fisicos de entradas
PRO
IMPACTO INDICE DE
IMPACTO
RIESGO
RESIDUAL
15.6%
33.3%
26.7%
22.2%
22.2%
17.8%
22.2%
60.0%
31.1%
53.3%
22.2%
31.1%
40.0%
46.7%
31.1%
53.3%
17.8%
10.0%
31.1%
31.1%
VULNERABILIDAD
ID
SEGURIDAD FISICA DE LAS INSTALACIONES
9.1.1
9.1.2 Controles fisicos de entradas
9.1.3 Seguridad de oficinas despachos e instalaciones
9.1.4 Proteccion contra las amenazzas externas ambientales
9.1.5 Trabajo en areas seguras
9.1.6 Areas de acceso publico, de carga y de descarga
PRIVILEGIO DE ACCESO A LA COMUNICACIN
11.1.1 Politica de control interno
11.3.1 Uso de contraseas
11.4.2 Autenticacion de usuario para conexiones externas
11.4.6 Control de la conexion a la red
11.5.3 Sistemas de gestion de contraseas
11.6.1 restriccion de acceso a la informacion
DATOS DE ENTRADA EN LAS APLICACIONES
12.2.1 Validacion de los datos de entrada
PROCEDIMIENTOS DE COPIAS DE SEGURIDAD
Copias de seguridad de la informacion
IDENTIFICACION Y AUTENTICACION DE LOS USUARIOS EN LOS SISTEMAS
11.2.1 Registro de usuarios
11.2.2 Gestion de privilegios
11.2.3 Gestion de contraseas de usuario
PROTECCION CONTRA VIRUS Y MALWARE
10.4.1 Controles contra el codigo malicioso
10.4.2 Controles contra el codigo descargado en el cliente
PROCEDIMIENTOS DE COMUNICACIN Y RESOLUCION DE PROBLEMAS
10.6.1 Controles de red
10.6.2 Seguridad de los servicios de red
10.7.1 Gestion de soportes extraibles
10.7.3 Procedimientos de manipulacion de informacion
10.8.4 Mensajeria electronica
10.8.5 Sistemas de informacion empresarial
CONTROLES POR IMPLEMENTAR
12.4.1 Control del sofware en explotacion
9.2.2 Instalacion de suministro
9.2.4 Mantenimiento de los equipos
9.2.2 Instalacion de suministro
9.2.4 Mantenimiento de los equipos
9.2.1 Emplazamiento y proteccion de equipos
8.2.3 Proceso disciplinario
6.1.5 Acuerdos de confidencialidad y secreto
11.2.4 Revicion de los derechos de acceso de usuario
10.2.2 Supervicion y revicion de los servicios prestados por terceros
10.10.5 Registro de fallos
CONTROLES
Perimetro de seguridad fisica
CONTROL
DISCRE NO DISC GENERAL APLICACIN GOBIERNO GESTION TECNICO PREVENTIVO
X X X X
X X X
X X X
X X X
X X X
X X X
X X X X
X X X
X X
X X X
X X X X
X X X X
X X X
X X X
X X X X
X X X X
X X X X
X X X
X X X
X X X X
X X X X
X X X
X X X
X X X X
X X X
X X X X
X X X
X X X X
X X X
X X X X
X X X X
X X X
X X X X
X X X
X X X X
X X X
CLASIFICACION
DETECTIVO CORRECCION
X
X
X
X
Evitan errores, omiciones, o incidentes de seguridad que se produzcan
detectan errores o incidencias que eluden a los controles preventivos
X
X Corregir errores, omiciones o incidentes una vez que se han detectado
X
X
X
X
X X
X
X X
X
X
X
X
PREVENTIVOS
DETECTIVOS
CORRECTIVOS
Pertenecen al ambito de los negocios individuales, procesos individuales o sistemas de aplicacin
GENERAL
APLICACIN
GESTION
Aplican a todas las ares de la organizacin, enfocandose en los activos criticos, informacion
confidencial y funciones operativas.
supervisan la gestion eficas de la informacion, los principios, las politicas y los proceso, garantizan
que estos estan en su lugar y se llevan a cabo correctamente
Son especificos a las tecnologias en uso dentro de la infraestructura tecnologica de la organizacin.
TECNICO
GOBIERNO
Son controles que se aplican a todos los componentes de los sistemas, procesos, y los
datos de la organizacin o entorno de sistemas .
CLASIFICACION
PREVENTIVOS
DETECTIVOS
CORRECTIVOS
Pertenecen al ambito de los negocios individuales, procesos individuales o sistemas de aplicacin
GENERAL
APLICACIN
GESTION
Aplican a todas las ares de la organizacin, enfocandose en los activos criticos, informacion
confidencial y funciones operativas.
supervisan la gestion eficas de la informacion, los principios, las politicas y los proceso, garantizan
que estos estan en su lugar y se llevan a cabo correctamente
Son especificos a las tecnologias en uso dentro de la infraestructura tecnologica de la organizacin.
TECNICO
GOBIERNO
Son controles que se aplican a todos los componentes de los sistemas, procesos, y los
datos de la organizacin o entorno de sistemas .