Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Unad PDF
Unad PDF
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
3
TABLA DE CONTENIDO
Pg.
4
5.1.3 Activos que posee servidoc s.a. ................................................... 42
5.1.4 Anlisis diferencial. ....................................................................... 44
5.1.5 Fortalezas y debilidades ............................................................... 45
5.2 FASE 2: SISTEMA DE GESTION DOCUMENTAL ............................. 49
5.2.1 Polticas de seguridad................................................................... 49
5.2.2 Procedimiento de auditoras internas............................................ 53
5.2.3 Gestin de indicadores ................................................................. 54
5.2.4 Revisin por parte de la direccin ................................................. 56
5.2.5 Gestin de roles y responsabilidades ........................................... 57
5.3 FASE 3: ANLISIS DE RIESGOS ....................................................... 59
5.3.1 Declaracin de aplicabilidad ......................................................... 62
5.3.2 Toma de datos y procesos de informacin ................................... 63
5.3.3 Establecimiento de parmetros .................................................... 63
5.3.4 Anlisis de Activos ........................................................................ 66
5.3.5 Anlisis de amenazas ................................................................... 68
5.3.6 Resultado de vulnerabilidades ...................................................... 70
5.3.7 Impacto potencial .......................................................................... 79
5.3.8 Riesgo residual ............................................................................. 79
5.4 FASE 4: PROPUESTA DE PROYECTOS........................................... 79
5.4.1 Mitigacin de riesgos asociados a desastres de origen natural o
industrial. ............................................................................................... 80
5.4.2 Mitigacin de riesgos asociados a ataques intencionados ........... 82
5.4.3 Mitigacin del riego asociado a errores no intencionados ............ 84
5.5 FASE 5. AUDITORIA DE CUMPLIMIENTO ........................................ 86
5.5.1 Metodologa .................................................................................. 86
5.5.2 Evaluacin de cumplimiento ......................................................... 87
5.6 FASE 6. RESULTADOS ...................................................................... 94
5.6.1 Anlisis y discusin de los resultados ........................................... 94
6. CONCLUSIONES ..................................................................................... 99
7. BIBLIOGRAFA ....................................................................................... 100
8. ANEXOS ................................................................................................. 104
5
LISTA DE TABLAS
Pg.
6
LISTA DE FIGURAS
Pg.
8
LISTA DE ANEXOS
Pg.
9
RESUMEN
Abstract
11
1. DEFINICION DEL PROBLEMA
Cuenta la empresa Servidoc S.A. con un plan que ayude a realizar un anlisis
para implementar un Sistema de Gestin de Seguridad de la Informacin que
proporcione la identificacin y gestin del riesgo?
La empresa Servidoc S.A. desea tener una propuesta que permita gestionar
el riesgo al que se encuentra expuesta, contando con un modelo de Gestin
de Seguridad de la Informacin que permita identificar y mitigar el riesgo.
1.4 JUSTIFICACION
13
2. OBJETIVOS
14
3. MARCO REFERENCIAL
16
La investigacin realizada por el autor, aporta mucho al desarrollo del presente
trabajo, si se tiene en cuenta que desarrolla la investigacin apoyada de la
norma ISO/IEC 27001:2005 y se utiliza MAGERIT como metodologa de
anlisis de riesgo.
En el 2009 BUENAO QUINTA, Jos Luis; GRANADA LUCES, Marcelo
Alfonso, en la ciudad de Guayaquil (Ecuador), elaboraron una investigacin
titulada Planeacin y Diseo de un Sistema de Gestin de Seguridad de
la Informacin basado en la norma ISO/IEC 27001 27002, en este
proyecto se realiza un anlisis de riesgos de la Universidad Politcnica
Salesiana sede Guayaquil, el anlisis se enfoca en los riesgos que afectan la
prestacin del servicio y la continuidad de las operaciones.
Los autores concluyeron que a raz del crecimiento tecnolgico que ha tenido
la universidad, se ha vuelto muy vulnerable a ataques informticos, la intencin
con este anlisis es reducir el riesgo, para ello se ha definido la implementacin
de controles principalmente en la parte de infraestructura y documentacin.
17
permitir unificar criterios y optimizar recursos cuando los riesgos deban
afrontarse en forma conjunta.
18
Esta metodologa cuenta con tres libros donde se documenta de forma
detallada la forma de analizar y gestionar el riesgo de los sistemas de
informacin de las organizaciones.
AREITIO BERTOLN, Javier 1 dice que un buen SGSI puede verse como un
ciclo cerrado, que comienza con la prevencin de amenazas, la reduccin de
las mismas, la deteccin de incidentes y la contencin de los mismos. Los
daos ocasionados se corrigen y se pasa a la recuperacin, seguida de la
evaluacin de nuevo y se vuelve al comienzo con la prevencin de amenazas.
El SGSI, proporciona a los directivos una herramienta que ofrece una visin
global, sobre el estado de sus sistemas informticos.
Seguridad de la informacin
Son las medidas que toda organizacin debe adoptar con el fin de proteger la
informacin, cumpliendo con los objetivos de la seguridad informtica como
son la disponibilidad, confidencialidad e integridad.
1 AREITIO BERTOLN, Javier. Seguridad de la Informacin Redes, informtica y sistemas de informacin. Disponible
en:
https://books.google.com.co/books?id=_z2GcBD3deYC&pg=PA201&dq=sistema+gestion+seguridad+informatica&hl
=es&sa1 GOBIERNO DE ESPAA. Familia de Normas ISO 27000. Disponible en:
=X&ei=3gNcVd_wKYOpNvbigUg&ved=0CCQQ6wEwAA#v=onepage&q=sistema%20gestion%20seguridad%20infor
matica&f=false
19
Estndares de Gestin de Seguridad
Segn GOBIERNO DE ESPAA las normas ISO son normas o estndares de
seguridad establecidas por la Organizacin Internacional para la
Estandarizacin (ISO) y la Comisin Electrnica Internacional (IEC) que
proporcionan un marco para la gestin de la seguridad de la informacin.
En esta norma se describe de forma detalla todos los procesos hasta la puesta
en marcha, adems muestra el proceso de cmo se logra la aprobacin por
parte de la direccin para la implementacin de un Sistema de Gestin de
Seguridad de la Informacin.
Kali Linux
Es un programa Linux de libre distribucin, su funcin principal es realizar
tareas de auditoria en temas relacionados con seguridad informtica, esta
distribucin contiene gran cantidad de herramientas entre las que se incluyen:
escaneo de puertos, pruebas de seguridad de redes inalmbricas,
herramientas para averiguar contraseas entre muchas otras.
20
El programa es de fcil instalacin, adems viene en versiones para 32 bits y
64 bits.
Nmap
Es una potente herramienta de cdigo abierto que permite escanear puertos
de grandes redes, es ideal para el desarrollo de labores de auditora, permite
identificar que equipos se encuentran accediendo una red, adems es posible
identificar los servicios que estn utilizando, indicando el sistema operativo y
su respectiva versin, es una herramienta ideal en labores de monitorizacin
de redes.
Ethical hacking
Las pruebas de penetracin que realizan los Ethical hacking permiten evaluar
vulnerabilidades, clasificar las debilidades y finalmente realizar
recomendaciones, priorizando las necesidades de las empresas.
Wireshark
Herramienta Linux de libre distribucin encargada de analizar protocolos en
una red, es posible analizar una red y las aplicaciones que viajan por ella,
wireshark tiene la capacidad de analizar ms de 480 protocolos entre los que
se encuentran TCP, DNS, ICMP, HTTP.
21
Dnsenum
Esta herramienta permite recopilar informacin de dominios, es de libre
distribucin, dentro de los datos que obtiene Dnsenum se pueden encontrar el
nombre del servidor, la direccin del host, muestra subdominios y cuentas de
correo, muestra el registro MX, datos importantes que sern de gran ayuda en
el momento de realizar una penetracin al sistema.
TheHarvester
Esta herramienta Linux de libre distribucin consigue datos de puertos
abiertos, subdominios, hosts, correos entre otros, para conseguir los datos,
se vale de motores de bsqueda, LinkedIn y la potente base de datos Shodan,
estas datos que se obtienen con TheHarvester son de gran apoyo para realizar
un ataque.
Anlisis de Riesgos
Es el estudio que debe realizar toda organizacin con el fin de identificar las
vulnerabilidades a las que se encuentran expuestos sus activos, as como
identificar cules son esas amenazas que se podran desencadenar a raz de
estas vulnerabilidades, esta es la razn por la cual se debe tener identificado
los riesgos a los que se enfrenta la compaa y as establecer medidas que
permitan una correcta seguridad de la informacin.
Activos: Se puede decir que los activos son todos los elementos que hacen
parte de un sistema de informacin, estos pueden ser hardware, software,
instalaciones, los servicios prestados.
Impacto: Son las consecuencias que sufre un activo cuando una amenaza se
materializa.
22
Riesgo: Es la probabilidad de que ocurra un evento y sus consecuencias
negativas ocasionando daos o perdidas.
Integridad: Que la informacin no haya sido modificada, es decir que sea igual
a los datos de origen.
23
- Uso de software malicioso.
- Suplantacin de sitios web para capturar datos personales.
- Interceptacin de datos informticos.
- Dao informtico.
- Violacin de datos personales.
- Hurto por medios informticos y semejantes.
- Transferencia no consentida de activos.
24
4. DISEO METODOLGICO
Fuente:http://openaccess.uoc.edu/webapps/o2/bitstream/10609/41002/4/rsalc
edobTFC1214memoria.pdf
Tambin se cuenta con el acceso a todos los equipos de cmputo de las reas
de contabilidad, facturacin e historias clnicas, por rdenes de la gerencia, se
cuenta con el total apoyo y disposicin de los empleados, incluso aprobacin
de tiempos extras cuando sea necesario, para ello slo es necesario enviar
un correo electrnico a la gerencia informando.
26
Revisin de Documentos: Permite tener una visin clara de donde se
encuentra la organizacin actualmente y para donde se dirige. Los
documentos a revisar pueden ser cuantitativos como consultas, manuales
de procedimientos, poltica, el otro tipo de documentos son los cualitativos
como reportes, registros de captura de informacin.
Una vez se tiene toda la informacin necesaria suministrada por las entrevistas
realizadas al personal de la organizacin, se procede a realizar una serie de
procedimientos para lograr los resultados deseados.
27
4.6 DESARROLLO DEL PROYECTO
Pregunta 1
Figura 2. El computador asignado para el desarrollo de sus funciones recibe
mantenimiento peridicamente?
Pregunta 1
20%
SI
80% NO
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 5 mencionaron que se realizaba
mantenimiento cada tres meses, 20 dicen que no se realiza mantenimiento
peridicamente.
Pregunta 2
Figura 3. Existe un Sistema de Gestin de Seguridad Informtica en la
Empresa?
28
PREGUNTA 2
0%
SI
NO
100%
Interpretacin:
De 25 empleados encuestados, 25 mencionaron que no existe un Sistema de
Gestin de Seguridad de la Informacin.
PREGUNTA 3
Fuente: El autor.
29
Interpretacin:
De 25 empleados encuestados, 25 mencionaron que nunca se realiza
capacitacin en aspectos relacionados con seguridad informtica.
PREGUNTA 4
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 23 mencionaron que han sido informados de
manera verbal, pero no se aplican con regularidad, 2 empleados afirman que
si hay polticas de cambio de contraseas.
PREGUNTA 5
30
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 25 mencionaron no conocer manuales de
funciones y responsabilidades de seguridad de la informacin.
PREGUNTA 6
31
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 25 mencionaron que cuando ocurre un evento
relacionado con seguridad informtica, se debe reportar al ingeniero de
sistemas.
PREGUNTA 7
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 6 mencionaron que realizan copias de
seguridad en algunas ocasiones, los 19 restantes, correspondientes al 76%
mencionaron nunca realizar copias de seguridad.
PREGUNTA 8
32
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 23 mencionaron que sera muy importante una
inversin de este tipo, dos empleados contestaron que ese dinero se podra
invertir en otras cosas.
PREGUNTA 9
Fuente: El autor.
Interpretacin:
33
De 25 empleados encuestados, 7 mencionaron que el computador si cuenta
con programa antivirus, los 18 restantes afirman que no se cuenta con
programa antivirus.
PREGUNTA 10
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 4 afirman que se tiene software legal, los 21
restantes dicen que la empresa no tiene licencias legales
PREGUNTA 11
34
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 4 afirman que la empresa si cuenta con zonas
restringidas, los 21 restantes dicen que no se cuenta con sitios restringidos.
PREGUNTA 12
Fuente: El autor.
35
Interpretacin:
De 25 empleados encuestados, 8 afirman que se realiza de forma peridica
mantenimiento a la UPS, los 17 restantes dicen que no se realiza ningn
mantenimiento.
PREGUNTA 13
PREGUNTA 13
0
25
SI NO
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, los 25 afirman que no se poseen dispositivos
de control de acceso.
PREGUNTA 14
36
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, los 25 afirman que no se poseen dispositivos
de este tipo.
PREGUNTA 15
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, los 25 afirman que no se cuenta con vigilancia
al ingreso de la organizacin.
37
PREGUNTA 16
Figura 17. Los sitios donde estn los equipos de cmputo cuentan con aire
acondicionado?
PREGUNTA 16
10
15
SI NO
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 20 afirman que se cuenta con airea
condicionado donde funcionan los equipos, los 5 restantes dicen que no tienen
aire acondicionado.
PREGUNTA 17
38
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 4 afirman que se cuenta con plizas de
proteccin, los 21 restantes dicen que no se cuenta con ninguna pliza de
proteccin para los equipos de cmputo.
PREGUNTA 18
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 3 mencionan que se cuenta con controles para
navegacin, los 22 restantes dicen que no se cuenta con ninguna restriccin.
39
PREGUNTA 19
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, los 25 mencionan la inexistencia de controles
para el uso del correo electrnico.
40
5. FASES PARA IMPLEMENTAR UN SGSI
Para Servidoc S.A, como para las dems empresas del sector, la Seguridad
Informtica ya no es un problema de los profesionales o del proceso de
sistemas de una organizacin, sino que ha salido de los centros de cmputo
para instalarse en el escritorio del usuario, en donde verdaderamente nacen
los problemas de Seguridad.
5.1.2 Organigrama
41
Fuente: Servidoc S.A.
La empresa Servidoc S.A. cuenta con una sede ubicada en la ciudad de Cali,
especficamente en la Avenida 3AN No. 23DN 08, es un edifico que consta de
cuatro pisos. En el primer piso funciona la barra de servicios y consultorios de
mdico general y especialistas, en el segundo piso funcionan laboratorio,
administracin, adems se encuentra ubicado el cuarto tcnico, donde estn
todos los equipos de comunicaciones como rack, swichet, routers, entre otros,
en el tercer piso funcionan odontologa y rayos X, en el cuarto piso consultorios
mdicos. Es de aclarar que la sede no es de propiedad de la empresa, es un
edifico tomado en alquiler.
Inventario de Activos
Un activo4 Es todo lo que una empresa posee para llevar a cabo el tratamiento
de la informacin, entre estos estn (hardware, software, recurso humano
entre otros), esta clasificacin se realiza como se plantea en la siguiente tabla.
42
Tabla 1. Activos de Servidoc S.A.
Valor en
Tipo de Valor
Descripcin Millones Criticidad
Activo Activo
de $
Personal Directivo Muy alto 250 Crtico
Administradora Alto 150 Crtico
Jefes enfermera Alto 90 Alto
Personal barra de servicios Alto 50 Bajo
Auxiliares enfermera Medio 50 Bajo
Auxiliares laboratorio Medio 50 Bajo
Mdicos Generales Alto 50 Bajo
Mdicos especialistas Alto 50 Alto
Servicios generales Medio 50 Bajo
Contadora Alto 100 Alto
Personal Asistente contable Medio 50 Medio
Personal
Revisor fiscal Alto 100 Medio
Secretaria gerencia Medio 50 Bajo
Secretaria asignacin citas Bajo 10 Bajo
Ingeniero sistemas Alto 100 Critico
Bacterilogas Alto 100 Alto
Mensajero Alto 3 Muy bajo
Auditores mdicos Alto 100 Alto
Electro mdico Alto 100 Medio
Electricista Bajo 10 Bajo
Mantenimiento Bajo 10 Bajo
Porttiles Bajo 10 Medio
Equipos de cmputo Medio 50 Crtico
Hardware
Impresoras Medio 40 Alto
Servidor Aplicaciones Muy Alto 200 Critico
Acces Point Medio 50 Crtico
Swichet Medio 50 Crtico
Red
Routers Medio 50 Crtico
firewalls Medio 50 Crtico
Instalacin cableado estructurado Muy alto 250 Crtico
Instalaciones elctricas Muy alto 250 Crtico
Servicios Conectividad a internet Muy alto 250 Crtico
43
Tabla 1. (Continuacin)
Valor en
Valor
Tipo de Activo Descripcin Millones Criticidad
Activo
de $
Equipamiento
Planta elctrica Medio 60 Bajo
Auxiliar
Windows server 2010 Medio 50 Crtico
Software o CgUno Medio 50 Alto
aplicacin Windows Medio 50 Alto
Ofimtica Bajo 10 Muy bajo
Contratos de trabajo
personal Bajo 10 Bajo
Plizas mantenimiento Bajo 10 Bajo
Activo de BD usuarios EPS Medio 50 Crtico
informacin
BD proveedores Medio 50 Crtico
contabilidad Muy alto 200 Crtico
Mercadeo Alto 100 Medio
Fuente: El Autor
NIVEL DE CUMPLIMIENTO
Valor Nombre Descripcin
No existe evidencia del estndar o
0 No existente
practica en la compaa.
La organizacin tiene practicas
1 Inicial hechas a la medida pero
inconsistentes.
La organizacin tiene un enfoque
2 Repetible
coherente pero no documentado.
Se tiene un enfoque coherente y
3 Definido
documentado pero no medido.
Los procesos son medidos frecuente
4 Administrado
mente y se realizan mejoras.
La organizacin ha refinado su
5 Optimizado cumplimiento con el nivel de las
mejores prcticas
Fuente: El Autor
Fortalezas
Debilidades
46
No se cuenta con dispositivos de proteccin de transporte de
informacin
Falta de acuerdos de confidencialidad.
No se documenta los incidentes ocurridos
No se tiene conocimiento sobre cmo actuar en caso de un incidente
Aunque se tiene conocimiento sobre la legislacin, su cumplimiento en
mnimo
Se carece de software legal en un 90%
Procedimientos ineficientes de proteccin de datos
Procedimientos ineficientes de proteccin de informacin de tipo
personal
Administrado
4%
Controles de seguridad No Aplica
Optimizado 0%
0%
Definido
0%
Repetible
43% No existente
53%
Inicial
0%
Fuente: El autor.
48
Cumplimiento de Dominios
Estado Actual Estado esperado
5 Polticas de seguridad de
18 Cumplimiento 100% 6 Organizacin de la
80%
17 Aspectos de seguridad 60% 7 Seguridad de los
40%
16 Gestin de incidentes 20% 8 Gestin de activos
0%
15 Relacin con los 9 Control de acceso
Fuente: El autor.
Las personas que hagan uso de los sistemas de informacin deben cumplir
unas funciones y obligaciones asignadas por el encargado de la seguridad
informtica, dentro de estas estn:
Control de acceso:
Confidencialidad de la informacin
Propiedad intelectual
50
Control de acceso fsico
Software
Hardware
51
Conexin a internet
Correo electrnico
52
Usuarios y contraseas
Auditoria documental:
Una vez realizado este proceso, los auditores preparan un informe muy
detallado donde se establecern las fortalezas y debilidades con que cuenta
el SGSI, en este informe deben describirse las no conformidades
encontradas, indicando la gravedad que representan, dentro de las no
conformidades, se encuentran tres tipos como son:
No conformidades mayores: Estas representan un incumplimiento grande
de la norma, para ello el auditor basado en su experiencia, determina que
la seguridad de la informacin se ver afectada representativamente.
Cuando se encuentran conformidades mayores, lo ideal es que estas sean
corregidas para el inicio de la siguiente etapa.
53
No conformidades menores: Estas corresponden a incumplimientos
pequeos respecto a la norma, igual que las no conformidades mayores,
se deben corregir para el inicio de la siguiente etapa.
Observacin u oportunidad de mejora: El auditor con el criterio que posee,
determina que son situaciones que no ponen en peligro la seguridad de la
informacin, sugiere que sean analizadas en futuros procesos de
auditora.
Auditoria de certificacin:
Las auditoria se deben realizar cada ao, con el fin de identificar si el SGSI
est cumpliendo con lo establecido en la norma ISO/IEC 27001, lo que se
trata es de identificar si los procesos estn funcionando bien, si necesitan ser
reestructurados, si los controles ya son obsoletos o si ya no son necesarios.
Este es un proceso repetitivo que deben realizar todas las organizaciones con
el fin de llevar el riesgo de la seguridad de la informacin a su nivel ms bajo.
Obtener un valor
Acuerdos de
real de niveles de
Acuerdos de confidencialida
confidencialidad
confidencialida 80% Trimestral RH d firmados/
firmados con
d total
proveedores,
proveedores
clientes, entre otros
No
Conformidade
Identificar la
No s solucionadas
respuesta que se le
conformidades 100% Semestral / No
ha dado a las no
solucionadas conformidades
conformidades
emitidas en el
periodo
55
Tabla 4. (continuacin)
Valor
Responsabl
Indicador Objetivo Acept Frecuencia Calculo
e
able
Identificar la
cantidad de
empleados que han
Empleados
recibido formacin
Capacitacin RH- con
en cuanto a
en seguridad 80% Trimestral Seguridad capacitacin /
seguridad
informtica Informtica total
informtica se
empleados
refiere, adems
saber los roles que
tiene asignados
Identificar equipos
de cmputo que no
cuentas con niveles Equipos sin
Equipos sin Seguridad
de seguridad como 100% Mensual contraseas/
contraseas Informtica
usuario y total equipos
contrasea para su
ingreso
Cuantificar equipos
Equipos con
Equipos sin que no poseen Seguridad
100% Mensual licencias/equip
licencias licencias de Informtica
os totales
software
Fuente: el autor
El papel que juega la alta direccin es muy importante, puesto que si el anlisis
para la implementacin del SGSI no cuenta con su apoyo, no se lograran los
objetivos esperados, esta debe participar en las decisiones que se tomen
respecto a seguridad informtica, tambin es importante el seguimiento que le
haga a los procedimientos pues de esta manera se dar cuenta si estn
funcionando correctamente.
56
Debe realizar sugerencias para lograr el mejoramiento en la efectividad
de algn control.
Concientizarse con la necesidad de recursos.
o Administrador general
o Ingeniero de sistemas
o Revisor fiscal
o Enfermera de calidad
o Auditor mdico
Slo podrn ingresar a los programas que estn autorizados para el desarrollo
normal de sus funciones. Dentro de sus funciones estn:
Responsable de seguridad
58
Realizar un asesoramiento de las polticas que se deben implementar
en la empresa.
59
Figura 24. Anlisis de Riesgos.
Fuente.
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_
Metodolog/pae_Magerit.html#.VfhKvvl_Oko
Objetivos
Establecimiento de parmetros
Es esta etapa se definen los parmetros que sern utilizados durante todo el
anlisis, para este caso, los parmetros son:
o Valor de los activos
o Vulnerabilidad
o Impacto
o Efectividad del control
Anlisis de activos
Anlisis de amenazas
o Desastres naturales
o Desastres de origen industrial
o Errores y fallos no intencionados
o Ataques intencionados
Establecimiento de vulnerabilidades
Valoracin de impactos
61
Anlisis de riesgo intrnseco
Este anlisis muestra el estado en que se encuentra la organizacin en cuanto
a seguridad informtica se refiere.
Influencia de salvaguardas
Gestin de riesgos
Esta etapa es la que realmente define el rumbo de la organizacin, pues aqu
es donde se define cuales medidas de seguridad se implementarn segn el
listado de salvaguardas para reducir el riesgo.
Al ser parte de la gestin documental, debe ser aprobado por la alta direccin
y sometido a revisiones previas con el fin de mantenerlo actualizado de
acuerdo al modelo y procesos de la empresa.
LR Requerimiento Legal
CO Obligaciones Contractuales
Requerimientos del negocio /
BR/BP
Mejores Prcticas
RRA Resultado de Anlisis de Riesgos
62
Fuente: El autor.
Esta fase va de la mano con el alcance definido para el SGSI, se debe tener
en cuenta todos los procesos que desarrolla la organizacin, es necesario
precisar a qu nivel de detalle se pretende llegar, haciendo nfasis en los
procesos ms crticos y los riesgos que estos generan.
En esta etapa se identifican los parmetros que sern de ayuda para realizar
un correcto anlisis de riesgo, estos son:
Fuente: El Autor
63
Vulnerabilidad
Frecuencia Vulnerabilidades
VULNERABILIDAD CONVENCION VALOR
Extremadamente Frecuente EF 1 - Una vez al da
Muy Frecuente MF 0,7123 - Quincenal
Frecuente FR 0,0164 - Bimestral
Poco Frecuente PF 0,0054 - Semestral
Muy Poco Frecuente MPF 0,0027 - Anual
Fuente: El Autor
Impacto
Tabla 8. Impacto.
Impacto
Perdida en
DESCRIPCION CONVENCION %
Crtico C 80 - 100
Alto A 60 - 80
Medio M 30 - 60
Bajo B 5 -30
Fuente: El autor
64
Efectividad del control
Aqu se puede comprobar que tan efectivas son las medidas de proteccin de
los riesgos. Se relaciona a continuacin una tabla donde se asigna un valor
dado en porcentaje de acuerdo a la descripcin.
Valoracin
Impacto/Vulnerabilidad
DESCRIPCION VALOR
Muy alto 95%
alto 75%
Medio 50%
Bajo 30%
Muy bajo 10%
Fuente: El autor.
Dimensiones de Valoracin
Identificacin del
Impacto
A Autenticidad
C Confidencialidad
I Integridad
D Disponibilidad
T Trazabilidad
Fuente: El autor.
Tipos de Activos
I Instalaciones
H Hardware
A Aplicaciones
D Datos
R Redes
S Servicios
P Personal
En esta etapa se identifican todos los activos que posee la organizacin, como
son activos fsicos, lgicos (Software), personal, instalaciones, entre otros,
estos se valoraran de acuerdo a la tabla de valoracin de activos
Valor en
Valor
Tipo de Activo Descripcin Millones Criticidad
Activo
de $
66
Tabla 12. (Continuacin)
Valor en
Valor
Tipo de Activo Descripcin Millones Criticidad
Activo
de $
Valor en
Valor
Tipo de Activo Descripcin Millones Criticidad
Activo
de $
Fuente: El autor.
Las amenazas son consideradas como todas las posibles situaciones que
pueden ocasionar problemas de seguridad, las amenazas se clasifican en
cuatro grupos como son: Desastres naturales, de origen industrial, errores y
fallos no intencionados y ataques intencionados. 9
Dimensin
Activos Afectados
GRUPO AMENAZA Afectada
A C I D T I H A D R S P
Fuego X X X
Daos por agua X X X
Desastres
Naturales Contaminacin X X X x
Siniestro mayor X X X x
fenmeno climtico X X X x
68
Tabla 13. (Continuacin)
Dimensin
Activos Afectados
GRUPO AMENAZA Afectada
A C I D T I H A D R S P
Fenmeno de origen volcnico X X X x
Fenmeno meteorolgico X X X x
Inundacin X X X x
Otros desastres Naturales X X X
Fuego X X X
Daos por agua X X X
Contaminacin Mecnica X X
Desastres de
Origen Contaminacin electromagntica X X
Industrial Avera de origen fsico o lgico X X X
Corte del suministro elctrico X X
Condiciones inadecuadas de temperatura
o humedad X X
Fallo de servicios de comunicaciones X X
Interrupcin de otros servicios y
suministros esenciales X X
Degradacin de los soportes de
almacenamiento de la informacin X X
Emanaciones electromagnticas Errores y
fallos no intencionados x X X
Errores de los usuarios X X X X X x
Errores del administrador X X X X X X X X
Errores de monitorizacin (log) X X X
Errores de configuracin X X
Deficiencias en la organizacin X X
Difusin de software daino X X X X
Errores de [re-]encaminamiento X X X X
Errores de secuencia X X X X
Escapes de informacin X X
Errores y fallos Alteracin accidental de la informacin X x X X X X
no Destruccin de informacin X x X X X X
intencionados Fugas de informacin X x X X x X X
Vulnerabilidades de los programas
(software) X X X X
Errores de mantenimiento / actualizacin
de programas (software) X X X
Errores de mantenimiento / actualizacin
de equipos (hardware) X X
Cada del sistema por agotamiento de
recursos X X X X
Prdida de equipos X X X
Indisponibilidad del personal X X
ataques Manipulacin de los registros de actividad
intencionados (log) X X X
69
Tabla 13. (Continuacin)
Dimensin
Activos Afectados
GRUPO AMENAZA Afectada
A C I D T I H A D R S P
Manipulacin de la configuracin X X X X
Suplantacin de la identidad del usuario x X X X X X X X X
Abuso de privilegios de acceso X X X X X X X X
Uso no previsto X X X X X X X X
Difusin de software daino X X X X
[Re-]encaminamiento de mensajes X X X X
Alteracin de secuencia X X X X
Acceso no autorizado X X X X X X X X
Anlisis de trfico X X
Repudio X X X X
Interceptacin de informacin (escucha) X X
Modificacin deliberada de la informacin X X X X X X
Destruccin de informacin X X X X X
Divulgacin de informacin X X X X X
Manipulacin de programas X X X X
Manipulacin de los equipos X X X
Denegacin de servicio X X X X X X
Robo X X X X
Ataque destructivo X X X
Ocupacin enemiga X X X
Indisponibilidad del personal X X
Extorsin X X X X
Ingeniera social X X X X
Cuantificacin de amenazas
Fuente. El Autor
71
Fuente. El autor
Fuente. El Autor
72
El resultado obtenido despus de ejecutar la herramienta es la cuenta de
correo electrnico de Servidoc, y la direccin del host.
Fuente. El Autor
73
Figura 29. Monitoreo de red
Fuente. El autor
Fuente. El autor
74
En otro anlisis, se identific que el navegador posee barras de herramientas
de publicidad que podran llegar a ser virus, en este caso se observa
MyFunCards.
Con este hallazgo, se puede concluir que los usuarios pueden realizar
descargas de software sin ningn control, esto representa grandes
vulnerabilidades para Servidoc S.A., dems se puede observar que entre los
lugares ms visitados se encuentra la pgina www.facebook.com.
Fuente. El autor
detectores de humedad
Falta de controles fsicos contra
Fuego
incendio.
75
Tabla 14. (Continuacin)
76
Tabla 14. (Continuacin)
77
Tabla 14. (Continuacin)
Para realizar el clculo, se tom el valor del activo, se multiplico por el valor
asignado a la frecuencia que se estableci anteriormente (valor asignado de
acuerdo a das, quincenal, bimestral, semestral, anual) y finalmente se
multiplica por el mayor valor de la dimensin afectada.
79
Objetivo de los proyectos
Los proyectos presentados a la compaa Servidoc S.A. tienen como
propsito:
Alcance
Tipos de proyectos
Evaluacin del estado actual: Esta fase permite identificar cules son los
controles que tiene implementados la organizacin, dar un diagnstico de
su estado actual, adems identificar los equipos que hagan falta y deban
ser adquiridos ya sea por modalidad de compra, comodato, leasing,
adems se definirn los procedimientos que se deben desarrollar para su
puesta en funcionamiento.
Establecer acuerdos con terceros: Esta fase se realiza una vez se han
tomado medidas respecto a la adquisicin de los equipos, paso seguido se
deben realizar acuerdos con terceros en lo que se refiere a: acuerdos de
servicios como periodicidad del mantenimiento de los equipos,
consecucin de plizas con cobertura de desastres naturales e industriales,
obtencin de datos de las personas de contacto, contacto con las
autoridades, en este caso autoridades como bomberos y polica.
Evaluacin del estado actual: Esta fase permite identificar cules son los
controles que tiene implementados la organizacin, dar un diagnstico de
su estado actual, adems identificar los elementos fsicos o lgicos que
hagan falta y deban ser adquiridos, adems se definirn los procedimientos
que se deben desarrollar para su puesta en funcionamiento.
Establecer acuerdos con terceros: Esta fase se realiza una vez se han
tomado medidas respecto a la fase anterior, paso seguido se deben realizar
acuerdos con terceros en lo que se refiere a: acuerdos de servicios como
periodicidad del mantenimiento de los equipos, consecucin de plizas con
cobertura de robo, ocupacin enemiga, obtencin de datos de las personas
de contacto.
83
El tiempo estimado para la realizacin de este proyecto es de 2 meses.
84
Evaluacin del estado actual: Esta fase permite identificar cules son
los controles que tiene implementados la organizacin, dar un
diagnstico de su estado actual, adems identificar los elementos
fsicos o lgicos que hagan falta y deban ser adquiridos, adems se
definirn los procedimientos que se deben desarrollar para su puesta
en funcionamiento.
5.5.1 Metodologa
Cabe resaltar que a lo largo del desarrollo de este trabajo, se han establecido
algunas acciones de mejora en algunos controles, lo que significa que el
estado de madurez que se realiz inicialmente ha cambiado, pero a su vez es
necesario realizar la auditoria de cumplimiento para identificar las falencias
que se tienen y cules son las oportunidades de mejora.
Al finalizar esta etapa, se debe presentar un informe del estado actual con sus
respectivas conclusiones
Fuente: El autor.
86
procedimiento se realizara para cada uno de los dominios que estable la
norma, estos son:
Los controles que se encuentran en color amarillo indican que han logrado un
gran nivel de madurez, pues durante este anlisis se han implementado
controles, es el del documento de polticas de la seguridad y la informacin y
el documento de asignacin de roles y responsabilidades
87
Tabla 16. Modelo de madurez y la capacidad (CMM).
cu
m
pl
N e/ Por
Control/Objetivo de Control - Descripcin no cent
C cu aje
m
pl
e
Polticas de seguridad de la
5 80%
informacin
Directrices establecidas por la
5.1 direccin para la seguridad de la
informacin
Polticas para la seguridad de la
5.1.1 Seguridad 4 Administrado Si 80%
informacin
Revisin de las polticas para
5.1.2 Seguridad 4 Administrado si 80%
seguridad de la informacin
Organizacin de la seguridad de la
6 40%
informacin
6.1 Organizacin interna
Roles y responsabilidades para la
6.1.1 Seguridad 4 Administrado si 80%
seguridad de informacin
6.1.2 Separacin de deberes Seguridad 4 Administrado si 80%
6.1.3 Contacto con las autoridades Seguridad 0 No existente no 0%
Contacto con grupos de inters
6.1.4 Seguridad 0 No existente no 0%
especial
Seguridad de la informacin en la
6.1.5 Seguridad 0 No existente no 0%
gestin de proyectos
6.2 Dispositivos mviles y teletrabajo
6.2.1 Poltica para dispositivos mviles Seguridad 4 Administrado si 80%
6.2.2 Teletrabajo Seguridad 6 No Aplica no N/A
7 Seguridad de los recursos humanos 28%
7.1 Antes de asumir el empleo
7.1.1 Seleccin Rh 3 Definido si 50%
7.1.2 Trminos y condiciones del empleo Rh 2 Repetible no 40%
7.2 Durante la ejecucin del empleo
7.2.1 Responsabilidades de la direccin Rh 4 Administrado si 80%
Toma de conciencia, educacin y
formacin en la seguridad de la 0 No existente no 0%
7.2.2 informacin Rh
7.2.3 Proceso disciplinario Rh 0 No existente no 0%
7.3 Terminacin o cambio de empleo
Terminacin o cambio de
0 No existente no 0%
7.3.1 responsabilidades de empleo Rh
8 Gestin de activos 52%
88
Tabla 16. (Continuacin)
cum
N ple/ Por
Descripci
Control/Objetivo de Control - no cent
n
C cum aje
ple
89
Tabla 16. (Continuacin)
cum
N ple/ Por
Descripci
Control/Objetivo de Control - no cent
n
C cum aje
ple
Uso de programas utilitarios Seguridad 0 No existente no 0%
9.4.4 privilegiados
Control de acceso a cdigos fuente de Seguridad 6 No Aplica no N/A
9.4.5 programas
#DI
10 Criptografa V/0!
10.1 Controles criptogrficos
Poltica sobre el uso de controles Seguridad 6 No Aplica no N/A
10.1.1 criptogrficos
10.1.2 Gestin de llaves Seguridad 6 No Aplica no N/A
11 Seguridad fsica y del entorno 43%
11.1 reas seguras
Seguridad
2 Repetible no 40%
11.1.1 Permetro de seguridad fsica Fsica
Seguridad
2 Repetible no 40%
11.1.2 Controles fsicos de entrada Fsica
Seguridad de oficinas, recintos e Seguridad 2 Repetible no 40%
11.1.3 instalaciones Fsica
Proteccin contra amenazas externas Seguridad 2 Repetible no 40%
11.1.4 y ambientales Fsica
Seguridad
2 Repetible no 40%
11.1.5 Trabajo en reas seguras Fsica
Seguridad
6 No Aplica no N/A
11.1.6 reas de despacho y carga Fsica
11.2 Equipos
Seguridad
2 Repetible no 40%
11.2.1 Ubicacin y proteccin de los equipos Fsica
Seguridad
2 Repetible no 40%
11.2.2 Servicios de suministro Fsica
11.2.3 Seguridad del cableado Sistemas 2 Repetible no 40%
11.2.4 Mantenimiento de equipos Sistemas 2 Repetible no 40%
Seguridad
2 Repetible no 40%
11.2.5 Retiro de activos Fsica
Seguridad de equipos y activos fuera 2 Repetible no 40%
11.2.6 de las instalaciones Sistemas
Disposicin segura o reutilizacin de Seguridad 2 Repetible no 40%
11.2.7 equipos Fsica
11.2.8 Equipos de usuario desatendidos Sistemas 2 Repetible no 40%
Poltica de escritorio limpio y pantalla Administrad
4 si 80%
11.2.9 limpia Sistemas o
12 Seguridad de las operaciones 28%
Procedimientos operacionales y
12.1 responsabilidades
90
Tabla 16. (Continuacin)
cum
N ple/ Por
Descripci
Control/Objetivo de Control - no cent
n
C cum aje
ple
Procedimientos de operacin 0 No existente no 0%
12.1.1 documentados sistemas
12.1.2 Gestin de cambios sistemas 0 No existente no 0%
12.1.3 Gestin de capacidad sistemas 0 No existente no 0%
Separacin de los ambientes de 6 No Aplica no N/A
12.1.4 desarrollo, pruebas y operacin sistemas
12.2 Proteccin contra cdigos maliciosos
12.2.1 Controles contra cdigos maliciosos sistemas 2 Repetible no 40%
12.3 Copias de respaldo
12.3.1 Respaldo de informacin sistemas 2 Repetible no 40%
12.4 Registro y seguimiento
12.4.1 Registro de eventos Sistemas 0 No existente no 0%
Proteccin de la informacin de
2 Repetible no 40%
12.4.2 registro Sistemas
Registros del administrador y del 2 Repetible no 40%
12.4.3 operador Sistemas
Administrad
4 si 80%
12.4.4 sincronizacin de relojes Sistemas o
12.5 Control de software operacional
Instalacin de software en sistemas 2 Repetible no 40%
12.5.1 operativos Sistemas
12.6 Gestin de la vulnerabilidad tcnica
Gestin de las vulnerabilidades 2 Repetible no 40%
12.6.1 tcnicas Sistemas
Restricciones sobre la instalacin de 2 Repetible no 40%
12.6.2 software Sistemas
Consideraciones sobre auditorias de
12.7 sistemas de informacin
Informacin controles de auditora de 0 No existente no 0%
12.7.1 sistemas Sistemas
13 Seguridad de las comunicaciones 40%
13.1 Gestin de la seguridad de las redes
13.1.1 Controles de redes Sistemas 2 Repetible no 40%
13.1.2 Seguridad de los servicios de red Sistemas 2 Repetible no 40%
13.1.3 Separacin en las redes Sistemas 2 Repetible no 40%
13.2 Transferencia de informacin
Polticas y procedimientos de 2 Repetible no 40%
13.2.1 transferencia de informacin Sistemas
Acuerdos sobre transferencia de 2 Repetible no 40%
13.2.2 informacin Sistemas
13.2.3 Mensajera electrnica Sistemas 2 Repetible no 40%
Acuerdos de confidencialidad o de no 2 Repetible no 40%
13.2.4 divulgacin Sistemas
91
Tabla 16. (Continuacin)
cum
N ple/ Por
Descripci
Control/Objetivo de Control - no cent
n
C cum aje
ple
Adquisicin, desarrollo y 17%
14 mantenimientos de sistemas
Requisitos de seguridad de los
14.1 sistemas de informacin
Anlisis y especificacin de requisitos 2 Repetible no 40%
14.1.1 de seguridad de la informacin Sistemas
Seguridad de servicios de las 2 Repetible no 40%
14.1.2 aplicaciones en redes publicas Sistemas
Proteccin de transacciones de los 2 Repetible no 40%
14.1.3 servicios de las aplicaciones Sistemas
Seguridad en los procesos de
14.2 desarrollo y soporte
14.2.1 Poltica de desarrollo seguro Seguridad 6 No Aplica no N/A
Procedimientos de control de cambios Seguridad 6 No Aplica no N/A
14.2.2 en sistemas
Revisin tcnica de las aplicaciones
despus de cambios en la plataforma Seguridad 6 No Aplica no N/A
14.2.3 de operacin
Restricciones en los cambios a los Seguridad 6 No Aplica no N/A
14.2.4 paquetes de software
Principios de construccin de sistemas Seguridad 6 No Aplica no N/A
14.2.5 seguros
14.2.6 Ambiente de desarrollo seguro Seguridad 6 No Aplica no N/A
14.2.7 Desarrollo contratado externamente Seguridad 6 No Aplica no N/A
14.2.8 Pruebas de seguridad de sistemas Seguridad 0 No existente no 0%
14.2.9 Prueba de aceptacin de sistemas Seguridad 0 No existente no 0%
14.3 Datos de prueba Seguridad 0 No existente no 0%
14.3.1 Proteccin de datos de prueba Seguridad 0 No existente no 0%
15 Relacin con los proveedores 11%
Seguridad de la informacin en las Seguridad 0 No existente no 0%
15.1 relaciones con los proveedores
Poltica de seguridad de la informacin Administrad
Seguridad 4 si 80%
15.1.1 para las relaciones con proveedores o
Tratamiento de la seguridad dentro de
Seguridad 0 No existente no 0%
15.1.2 los acuerdos con proveedores
Cadena de suministro de tecnologa de
Seguridad 0 No existente no 0%
15.1.3 informacin y comunicacin
Gestin de la prestacin de servicios
Seguridad 0 No existente no 0%
15.2 con los proveedores
Seguimiento y revisin de los servicios
Seguridad 0 No existente no 0%
15.2.1 de los proveedores
92
Tabla 16. (Continuacin)
cum
N ple/ Por
Descripci
Control/Objetivo de Control - no cent
n
C cum aje
ple
Gestin de cambios en los servicios de
Seguridad 0 No existente no 0%
15.2.2 proveedores
Gestin de incidentes de seguridad de
11%
16 la informacin
Gestin de incidentes y mejoras en la
16.1 seguridad de la informacin
Administrad
Responsabilidad y procedimientos Seguridad 4 si 80%
16.1.1 o
Reporte de eventos de seguridad de la
Seguridad 0 No existente no 0%
16.1.2 informacin
Reporte de debilidades de seguridad
Seguridad 0 No existente no 0%
16.1.3 de la informacin
Evaluacin de eventos de seguridad
de la informacin y decisiones sobre Seguridad 0 No existente no 0%
16.1.4 ellos
Respuesta a incidentes de seguridad
Seguridad 0 No existente no 0%
16.1.5 de la informacin
Aprendizaje obtenido de los incidentes
Seguridad 0 No existente no 0%
16.1.6 de seguridad de la informacin
16.1.7 Recoleccin de evidencia Seguridad 0 No existente no 0%
Aspectos de seguridad de la
informacin de la gestin de 10%
17 continuidad de negocio
Continuidad de seguridad de la
17.1
informacin
Planificacin de la continuidad de la
17.1.1 Seguridad 1 Inicial no 10%
seguridad de la informacin
Implementacin de la continuidad de la
17.1.2 Seguridad 1 Inicial no 10%
seguridad de la informacin
Verificacin, revisin y evaluacin de
17.1.3 la continuidad de la seguridad de la Seguridad 1 Inicial no 10%
informacin
17.2 Redundancias Seguridad 1 Inicial no 10%
Disponibilidad de instalaciones de
17.2.1 Seguridad 1 Inicial no 10%
procesamiento de informacin.
18 Cumplimiento 10%
Cumplimiento de requisitos legales y
18.1 Seguridad 1 Inicial no 10%
contractuales
Identificacin de la legislacin
18.1.1 aplicable y de los requisitos Seguridad 1 Inicial no 10%
contractuales
18.1.2 Derechos de propiedad intelectual Seguridad 1 Inicial no 10%
18.1.3 Proteccin de registros Seguridad 1 Inicial no 10%
93
Tabla 16. (Continuacin)
cum
N ple/ Por
Descripci
Control/Objetivo de Control - no cent
n
C cum aje
ple
Privacidad y proteccin de datos
18.1.4 Seguridad 1 Inicial no 10%
personales
Reglamentacin de controles
18.1.5 Seguridad 6 No Aplica no N/A
criptogrficos
Revisiones de seguridad de la
18.2 Seguridad 1 Inicial no 10%
informacin
Revisin independiente de la
18.2.1 Seguridad 1 Inicial no 10%
seguridad de la informacin
Cumplimiento con las polticas y
18.2.2 Seguridad 1 Inicial no 10%
normas de seguridad
18.2.3 Revisin del cumplimiento tcnico Seguridad 1 Inicial no 10%
Fuente: El autor.
Nivel Controles
No existente 41
Inicial 5
Repetible 44
Definido 1
Administrado 14
Optimizado 0
No Aplica 14
Fuente: El autor.
94
Como se puede apreciar en tabla anterior, hay 41 controles que no existen, 5
controles donde se ha realizado alguna practica del control, pero con
inconsistencias, hay 44 controles sin documentar, hay 1 control que no posee
ninguna clase de medicin, hay 14 controles a los que se les realiza medicin,
finalmente hay 14 controles que no se aplican en la compaa.
No Aplica
12% Controles de Seguridad
Administrado No existente
12% 34%
Definido
1%
Repetible
37%
Optimizado
0%
Inicial
4%
Fuente: El autor
95
Tabla 18. (Continuacin)
Control/Objetivo de Control Porcentaje
Aspectos de seguridad de la informacin de la gestin de
17 continuidad de negocio 10%
18 Cumplimiento 10%
TOTAL 31%
Fuente: El Autor
Seguridad fsica y del entorno: el aumento fue muy bajo, este dominio
depende en su totalidad de la implementacin de los proyectos sugeridos.
96
Adquisicin, desarrollo y mantenimientos de sistemas: La optimizacin
fue poca, pues es necesario implementar los proyectos sugeridos.
97
Figura 5. Cumplimiento de dominios en su estado actual y deseado.
Nivel de madurez
Estado Actual Estado esperado
Polticas de seguridad de
la informacin
80% Organizacin de la
Cumplimiento
70% seguridad de la
Aspectos de seguridad de 60% Seguridad de los recursos
la informacin de la 50% humanos
40%
30%
Gestin de incidentes de 20% Gestin de activos
seguridad de la
10%
0%
Relacin con los
Control de acceso
proveedores
Adquisicin, desarrollo y
Criptografa
mantenimientos de
Seguridad de las Seguridad fsica y del
comunicaciones entorno
Seguridad de las
operaciones
Fuente: El Autor
98
6. CONCLUSIONES
99
7. BIBLIOGRAFA
101
MINTIC. El Congreso de Colombia Decreta. [en lnea]. Bogot. 2009.
Disponible en: http://www.mintic.gov.co/portal/604/articles-
3705_documento.pdf
DIARIO OFICIAL. Ley 1288 DE 2.009. [en lnea]. Bogot. 2009. Disponible en:
http://200.26.152.57/SIDN15%5CArchivos%5CNormatividad%5CLegislaci%C
3%B3n%20Nacional%5CLeyes%20de%20Colombia%5CLeyes%202009%20
(1270%20-
%201371)%5CLey%201288%20de%202009%20%20(Fortalece%20actividad
es%20de%20inteligencia%20y%20contrainteligencia).pdf
102
Documentacin Kali. [en lnea]. 2015. Disponible en: https://www.kali.org/
OLMEDO, Javier. Obtener Informacin con The Harvester. [en lnea]. 2015.
Disponible en: http://hackpuntes.com/obtener-informacion-con-the-harvester/
103
8. ANEXOS
Anexo A. Encuesta
Nme RESPUESTA
PREGUNTAS
ro SI NO
El computador asignado para el desarrollo de sus funciones
1 recibe mantenimiento perodicamente?
Existe un Sistema de Gestin de Seguridad Informtica en la
2 Empresa?
La compaa capacita al personal en temas de seguridad
3 informtica?
Existe alguna poltica para el cambio regular de las
4 contraseas?
Antes y despues de la contratacin del personal se hace entrega
de un manual de funciones y responsabilidades de seguridad de
5 la informacin?
Cundo ocurre un evento relacionado con seguridad de la
6 informacin sabe a quien reportarlo?
7 Realiza copias de los datos?
Considera necesario que la compaa invierta en la
implementacin de un Sistema de Gestin de Seguridad de la
8 Informacin?
9 Posee antivirus el computador asignado?
10 La compaa posee posee software legal en sus totalidad?
11 Existen zonas restringidas de acceso de personal?
12 Se realiza mantenimiento preventivo y correctivo a la UPS?
Existen sistemas de seguridad que impidan el acceso a lugares
13 restringidos?
Se cuenta con sistemas de alarma como detectores de humo,
14 humedad?
15 Existe vigilancia en la entrada del edificio?
Los sitios donde estn los equipos de cmputo cuenta con aire
16 acondicionado?
Se encuentra asegurados mediante plizas los equipos de
17 cmputo?
18 Existe algun control para navegar en internet?
19 Existe control sobre el uso del correo electrnico?
Fuente: El autor.
104
Anexo B. Anlisis Diferencial
N- cumple/no
Control/Objetivo de Control Responsable Descripcin
C cumple
5 Polticas de seguridad de la informacin
5.1 Directrices establecidas por la direccin para la seguridad de la informacin
Polticas para la seguridad de la
5.1.1 Seguridad 0 No existe no
informacin
Revisin de las polticas para
5.1.2 Seguridad 0 No existe no
seguridad de la informacin
6 Organizacin de la seguridad de la informacin
6.1 Organizacin interna
Roles y responsabilidades para la
6.1.1 Seguridad 0 No existe no
seguridad de informacin
6.1.2 Separacin de deberes Seguridad 0 No existe no
6.1.3 Contacto con las autoridades Seguridad 0 No existe no
Contacto con grupos de inters
6.1.4 Seguridad 0 No existe no
especial
Seguridad de la informacin en la
6.1.5 Seguridad 0 No existe no
gestin de proyectos
6.2 Dispositivos mviles y teletrabajo
6.2.1 Poltica para dispositivos mviles Seguridad 0 No existe no
6.2.2 Teletrabajo Seguridad 0 No existe no
7 Seguridad de los recursos humanos
7.1 Antes de asumir el empleo
7.1.1 Seleccin Rh 3 Definido si
7.1.2 Trminos y condiciones del empleo Rh 2 Repetible no
7.2 Durante la ejecucin del empleo
7.2.1 Responsabilidades de la direccin Rh 1 Inicial no
Toma de conciencia, educacin y
formacin en la seguridad de la 0 No Existe no
7.2.2 informacin Rh
7.2.3 Proceso disciplinario Rh 0 No Existe no
7.3 Terminacin o cambio de empleo
Terminacin o cambio de
0 No Existe no
7.3.1 responsabilidades de empleo Rh
8 Gestin de activos
8.1 Responsabilidad por los activos
8.1.1 Inventario de activos Rh 4 Administrado si
8.1.2 Propiedad de los activos Rh 4 Administrado si
8.1.3 Uso aceptable de los activos Rh 2 Repetible no
8.1.4 Devolucin de activos Rh 4 Administrado si
8.2 Clasificacin de la informacin
8.2.1 Clasificacin de la informacin Rh 2 Repetible no
8.2.2 Etiquetado de la informacin Sistemas 2 Repetible no
8.2.3 Manejo de activos Rh 2 Repetible no
8.3.1 Gestin de medios removibles Sistemas 2 Repetible no
8.3.2 Disposicin de los medios Sistemas 2 Repetible no
8.3.3 Transferencia de medios fsicos Sistemas 2 Repetible no
9 Control de acceso
105
Anexo B. (continuacin)
N- cumple/no
Control/Objetivo de Control Responsable Descripcin
C cumple
9.1 Requisitos del negocio para control de acceso
9.1.1 Poltica de control de acceso Seguridad 2 Repetible no
Poltica sobre el uso de los
Seguridad 2 Repetible no
9.1.2 servicios de red
9.2 Gestin de acceso de usuarios
Registro y cancelacin del registro
Seguridad 2 Repetible no
9.2.1 de usuarios
9.2.2 Suministro de acceso de usuarios Seguridad 2 Repetible no
Gestin de derechos de acceso
Seguridad 2 Repetible no
9.2.3 privilegiado
Gestin de informacin de
Seguridad 2 Repetible no
9.2.4 autenticacin secreta de usuarios
Revisin de los derechos de
Seguridad 2 Repetible no
9.2.5 acceso de usuarios
Retiro o ajuste de los derechos de
Seguridad 2 Repetible no
9.2.6 acceso
9.3 Responsabilidades de los usuarios
Uso de la informacin de
Seguridad 0 No existe no
9.3.1 autenticacin secreta
9.4 Control de acceso a sistemas y aplicaciones
9.4.1 Restriccin de acceso Informacin Seguridad 0 No existe no
9.4.2 Procedimiento de ingreso seguro Seguridad 0 No existe no
9.4.3 Sistema de gestin de contraseas Seguridad 0 No existe no
Uso de programas utilitarios
Seguridad 0 No existe no
9.4.4 privilegiados
Control de acceso a cdigos fuente
Seguridad 0 No existe no
9.4.5 de programas
10 Criptografa
10.1 Controles criptogrficos
Poltica sobre el uso de controles
Seguridad 0 No existe no
10.1.1 criptogrficos
10.1.2 Gestin de llaves Seguridad 0 No existe no
11 Seguridad fsica y del entorno
11.1 reas seguras
11.1.1 Permetro de seguridad fsica Seguridad Fsica 2 Repetible no
11.1.2 Controles fsicos de entrada Seguridad Fsica 2 Repetible no
Seguridad de oficinas, recintos e
2 Repetible no
11.1.3 instalaciones Seguridad Fsica
Proteccin contra amenazas
2 Repetible no
11.1.4 externas y ambientales Seguridad Fsica
11.1.5 Trabajo en reas seguras Seguridad Fsica 2 Repetible no
11.1.6 reas de despacho y carga Seguridad Fsica 2 Repetible no
11.2 Equipos
Ubicacin y proteccin de los
2 Repetible no
11.2.1 equipos Seguridad Fsica
11.2.2 Servicios de suministro Seguridad Fsica 2 Repetible no
11.2.3 Seguridad del cableado Sistemas 2 Repetible no
11.2.4 Mantenimiento de equipos Sistemas 2 Repetible no
11.2.5 Retiro de activos Seguridad Fsica 2 Repetible no
106
Anexo B. (continuacin)
N- cumple/no
Control/Objetivo de Control Responsable Descripcin
C cumple
Seguridad de equipos y activos
2 Repetible no
11.2.6 fuera de las instalaciones Sistemas
Disposicin segura o reutilizacin
2 Repetible no
11.2.7 de equipos Seguridad Fsica
11.2.8 Equipos de usuario desatendidos Sistemas 2 Repetible no
Poltica de escritorio limpio y
2 Repetible no
11.2.9 pantalla limpia Sistemas
12 Seguridad de las operaciones
12.1 Procedimientos operacionales y responsabilidades
Procedimientos de operacin
0 No existe no
12.1.1 documentados sistemas
12.1.2 Gestin de cambios sistemas 0 No existe no
12.1.3 Gestin de capacidad sistemas 0 No existe no
Separacin de los ambientes de
0 No existe no
12.1.4 desarrollo, pruebas y operacin sistemas
12.2 Proteccin contra cdigos maliciosos
Controles contra cdigos
2 Repetible no
12.2.1 maliciosos sistemas
12.3 Copias de respaldo
12.3.1 Respaldo de informacin sistemas 2 Repetible no
12.4 Registro y seguimiento
12.4.1 Registro de eventos Sistemas 0 No existe no
Proteccin de la informacin de
2 Repetible no
12.4.2 registro Sistemas
Registros del administrador y del
2 Repetible no
12.4.3 operador Sistemas
12.4.4 sincronizacin de relojes Sistemas 4 Administrado si
12.5 Control de software operacional
Instalacin de software en
2 Repetible no
12.5.1 sistemas operativos Sistemas
12.6 Gestin de la vulnerabilidad tcnica
Gestin de las vulnerabilidades
2 Repetible no
12.6.1 tcnicas Sistemas
Restricciones sobre la instalacin
2 Repetible no
12.6.2 de software Sistemas
12.7 Consideraciones sobre auditorias de sistemas de informacin
Informacin controles de auditora
0 No existe no
12.7.1 de sistemas Sistemas
13 Seguridad de las comunicaciones
13.1 Gestin de la seguridad de las redes
13.1.1 Controles de redes Sistemas 2 Repetible no
13.1.2 Seguridad de los servicios de red Sistemas 2 Repetible no
13.1.3 Separacin en las redes Sistemas 2 Repetible no
13.2 Transferencia de informacin
Polticas y procedimientos de
2 Repetible no
13.2.1 transferencia de informacin Sistemas
Acuerdos sobre transferencia de
2 Repetible no
13.2.2 informacin Sistemas
13.2.3 Mensajera electrnica Sistemas 2 Repetible no
107
Anexo B. (continuacin)
N- cumple/no
Control/Objetivo de Control Responsable Descripcin
C cumple
Acuerdos de confidencialidad o de
2 Repetible no
13.2.4 no divulgacin Sistemas
14 Adquisicin, desarrollo y mantenimientos de sistemas
14.1 Requisitos de seguridad de los sistemas de informacin
Anlisis y especificacin de
requisitos de seguridad de la 2 Repetible no
14.1.1 informacin Sistemas
Seguridad de servicios de las
2 Repetible no
14.1.2 aplicaciones en redes publicas Sistemas
Proteccin de transacciones de los
2 Repetible no
14.1.3 servicios de las aplicaciones Sistemas
14.2 Seguridad en los procesos de desarrollo y soporte
14.2.1 Poltica de desarrollo seguro Seguridad 0 No existe no
Procedimientos de control de
Seguridad 0 No existe no
14.2.2 cambios en sistemas
Revisin tcnica de las
aplicaciones despus de cambios Seguridad 0 No existe no
14.2.3 en la plataforma de operacin
Restricciones en los cambios a los
Seguridad 0 No existe no
14.2.4 paquetes de software
Principios de construccin de
Seguridad 0 No existe no
14.2.5 sistemas seguros
14.2.6 Ambiente de desarrollo seguro Seguridad 0 No existe no
Desarrollo contratado
Seguridad 0 No existe no
14.2.7 externamente
14.2.8 Pruebas de seguridad de sistemas Seguridad 0 No existe no
14.2.9 Prueba de aceptacin de sistemas Seguridad 0 No existe no
14.3 Datos de prueba Seguridad 0 No existe no
14.3.1 Proteccin de datos de prueba Seguridad 0 No existe no
15 Relacin con los proveedores
Seguridad de la informacin en las
Seguridad 0 No existe no
15.1 relaciones con los proveedores
Poltica de seguridad de la
informacin para las relaciones Seguridad 0 No existe no
15.1.1 con proveedores
Tratamiento de la seguridad dentro
Seguridad 0 No existe no
15.1.2 de los acuerdos con proveedores
Cadena de suministro de
tecnologa de informacin y Seguridad 0 No existe no
15.1.3 comunicacin
Gestin de la prestacin de
Seguridad 0 No existe no
15.2 servicios con los proveedores
Seguimiento y revisin de los
Seguridad 0 No existe no
15.2.1 servicios de los proveedores
Gestin de cambios en los
Seguridad 0 No existe no
15.2.2 servicios de proveedores
16 Gestin de incidentes de seguridad de la informacin
16.1 Gestin de incidentes y mejoras en la seguridad de la informacin
16.1.1 Responsabilidad y procedimientos Seguridad 0 No existe no
108
Anexo B. (continuacin)
N- cumple/no
Control/Objetivo de Control Responsable Descripcin
C cumple
Reporte de eventos de seguridad
Seguridad 0 No existe no
16.1.2 de la informacin
Reporte de debilidades de
Seguridad 0 No existe no
16.1.3 seguridad de la informacin
Evaluacin de eventos de
seguridad de la informacin y Seguridad 0 No existe no
16.1.4 decisiones sobre ellos
Respuesta a incidentes de
Seguridad 0 No existe no
16.1.5 seguridad de la informacin
Aprendizaje obtenido de los
incidentes de seguridad de la Seguridad 0 No existe no
16.1.6 informacin
16.1.7 Recoleccin de evidencia Seguridad 0 No existe no
17 Aspectos de seguridad de la informacin de la gestin de continuidad de negocio
17.1 Continuidad de seguridad de la informacin
Planificacin de la continuidad de
17.1.1 Seguridad 1 Inicial no
la seguridad de la informacin
Implementacin de la continuidad
17.1.2 Seguridad 1 Inicial no
de la seguridad de la informacin
Verificacin, revisin y evaluacin
17.1.3 de la continuidad de la seguridad Seguridad 1 Inicial no
de la informacin
17.2 Redundancias Seguridad 1 Inicial no
Disponibilidad de instalaciones de
17.2.1 Seguridad 1 Inicial no
procesamiento de informacin.
18 Cumplimiento
Cumplimiento de requisitos legales
18.1 Seguridad 0 No existe no
y contractuales
Identificacin de la legislacin
18.1.1 aplicable y de los requisitos Seguridad 0 No existe no
contractuales
18.1.2 Derechos de propiedad intelectual Seguridad 0 No existe no
18.1.3 Proteccin de registros Seguridad 0 No existe no
Privacidad y proteccin de datos
18.1.4 Seguridad 0 No existe no
personales
Reglamentacin de controles
18.1.5 Seguridad 0 No existe no
criptogrficos
Revisiones de seguridad de la
18.2 Seguridad 0 No existe no
informacin
Revisin independiente de la
18.2.1 Seguridad 0 No existe no
seguridad de la informacin
Cumplimiento con las polticas y
18.2.2 Seguridad 0 No existe no
normas de seguridad
18.2.3 Revisin del cumplimiento tcnico Seguridad 0 No existe no
Fuente: El autor.
109
Anexo C. Declaracin de aplicabilidad
Controles
seleccion
ados y Apli
Control/Obje Justificaci razones ca?
tivo de Descripcin n de de
Control exclusin seleccin
B
R
L C R/
R
R O B
A
P
5 Polticas de seguridad de la informacin
5.1 Directrices establecidas por la direccin para la seguridad de la informacin
Existen polticas de seguridad de la
informacin pero no han sido
Polticas para
documentadas, se debe redactar un
la seguridad
5.1.1 documento que polticas para que sea x x SI
de la
distribuido y conocido por todo el
informacin
personal incluido en el proceso del
SGSI.
Revisin de
Se debe establecer un procedimiento
las polticas
que permita la revisin peridica de
5.1.2 para x x SI
las polticas de la seguridad de la
seguridad de
informacin por lo menos cada ao
la informacin
6 Organizacin de la seguridad de la informacin
6.1 Organizacin interna
Roles y Se deben definir roles y
responsabilid responsabilidades de acuerdo a las
6.1.1 ades para la polticas de seguridad de la x x SI
seguridad de informacin a todos los que
informacin interacten con el SGSI.
Se deben separar las ares
consideradas de gran importancia
para que as los deberes y
Separacin
6.1.2 responsabilidades asignadas sean x x SI
de deberes
separadas, de esta forma se evita el
uso indebido de los activos de la
organizacin
En el documento de polticas de la
seguridad de la informacin se debe
Contacto con contemplar un procedimiento que
6.1.3 las permita gestionar el contacto x x SI
autoridades permanente con autoridades
reguladoras de seguridad de la
informacin.
110
Anexo C. (Continuacin)
Controles
seleccion
ados y Apli
Control/Obje Justificaci razones ca?
tivo de Descripcin n de de
Control exclusin seleccin
B
R
L C R/
R
R O B
A
P
Es importante que la persona
encargada de la seguridad informtica
gestione el contacto permanente con
Contacto con
grupos de inters, estos pueden ser
grupos de
6.1.4 foros, chats, wiki, comunidades x x SI
inters
relacionadas con la seguridad
especial
informtica, con la intencin de estar
actualizados en aspectos
relacionados a la seguridad.
Seguridad de
la informacin La seguridad de la informacin se
6.1.5 x SI
en la gestin debe tratar en cualquier proyecto-
de proyectos
Dispositivos mviles y teletrabajo
6.2
Se deben aplicar polticas para el uso
Poltica para
adecuado de dispositivos mviles, su
6.2.1 dispositivos x x SI
uso inadecuado representa grandes
mviles
riesgos.
La Ca. no posee empleos bajo la
6.2.2 Teletrabajo No
modalidad de teletrabajo
7 Seguridad de los recursos humanos
7.1 Antes de asumir el empleo
Se deben realizar una exhaustiva
comprobacin de los antecedentes
del personal como empleados,
7.1.1 Seleccin x x NO
contratistas, terceros, con el fin de
saber su procedencia, referencias
personales, judiciales entre otras.
Se debe disear un documento que
permita a los empleados, contratistas
Trminos y
y terceros firmar clusulas de
7.1.2 condiciones x x SI
confidencialidad con la organizacin,
del empleo
manejo adecuado de recursos
tecnolgicos.
7.2 Durante la ejecucin del empleo
Se debe exigir a los empleados,
Responsabilid contratistas y terceros el cumplimiento
7.2.1 ades de la a cabalidad de las polticas de x x SI
direccin seguridad de la informacin
implementadas por la Ca.
111
Anexo C. (Continuacin)
Controles
seleccion
ados y Apli
Control/Obje Justificaci razones ca?
tivo de Descripcin n de de
Control exclusin seleccin
B
R
L C R/
R
R O B
A
P
Toma de
conciencia,
educacin y Se debe capacitar a todo el personal
7.2.2 formacin en en aspectos relacionados con la x SI
la seguridad seguridad de la informacin.
de la
informacin
Se deben establecer polticas sobre
Proceso sanciones que se aplicarn a quienes
7.2.3 x SI
disciplinario incumplan con lo descrito en las
polticas de seguridad.
7.3 Terminacin o cambio de empleo
Se debe informar a los empleados en
Terminacin o
los casos donde las
cambio de
responsabilidades y deberes que les
7.3.1 responsabilid x SI
fueron asignados durante el empleo,
ades de
los cobijan an cuando se realice una
empleo
terminacin o cambio de contrato.
8 Gestin de activos
8.1 Responsabilidad por los activos
Se debe contar con un inventario
Inventario de
8.1.1 detallado de los activos que posee la x x NO
activos
Ca.
Adems de la implementacin del
Propiedad de control anterior, se debe identificar en
8.1.2 x x NO
los activos custodia de quien se encuentra
actualmente el activo
Debe existir una clausula donde los
Uso
empleados se comprometan a realizar
8.1.3 aceptable de x x SI
un uso aceptable de los activos de la
los activos
organizacin
Se debe establecer un proceso para
la devolucin de los activos para
Devolucin
8.1.4 cuando los empleados cambien de x x NO
de activos
puesto o cuando se termine su
contrato.
8.2 Clasificacin de la informacin
Clasificacin Se debe establecer un procedimiento
8.2.1 de la que permita clasificar la informacin x SI
informacin de acuerdo a su valor
112
Anexo C. (Continuacin)
Controles
seleccion
ados y Apli
Control/Obje Justificaci razones ca?
tivo de Descripcin n de de
Control exclusin seleccin
B
R
L C R/
R
R O B
A
P
La informacin debe estar
debidamente rotulada, adems esta
Etiquetado de
8.2.2 rotulacin se debe clasificar de x SI
la informacin
acuerdo al valor que representa la
informacin para la empresa
Se debe contar con procedimientos
Manejo de
8.2.3 que ayuden en el adecuado manejo x SI
activos
que se le debe dar a un activo
Se deben establecer polticas sobre el
Gestin de correcto manejo que se le deben dar
8.3.1 medios a los medios removibles, puesto que x SI
removibles estos son necesarios en el desarrollo
de las labores diarias.
Proteccin de la informacin cuando
los medios sean destinados a labores
Disposicin diferentes a las actuales, se podra
8.3.2 x SI
de los medios hablar de un procedimiento de
eliminacin de informacin ene estos
casos.
Definir procedimientos que permitan
Transferencia
que la informacin almacenada en
8.3.3 de medios x SI
estos no sea divulgada, modificada o
fsicos
eliminada.
9 Control de acceso
9.1 Requisitos del negocio para control de acceso
Establecer polticas que permitan el
Poltica de
acceso a la informacin de acuerdo a
9.1.1 control de x SI
privilegios establecidos segn sus
acceso
funciones
Poltica sobre
Definir el acceso a la red para el
el uso de los
9.1.2 desarrollo de funciones que les fueron x SI
servicios de
asignadas.
red
9.2 Gestin de acceso de usuarios
Todos los usuarios con acceso a
sistema de informacin deben estar
Registro y
debidamente registrados,
cancelacin
9.2.1 adicionalmente se debe dar de baja a x x x SI
del registro de
los que ya no hagan parte de la
usuarios
organizacin o no hagan uso del
sistema.
113
Anexo C. (Continuacin)
Controles
seleccion
ados y Apli
Control/Obje Justificaci razones ca?
tivo de Descripcin n de de
Control exclusin seleccin
B
R
L C R/
R
R O B
A
P
Implementar un procedimiento que
Suministro de permita a los usuarios del sistema
9.2.2 acceso de acceder al sistema o negar el acceso x x SI
usuarios a este cuando se considere
necesario.
Gestin de
Se deben establecer privilegios de
derechos de
9.2.3 acceso a la informacin de acuerdo al x x SI
acceso
desempeo de sus funciones.
privilegiado
Gestin de
informacin
Esta informacin slo debe ser
de
9.2.4 accesada por personal con privilegios x x SI
autenticacin
especiales
secreta de
usuarios
Revisin de Monitoreo de privilegios asignados a
los derechos usuarios con el fin de identificar si los
9.2.5 x x SI
de acceso de privilegios asignados son adecuados
usuarios para el desarrollo de sus funciones.
Retiro o Se debe dar de baja o modificar los
ajuste de los privilegios de acceso a la informacin
9.2.6 x x x SI
derechos de en caso de traslado del usuario o
acceso retiro de la organizacin.
9.3 Responsabilidades de los usuarios
Uso de la
informacin Se deben crear perfiles para el
9.3.1 de acceso a informacin considerada de x x x SI
autenticacin suma importancia para la empresa
secreta
9.4 Control de acceso a sistemas y aplicaciones
Restriccin de
Restringir el acceso a la informacin
9.4.1 acceso x x SI
por parte de personal no autorizado.
Informacin
Procedimient Se deben establecer procedimientos
9.4.2 o de ingreso que restrinjan el acceso a la x x SI
seguro informacin a personal no autorizado
Se deben establece polticas de
gestin de contraseas como
Sistema de
caducidad, bloqueo despus de
9.4.3 gestin de x x SI
determinado nmero de intentos,
contraseas
parmetros para creacin de
contraseas seguras.
114
Anexo C. (Continuacin)
Controles
seleccion
ados y Apli
Control/Obje Justificaci razones ca?
tivo de Descripcin n de de
Control exclusin seleccin
B
R
L C R/
R
R O B
A
P
Restringir el uso de programas
Uso de
utilitarios ya que pueden violentar la
programas
9.4.4 seguridad de las contraseas, pues x x SI
utilitarios
algunos revelan las contraseas,
privilegiados
vulnerando la seguridad.
Control de
acceso a Polticas de acceso al cdigo fuente,
9.4.5 cdigos este slo debe ser accesado por el x x SI
fuente de personal autorizado
programas
10 Criptografa
10.1 Controles criptogrficos
Se deben establecer controles
Poltica sobre
criptogrficos que permitan la
el uso de
10.1.1 confidencialidad, disponibilidad, x x SI
controles
integridad y no repudio de la
criptogrficos
informacin
Se deben establecer controles
criptogrficos que permitan la
Gestin de
10.1.2 confidencialidad, disponibilidad, x x SI
llaves
integridad y no repudio de la
informacin
11 Seguridad fsica y del entorno
11.1 reas seguras
Se debe establecer un permetro de
Permetro de
tal forma que los sitios donde se
11.1.1 seguridad x x NO
encuentren los activos tengan
fsica
accesos restringido
Se debe restringir el acceso a sitios
seguros como centro de cableado,
Controles
ubicacin del servidor, espacios
11.1.2 fsicos de x SI
donde se encuentre informacin
entrada
confidencial, estos sitios deben
permanecer con llave.
Seguridad de Restringir el acceso a personal no
oficinas, autorizado, las reas deben estar
11.1.3 x NO
recintos e demarcadas dando aviso que son
instalaciones sitios restringidos
115
Anexo C. (Continuacin)
Controles
seleccion
ados y Apli
Control/Obje Justificaci razones ca?
tivo de Descripcin n de de
Control exclusin seleccin
B
R
L C R/
R
R O B
A
P
Se debe contar con detectores de
Proteccin
humo y humedad, ubicacin de
contra
extinguidores en sitios estratgicos,
11.1.4 amenazas x x SI
cuartos tcnicos con aire
externas y
acondicionado, adquisicin de plizas
ambientales
contra robo y desastres naturales
Se deben preservar los sitios donde
Trabajo en se encuentren activos valiosos con el
11.1.5 x NO
reas seguras fin de protegerlos contra daos
intencionados
No se
Se deben designar sitios especiales cuenta con
reas de para carga y despacho, lo despacho
11.1.6 despacho y recomendable es que estn aislados o recibo de x NO
carga de los denominados sitios seguros o carga que
restringidos amerite un
espacio
11.2 Equipos
Los equipos deben estar ubicados en
Ubicacin y
sitios seguros, de esta forma se
11.2.1 proteccin de x SI
protegen contra robo, accesos no
los equipos
autorizados.
116
Anexo C. (Continuacin)
Controles
seleccion
ados y Apli
Control/Obje Justificaci razones ca?
tivo de Descripcin n de de
Control exclusin seleccin
B
R
L C R/
R
R O B
A
P
No se
Seguridad de cuenta con
equipos y Aplicar la misma seguridad que se equipos ni
11.2.6 activos fuera realiza a los equipos dentro de la activos No
de las empresa fuera de la
instalaciones organizaci
n
Disposicin
Se debe proteger la informacin
segura o
11.2.7 confidencial de equipos en desuso o x SI
reutilizacin
cuando son dados de baja.
de equipos
Establecer polticas para equipos
Equipos de
cuando los usuarios no estn
11.2.8 usuario x SI
presentes, evitando as el acceso no
desatendidos
autorizado o robo de informacin.
Definir procedimientos para que los
Poltica de
escritorios estn libres de papeles,
escritorio
medios de almacenamiento que
11.2.9 limpio y x SI
puedan permitir filtracin de
pantalla
informacin, adems polticas de
limpia
pantallas limpias.
12 Seguridad de las operaciones
12.1 Procedimientos operacionales y responsabilidades
Procedimient
Los procedimientos deben estar
os de
documentados y puestos al alcance
12.1.1 operacin x SI
de todos, tambin manuales de
documentado
operaciones especficas
s
Establecer polticas donde los
cambios sean realizados por personal
Gestin de
12.1.2 autorizado, adems deben quedar x SI
cambios
soportados para llevar un control para
evitar contratiempos.
Se debe realizar un monitoreo de los
recursos de tal forma que no afecten
Gestin de la operacin, algunos pueden ser
x SI
12.1.3 capacidad capacidad de banda ancha, circuitos
descalibrados que afecten el fluido
elctrico, equipos de cmputo lentos.
117
Anexo C. (Continuacin)
Controles
seleccion
ados y Apli
Control/Obje Justificaci razones ca?
tivo de Descripcin n de de
Control exclusin seleccin
B
R
L C R/
R
R O B
A
P
Separacin
de los Los ambientes de desarrollo prueba y
ambientes de operacin deben estar aislados, con
12.1.4 x SI
desarrollo, restricciones de acceso con el fin de
pruebas y evitar cambios o modificaciones no
operacin autorizadas.
12.2 Proteccin contra cdigos maliciosos
Los equipos de cmputo deben
Controles contar con software contra cdigo
contra malicioso, el cual se debe actualizar
12.2.1 x SI
cdigos constantemente con el fin actualizar
maliciosos parches que mitiguen las nuevas
vulnerabilidades.
12.3 Copias de respaldo
Se debe realizar respaldo de la
informacin, adems se deben
12.3.1 realizar pruebas para comprobar que x SI
Respaldo de estos cumplen con las polticas de
informacin respaldo-
12.4 Registro y seguimiento
Se debe llevar un control de los
eventos con el fin de establecer
Registro de procedimientos que ayuden a
12.4.1 x SI
eventos repararlos o eliminarlos
definitivamente, con el fin de que no
se vuelvan a presentar
Se debe proteger la informacin de
registro de personal no autorizado,
Proteccin de
slo el administrador o encargado
12.4.2 la informacin x SI
ser quien pueda tener acceso a
de registro
estos, se deben realizar copias de
logs.
Todas las tareas que desarrollen el
Registros del
administrador y el operador del
administrador
12.4.3 sistema de informacin deben estar x SI
y del
registradas, adems se debe realizar
operador
un respaldo de estos registros.
Los relojes de los dispositivos que
sincronizacin intervienen en el procesamiento de
12.4.4 NO
de relojes informacin deben estar
sincronizados.
12.5 Control de software operacional
118
Anexo C. (Continuacin)
Controles
seleccion
ados y Apli
Control/Obje Justificaci razones ca?
tivo de Descripcin n de de
Control exclusin seleccin
B
R
L C R/
R
R O B
A
P
La instalacin de software debe estar
Instalacin de
controlada, de tal forma que slo las
software en
12.5.1 personas autorizadas puedan realizar x SI
sistemas
estas tareas, adems deben quedar
operativos
registradas.
12.6 Gestin de la vulnerabilidad tcnica
Gestin de Se deben establecer procedimientos
las que minimicen las vulnerabilidades a
12.6.1 x SI
vulnerabilidad que estn expuestos los activos
es tcnicas tecnolgicos.
La instalacin de software debe estar
Restricciones
controlada, de tal forma que slo las
sobre la
12.6.2 personas autorizadas puedan realizar x SI
instalacin de
estas tareas, adems deben quedar
software
registradas.
12.7 Consideraciones sobre auditorias de sistemas de informacin
Se deben establecer procedimientos
Informacin que permitan el buen uso de las
controles de herramientas de auditora a los
12.7.1 SI
auditora de sistemas, pero siempre procurando
sistemas minimizar la interrupcin del servicio a
causa de estas.
13 Seguridad de las comunicaciones
13.1 Gestin de la seguridad de las redes
Se deben instalar dispositivos o
Controles de software que permita controlar el
13.1.1 x x x SI
redes acceso a la red como Firewall, Ids,
autenticacin para su ingreso
Establecer controles de acceso,
Seguridad de
acuerdos de servicio en su utilizacin,
13.1.2 los servicios x SI
monitoreo constante para detectar
de red
intrusos
Es necesario loa separacin de las
Separacin redes como la intranet de la red con
13.1.3 x x SI
en las redes acceso a internet, para lo cual se
debe implementar un DMZ
13.2 Transferencia de informacin
Polticas y
Se deben establecer todas las
procedimiento
polticas que sean necesarias para
s de
13.2.1 proteger la informacin en el x x x SI
transferencia
momento de ser transferida
de
(intercambio de informacin),
informacin
119
Anexo C. (Continuacin)
Controles
seleccion
ados y Apli
Control/Obje Justificaci razones ca?
tivo de Descripcin n de de
Control exclusin seleccin
B
R
L C R/
R
R O B
A
P
permitiendo integridad y
confidencialidad.
Acuerdos
Se deben establecer controles que
sobre
permitan respetar acuerdos de
13.2.2 transferencia x x x SI
intercambio o transferencia de
de
informacin
informacin
Deben existir controles sobre el uso
adecuado de la mensajera
electrnica, para ello se deben
instalar programas que detecten
antivirus y spam, adems se debe
Mensajera
13.2.3 existir capacitacin sobre situaciones x x SI
electrnica
donde existan correos sospechosos,
tambin polticas del uso adecuado
de los recursos, en este caso uso del
correo electrnico slo para el
desarrollo de las funciones asignadas.
Acuerdos de Se deben cumplir las polticas de
confidencialid confidencialidad de la informacin, las
13.2.4 x x x SI
ad o de no cules fueron aceptadas en el
divulgacin momento de la firma del contrato.
14 Adquisicin, desarrollo y mantenimientos de sistemas
14.1 Requisitos de seguridad de los sistemas de informacin
Anlisis y
Las especificaciones de requisitos se
especificacin
deben tener en cuenta cuando se
de requisitos
14.1.1 vaya a realizar un cambio o x SI
de seguridad
implementar un nuevo sistema de
de la
informacin
informacin
Seguridad de Se debe implementar seguridad en
servicios de los servicios que viajan por redes
las pblicas tales como autenticacin,
14.1.2 x x x SI
aplicaciones manejo de cookies, sesiones, pki, con
en redes el fin de garantizar la confiabilidad de
publicas la informacin
Proteccin de Se debe implementar seguridad en
transacciones los servicios que viajan por redes
de los pblicas tales como autenticacin,
14.1.3 x x x SI
servicios de manejo de cookies, sesiones, pki, con
las el fin de garantizar la confiabilidad de
aplicaciones la informacin
14.2 Seguridad en los procesos de desarrollo y soporte
120
Anexo C. (Continuacin)
Controles
seleccion
ados y Apli
Control/Obje Justificaci razones ca?
tivo de Descripcin n de de
Control exclusin seleccin
B
R
L C R/
R
R O B
A
P
Es importante establecer polticas de Se excluye
cdigo seguro en el desarrollo de este
software, es aqu donde se deben control, ya
Poltica de implementar procedimientos de que la Ca.
14.2.1 desarrollo seguridad como paso de variables por No cuenta x x NO
seguro cabecera, sesiones, entre otros, los con
cules deben blindar el sistema de desarrollo
informacin para evitar de
vulnerabilidades software
Se excluye
este
control, ya
Procedimient Todos los cambios que se realicen a
que la Ca.
os de control los programas se deben documentar
14.2.2 No cuenta x x NO
de cambios y quedar registrados, para lo cual se
con
en sistemas deben establecer procedimientos
desarrollo
de
software
Se excluye
Revisin este
Se deben realizar pruebas a las
tcnica de las control, ya
aplicaciones que han sido
aplicaciones que la Ca.
modificadas, con el fin de evitar
14.2.3 despus de No cuenta x x NO
alteraciones en la prestacin del
cambios en la con
servicio o mal funcionamiento a causa
plataforma de desarrollo
del desarrollo.
operacin de
software
Se excluye
este
Restricciones control, ya
Los cambios o modificaciones que se
en los que la Ca.
le realizan a las aplicaciones deben
14.2.4 cambios a los No cuenta x x NO
estar restringidos con el fin de evitar
paquetes de con
fallas no deseadas.
software desarrollo
de
software
Se excluye
este
control, ya
Principios de
Establecer procedimientos y polticas que la Ca.
construccin
14.2.5 que permitan la construccin de No cuenta x x NO
de sistemas
aplicaciones seguras con
seguros
desarrollo
de
software
121
Anexo C. (Continuacin)
Controles
seleccion
ados y Apli
Control/Obje Justificaci razones ca?
tivo de Descripcin n de de
Control exclusin seleccin
B
R
L C R/
R
R O B
A
P
Se excluye
este
Los ambientes de desarrollo deben control, ya
Ambiente de estar aislados y contar con todas las que la Ca.
14.2.6 desarrollo medidas de seguridad en cuanto a No cuenta x x NO
seguro control de acceso a la informacin y a con
las instalaciones desarrollo
de
software
Cuando se adquieran sistemas
Desarrollo
externos, realizar seguimiento, es
14.2.7 contratado x x SI
necesario validarlos antes de
externamente
ponerlos en funcionamiento
Someter los sistemas a pruebas con
Pruebas de
el fin de identificar vulnerabilidades,
14.2.8 seguridad de x x SI
se podra contemplar pruebas de
sistemas
hacking tico.
Someter los sistemas a pruebas con
Prueba de
el fin de identificar vulnerabilidades,
14.2.9 aceptacin de x x SI
se podra contemplar pruebas de
sistemas
hacking tico.
14.3 Datos de prueba
Hay que tener cuidado con los datos
Proteccin de que se van a ingresar para realizarle
14.3.1 datos de pruebas a la aplicacin, esto con el fin x x SI
prueba de evitar alguna fuga de informacin
importante.
15 Relacin con los proveedores
15.1 Seguridad de la informacin en las relaciones con los proveedores
Igual que con los usuarios de la
Poltica de
organizacin, con los proveedores se
seguridad de
deben establecer acuerdos de
la informacin
confidencialidad, control de acceso a l
15.1.1 para las x SI
informacin, seguridad fsica,
relaciones
intercambio de informacin entre
con
otros para no ver afectada la
proveedores
seguridad de la informacin.
Tratamiento
de la
seguridad
15.1.2 Definir acuerdos de confidencialidad x SI
dentro de los
acuerdos con
proveedores
122
Anexo C. (Continuacin)
Controles
seleccion
ados y Apli
Control/Obje Justificaci razones ca?
tivo de Descripcin n de de
Control exclusin seleccin
B
R
L C R/
R
R O B
A
P
Cadena de
Se deben establecer acuerdos que
suministro de
permitan mitigar los riesgos de la
15.1.3 tecnologa de x SI
seguridad de la informacin derivados
informacin y
de la cadena se suministro.
comunicacin
15.2 Gestin de la prestacin de servicios con los proveedores
15.2.1 Seguimiento y revisin de los servicios de los proveedores
Gestin de
Se debe contar con otras alternativas
cambios en
de proveedores que permitan la
15.2.2 los servicios x SI
continuidad del servicio en caso de
de
cambio de proveedor
proveedores
16 Gestin de incidentes de seguridad de la informacin
16.1 Gestin de incidentes y mejoras en la seguridad de la informacin
Responsabilid Definir procedimientos que permitan
ad y una reaccin rpida ante problemas
16.1.1 x SI
procedimiento generados por causa d ella seguridad
s de la informacin.
Se debe informar sobre eventos
Reporte de
generados a causa de seguridad de la
eventos de
16.1.2 informacin con el fin de documentar x SI
seguridad de
la solucin, es necesario llevar un
la informacin
registro de estos.
Reporte de
Informar oportunamente sobre
debilidades
eventos generados, con el fin de
16.1.3 de seguridad x SI
identificar recurrencias y debilidades
de la
en seguridad de la informacin.
informacin
Evaluacin de
eventos de Cada vez que se presente un evento
seguridad de se seguridad de la informacin es
16.1.4 x SI
la informacin importante evaluar si ser
y decisiones considerado como un incidente o no.
sobre ellos
Respuesta a
Se debe establecer un proceso que
incidentes de
16.1.5 permita establecer los pasos a seguir x SI
seguridad de
para atender el incidente.
la informacin
123
Anexo C. (Continuacin)
Controles
seleccion
ados y Apli
Control/Obje Justificaci razones ca?
tivo de Descripcin n de de
Control exclusin seleccin
B
R
L C R/
R
R O B
A
P
Aprendizaje
La experiencia que se ha adquirido en
obtenido de
resolver los incidentes, es pieza
los incidentes
16.1.6 fundamental para reducir el impacto x SI
de seguridad
que pueda causar este incidente a la
de la
seguridad de la informacin
informacin
Definir un procedimiento para
Recoleccin
16.1.7 documentar los incidentes de tal x SI
de evidencia
forma que exista una evidencia.
17 Aspectos de seguridad de la informacin de la gestin de continuidad de negocio
17.1 Continuidad de seguridad de la informacin
Planificacin
de la
Definir polticas que permita la gestin
continuidad
17.1.1 de la continuidad del negocio, aunque x SI
de la
la organizacin presente una crisis
seguridad de
la informacin
Implementaci
Implementar procedimientos que
n de la
permitan la continuidad del negocio
continuidad
17.1.2 ante situaciones imprevistas que x SI
de la
podran causar retrasos en la
seguridad de
operacin.
la informacin
Verificacin,
revisin y Realizar revisiones a los
evaluacin de procedimientos implementados para
17.1.3 la continuidad la gestin de la continuidad del x SI
de la servicio para determinar si son
seguridad de efectivos o no.
la informacin
17.2 Redundancias
Disponibilidad
de Es necesario establecer redundancias
instalaciones en las instalaciones donde se procesa
17.2.1 de la informacin con el fin de que no se x SI
procesamient vea afectada la disponibilidad de la
o de informacin.
informacin.
18 Cumplimiento
18.1 Cumplimiento de requisitos legales y contractuales
124
Anexo C. (Continuacin)
Controles
seleccion
ados y Apli
Control/Obje Justificaci razones ca?
tivo de Descripcin n de de
Control exclusin seleccin
B
R
L C R/
R
R O B
A
P
Identificacin
de la
Definir el marco legal con el cual se
legislacin
18.1.1 debe regir la seguridad de la x x SI
aplicable y de
informacin.
los requisitos
contractuales
Derechos de Cumplir a cabalidad las polticas de
18.1.2 propiedad derechos de propiedad intelectual, x x SI
intelectual software patentado.
Procedimiento que permita la custodia
18.1.3 Proteccin de de los registros ante situaciones de x x SI
registros robo, modificacin, divulgacin.
Privacidad y
proteccin de Cumplir con las polticas de la
18.1.4 x x SI
datos proteccin de datos personales
personales
Reglamentaci
n de Cumplir con las normas relacionadas
18.1.5 x x SI
controles con controles criptogrficos
criptogrficos
18.2 Revisiones de seguridad de la informacin
Revisin Se debe revisar peridicamente el
independiente SGSI, estas revisiones deben ser
18.2.1 de la adicionales a las establecidas en las x SI
seguridad de polticas de seguridad de la
la informacin informacin.
Cumplimiento La direccin debe revisar los
con las cumplimientos de las polticas de
18.2.2 polticas y seguridad de la informacin x SI
normas de establecidas de acuerdo a su rea de
seguridad responsabilidad.
Revisin del Se deben revisar que todo el personal
18.2.3 cumplimiento conoce y cumple con las polticas de x SI
tcnico seguridad de la informacin
Fuente: El autor.
125
Anexo D. Cuantificacin de Activos y dimensiones.
Frecuen Impacto- Dimensin Afectada
Activo Amenaza
cia A C I D T
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Personal
Indisponibilidad del personal 0,0054 80%
Directivo
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Administradora Indisponibilidad del personal 0,0054 80%
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Jefes
Indisponibilidad del personal 0,0054 80%
enfermera
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Personal barra
Indisponibilidad del personal 0,0054 80%
de servicios
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Auxiliares
Indisponibilidad del personal 0,0054 80%
enfermera
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Auxiliares
Indisponibilidad del personal 0,0054 80%
laboratorio
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Mdicos
Indisponibilidad del personal 0,0054 80%
Generales
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Mdicos
Indisponibilidad del personal 0,0054 80%
especialistas
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Servicios Fugas de informacin 0,0054 80%
generales Indisponibilidad del personal 0,0054 80%
Extorsin 0,0027 70% 70% 70%
126
Anexo D. (Continuacin)
Activo Frecuen Impacto- Dimensin Afectada
Amenaza
cia A C I D T
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Contadora Indisponibilidad del personal 0,0054 80%
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Asistente
Indisponibilidad del personal 0,0054 80%
contable
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Revisor fiscal Indisponibilidad del personal 0,0054 80%
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Secretaria
Indisponibilidad del personal 0,0054 80%
gerencia
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Secretaria Fugas de informacin 0,0054 80%
asignacin Indisponibilidad del personal 0,0054 80%
citas Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Ingeniero
Indisponibilidad del personal 0,0054 80%
sistemas
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Bacterilogas Indisponibilidad del personal 0,0054 80%
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Mensajero Indisponibilidad del personal 0,0054 80%
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Auditores
Indisponibilidad del personal 0,0054 80%
mdicos
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Electro mdico Deficiencias en la organizacin 0,0054 50%
127
Anexo D. (Continuacin)
Activo Frecuen Impacto- Dimensin Afectada
Amenaza
cia A C I D T
Fugas de informacin 0,0054 80%
Indisponibilidad del personal 0,0054 80%
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Electricista Indisponibilidad del personal 0,0054 80%
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Mantenimiento Indisponibilidad del personal 0,0054 80%
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Fuego 0,0027 90%
Daos por agua 0,0027 80%
Otros desastres Naturales 0,0027 80%
Fuego 0,0027 90%
Daos por agua 0,0027 80%
Contaminacion Mecanica 0,0027 80%
Contaminacin electromagntica 0,0027 50%
Avera de origen fsico o lgico 0,0027 60%
Corte del suministro elctrico 0,0027 60%
Condiciones inadecuadas de
temperatura o humedad 0,0027 60%
Errores del administrador 0,0027 60% 60% 60%
Porttiles
Errores de mantenimiento /
actualizacin de equipos (hardware) 0,0164 60%
Modificacin deliberada de la
informacin 0,0027 70%
Abuso de privilegios de acceso 0,0054 80% 60% 70%
Robo 0,0027 90% 90%
Ataque destructivo 0,0027 80%
Uso no previsto 0,0164 70% 70% 70%
Emanaciones electromagnticas 0,0027 50%
Cada del sistema por agotamiento de
recursos 0,0164 80%
Prdida de equipos 0,0027 80% 80%
Acceso no autorizado 0,0027 70% 60%
Manipulacin de los equipos 0,0054 60% 60%
Denegacin de servicio 0,0027 70%
Fuego 0,0027 90%
Equipos de
128
Anexo D. (Continuacin)
Activo Frecuen Impacto- Dimensin Afectada
Amenaza
cia A C I D T
Contaminacin electromagntica 0,0027 50%
Avera de origen fsico o lgico 0,0027 60%
Corte del suministro elctrico 0,0027 60%
Condiciones inadecuadas de
temperatura o humedad 0,0027 60%
Errores del administrador 0,0027 60% 60% 60%
Errores de mantenimiento /
actualizacin de equipos (hardware) 0,0164 60%
Modificacin deliberada de la
informacin 0,0027 70%
Abuso de privilegios de acceso 0,0054 80% 60% 70%
Robo 0,0027 90% 90%
Ataque destructivo 0,0027 80%
Uso no previsto 0,0164 70% 70% 70%
Emanaciones electromagnticas 0,0027 50%
Cada del sistema por agotamiento de
recursos 0,0164 80%
Prdida de equipos 0,0027 80% 80%
Acceso no autorizado 0,0027 70% 60%
Manipulacin de los equipos 0,0054 60% 60%
Denegacin de servicio 0,0027 70%
Fuego 0,0027 90%
Daos por agua 0,0027 80%
Otros desastres Naturales 0,0027 80%
Fuego 0,0027 90%
Daos por agua 0,0027 80%
Contaminacion Mecanica 0,0027 80%
Contaminacin electromagntica 0,0027 50%
Avera de origen fsico o lgico 0,0027 60%
Corte del suministro elctrico 0,0027 60%
Condiciones inadecuadas de
temperatura o humedad 0,0027 60%
Errores del administrador 0,0027 60% 60% 60%
Impresoras
Errores de mantenimiento /
actualizacin de equipos (hardware) 0,0164 60%
Modificacin deliberada de la
informacin 0,0027 70%
Abuso de privilegios de acceso 0,0054 80% 60% 70%
Robo 0,0027 90% 90%
Ataque destructivo 0,0027 80%
Uso no previsto 0,0164 70% 70% 70%
Emanaciones electromagnticas 0,0027 50%
Cada del sistema por agotamiento de
recursos 0,0164 80%
Prdida de equipos 0,0027 80% 80%
Acceso no autorizado 0,0027 70% 60%
Manipulacin de los equipos 0,0054 60% 60%
Denegacin de servicio 0,0027 70%
129
Anexo D. (Continuacin)
Activo Frecuen Impacto- Dimensin Afectada
Amenaza
cia A C I D T
Fuego 0,0027 90%
Daos por agua 0,0027 80%
Otros desastres Naturales 0,0027 80%
Fuego 0,0027 90%
Daos por agua 0,0027 80%
Contaminacion Mecanica 0,0027 80%
Contaminacin electromagntica 0,0027 50%
Avera de origen fsico o lgico 0,0027 60%
Corte del suministro elctrico 0,0027 60%
Condiciones inadecuadas de
Servidor Aplicaciones
132
Anexo D. (Continuacin)
Activo Frecuen Impacto- Dimensin Afectada
Amenaza
cia A C I D T
Alteracin accidental de la informacin 0,0055 70%
Destruccin de informacin 0,0027 80%
Fugas de informacin 0,0055 80%
Suplantacin de la identidad del
usuario 0,0027 80% 80% 60%
Abuso de privilegios de acceso 0,0055 80% 60% 70%
Uso no previsto 0,0027 60% 60% 60%
[Re-]encaminamiento de mensajes 0,0027 70%
Alteracin de secuencia 0,0027 60%
Acceso no autorizado 0,0027 70% 60%
Repudio 0,0027 60% 70%
Modificacin deliberada de la
informacin 0,0027 70%
Destruccin de informacin 0,0027 80%
Divulgacin de informacin 0,0027 70%
Denegacin de servicio 0,0027 70%
Errores de los usuarios 0,0164 70% 60% 70%
Errores del administrador 0,0027 60% 60% 60%
Errores de [re-]encaminamiento 0,0027 60%
Errores de secuencia 0,0055 60%
Alteracin accidental de la informacin 0,0055 70%
Destruccin de informacin 0,0027 80%
Conectividad a internet
2010
er
133
Anexo D. (Continuacin)
Activo Frecuen Impacto- Dimensin Afectada
Amenaza
cia A C I D T
Errores de [re-]encaminamiento 0,0027 60%
Errores de secuencia 0,0054 60%
Alteracin accidental de la informacin 0,0054 80%
Destruccin de informacin 0,0027 80%
Cada del sistema por agotamiento de
recursos 0,0164 80%
Suplantacin de la identidad del
usuario 0,0027 80% 80% 60%
Abuso de privilegios de acceso 0,0054 80% 60% 70%
Uso no previsto 0,0027 70% 70% 70%
[Re-]encaminamiento de mensajes 0,0027 70%
Alteracin de secuencia 0,0027 60%
Acceso no autorizado 0,0027 70% 60%
Anlisis de trfico 0,0054 60%
Interceptacin de informacin
(escucha) 0,0027 60%
Modificacin deliberada de la
informacin 0,0027 70%
Destruccin de informacin 0,0027 80%
Divulgacin de informacin 0,0027 70%
Denegacin de servicio 0,0027 80%
Fallo de servicios de comunicaciones 0,0164 70%
Errores del administrador 0,0027 60% 60% 60%
Errores de [re-]encaminamiento 0,0027 60%
Errores de secuencia 0,0054 60%
Alteracin accidental de la informacin 0,0054 80%
Destruccin de informacin 0,0027 80%
Cada del sistema por agotamiento de
recursos 0,0164 80%
Suplantacin de la identidad del
usuario 0,0027 80% 80% 60%
Abuso de privilegios de acceso 0,0054 80% 60% 70%
CgUno
137
Anexo D. (Continuacin)
Activo Frecuen Impacto- Dimensin Afectada
Amenaza
cia A C I D T
Modificacin deliberada de la
informacin 0,0027 70%
Destruccin de informacin 0,0027 80%
Divulgacin de informacin 0,0027 70%
Robo 0,0054 80% 80%
Interrupcin de otros servicios y
suministros esenciales 0,0027 60%
Degradacin de los soportes de
almacenamiento de la informacin 0,0027 60%
Errores de los usuarios 0,0164 70% 70% 70%
Errores del administrador 0,0027 60% 60% 60%
Errores de monitorizacin (log) 0,0027 50% 60%
Errores de configuracin 0,0164 70%
Escapes de informacin 0,0054 80%
Alteracin accidental de la informacin 0,0054 70%
Destruccin de informacin 0,0027 80%
contabilidad
Fuente: El autor.
139
Anexo E. Impacto Potencial
Valor Impacto- Dimensin Sal
en Afectada Frecuencia * va
Activ Frecue
Millon Amenaza Impacto * gu
o ncia
es de A C I D T Valor ard
$ ar
Personal Directivo Administradora
Deficiencias en la
0,0054 50% $ 675.000 SI
organizacin
Fugas de informacin 0,0054 80% $ 1.080.000 SI
$ 250 Indisponibilidad del
0,0054 80% $ 1.080.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 472.500 SI
Ingeniera social 0,0054 80% 60% 60% $ 1.080.000 SI
Deficiencias en la
0,0054 50% $ 405.000 SI
organizacin
Fugas de informacin 0,0054 80% $ 648.000 SI
$ 150 Indisponibilidad del
0,0054 80% $ 648.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 283.500 SI
Ingeniera social 0,0054 80% 60% 60% $ 648.000 SI
Deficiencias en la
Jefes enfermera
Deficiencias en la
0,0054 50% $ 135.000 NO
organizacin
servicios
organizacin
Auxiliares
140
Anexo E. (Continuacin)
organizacin
Fugas de informacin 0,0054 80% $ 216.000 SI
$ 50 Indisponibilidad del
0,0054 80% $ 216.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 94.500 NO
Ingeniera social 0,0054 80% 60% 60% $ 216.000 SI
Deficiencias en la
0,0054 50% $ 135.000 NO
especialistas
organizacin
Mdicos
Deficiencias en la
0,0054 50% $ 135.000 NO
organizacin
Fugas de informacin 0,0054 80% $ 216.000 SI
$ 50 Indisponibilidad del
0,0054 80% $ 216.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 94.500 NO
Ingeniera social 0,0054 80% 60% 60% $ 216.000 SI
Deficiencias en la
0,0054 50% $ 270.000 SI
Revisor fiscal
organizacin
Fugas de informacin 0,0054 80% $ 432.000 SI
$ 100 Indisponibilidad del
0,0054 80% $ 432.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 189.000 NO
Ingeniera social 0,0054 80% 60% 60% $ 432.000 SI
Deficiencias en la
Secretaria
organizacin
$ 50 Fugas de informacin 0,0054 80% $ 216.000 SI
Indisponibilidad del
0,0054 80% $ 216.000 SI
personal
141
Anexo E. (Continuacin)
Deficiencias en la
0,0054 50% $ 27.000 NO
asignacin citas
organizacin
Secretaria
organizacin
Fugas de informacin 0,0054 80% $ 432.000 SI
$ 100 Indisponibilidad del
0,0054 80% $ 432.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 189.000 NO
Ingeniera social 0,0054 80% 60% 60% $ 432.000 SI
Deficiencias en la
0,0054 50% $ 8.100 NO
organizacin
Mensajero
Deficiencias en la
0,0054 50% $ 270.000 SI
organizacin
Fugas de informacin 0,0054 80% $ 432.000 SI
$ 100 Indisponibilidad del
0,0054 80% $ 432.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 189.000 NO
Ingeniera social 0,0054 80% 60% 60% $ 432.000 SI
Deficiencias en la
0,0054 50% $ 270.000 SI
organizacin
Fugas de informacin 0,0054 80% $ 432.000 SI
$ 100 Indisponibilidad del
0,0054 80% $ 432.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 189.000 NO
Ingeniera social 0,0054 80% 60% 60% $ 432.000 SI
142
Anexo E. (Continuacin)
organizacin
Fugas de informacin 0,0054 80% $ 43.200 NO
$ 10 Indisponibilidad del
0,0054 80% $ 43.200 NO
personal
Extorsin 0,0027 70% 70% 70% $ 18.900 NO
Ingeniera social 0,0054 80% 60% 60% $ 43.200 NO
Fuego 0,0027 90% $ 121.500 NO
Daos por agua 0,0027 80% $ 108.000 NO
Otros desastres
0,0027 80% $ 108.000 NO
Naturales
Fuego 0,0027 90% $ 121.500 NO
Daos por agua 0,0027 80% $ 108.000 NO
Contaminacin
0,0027 80% $ 108.000 NO
Mecnica
Contaminacin
0,0027 50% $ 67.500 NO
electromagntica
Avera de origen fsico
0,0027 60% $ 81.000 NO
o lgico
Corte del suministro
0,0027 60% $ 81.000 NO
elctrico
Porttiles
Condiciones
inadecuadas de
$ 50 0,0027 60% $ 81.000 NO
temperatura o
humedad
Errores del
0,0027 60% 60% 60% $ 81.000 NO
administrador
Errores de
mantenimiento /
0,0164 60% $ 492.000 SI
actualizacin de
equipos (hardware)
Modificacin
deliberada de la 0,0027 70% $ 94.500 NO
informacin
Abuso de privilegios
0,0054 80% 60% 70% $ 216.000 SI
de acceso
Robo 0,0027 90% 90% $ 121.500 NO
Ataque destructivo 0,0027 80% $ 108.000 NO
Uso no previsto 0,0164 70% 70% 70% $ 574.000 SI
143
Anexo E. (Continuacin)
elctrico
Condiciones
inadecuadas de
0,0027 60% $ 145.800 NO
temperatura o
$ 90
humedad
Errores del
0,0027 60% 60% 60% $ 145.800 NO
administrador
Errores de
mantenimiento /
0,0164 60% $ 885.600 SI
actualizacin de
equipos (hardware)
Modificacin
deliberada de la 0,0027 70% $ 170.100 NO
informacin
Abuso de privilegios
0,0054 80% 60% 70% $ 388.800 SI
de acceso
Robo 0,0027 90% 90% $ 218.700 SI
Ataque destructivo 0,0027 80% $ 194.400 NO
Uso no previsto 0,0164 70% 70% 70% $ 1.033.200 SI
Emanaciones
0,0027 50% $ 121.500 NO
electromagnticas
144
Anexo E. (Continuacin)
temperatura o
humedad
$ 40
Errores del
0,0027 60% 60% 60% $ 64.800 NO
administrador
Errores de
mantenimiento /
0,0164 60% $ 393.600 SI
actualizacin de
equipos (hardware)
Modificacin
deliberada de la 0,0027 70% $ 75.600 NO
informacin
Abuso de privilegios
0,0054 80% 60% 70% $ 172.800 NO
de acceso
Robo 0,0027 90% 90% $ 97.200 NO
Ataque destructivo 0,0027 80% $ 86.400 NO
Uso no previsto 0,0164 70% 70% 70% $ 459.200 SI
Emanaciones
electromagnticas
0,0027 50% $ 54.000 NO
Errores y fallos no
intencionados
145
Anexo E. (Continuacin)
Condiciones
inadecuadas de
0,0027 60% $ 324.000 SI
temperatura o
humedad
$ 200
Errores del
0,0027 60% 60% 60% $ 324.000 SI
administrador
Errores de
mantenimiento /
0,0164 60% $ 1.968.000 SI
actualizacin de
equipos (hardware)
Modificacin
deliberada de la 0,0027 70% $ 378.000 SI
informacin
Abuso de privilegios
0,0054 80% 60% 70% $ 864.000 SI
de acceso
Robo 0,0027 90% 90% $ 486.000 SI
Ataque destructivo 0,0027 80% $ 432.000 SI
Uso no previsto 0,0027 60% 60% 60% $ 324.000 SI
Emanaciones
electromagnticas
0,0027 50% $ 270.000 No
Errores y fallos no
intencionados
146
Anexo E. (Continuacin)
Abuso de privilegios
0,0055 80% 60% 70% $ 350.656 SI
de acceso
$ 80 Uso no previsto 0,0027 60% 60% 60% $ 129.600 NO
[Re-]encaminamiento
0,0027 70% $ 153.384 NO
de mensajes
Alteracin de
0,0027 60% $ 131.472 NO
secuencia
Acceso no autorizado 0,0027 70% 60% $ 153.384 NO
Anlisis de trfico 0,0055 60% $ 262.992 SI
Interceptacin de
0,0027 60% $ 131.472 NO
informacin (escucha)
Modificacin
deliberada de la 0,0027 70% $ 153.384 NO
informacin
Destruccin de
0,0027 80% $ 175.296 NO
informacin
Divulgacin de
0,0027 70% $ 153.384 NO
informacin
Denegacin de
0,0027 70% $ 153.384 NO
servicio
147
Anexo E. (Continuacin)
Errores de [re-
0,0027 60% $ 131.472 NO
$ 80 ]encaminamiento
Errores de secuencia 0,0055 60% $ 262.992 SI
Alteracin accidental
0,0055 70% $ 306.824 SI
de la informacin
Destruccin de
0,0027 80% $ 175.296 NO
informacin
148
Anexo E. (Continuacin)
Destruccin de
0,0027 80% $ 175.296 NO
$ 80 informacin
Cada del sistema por
agotamiento de 0,0055 80% $ 350.656 SI
recursos
Suplantacin de la
0,0027 80% 80% 60% $ 175.296 NO
identidad del usuario
Abuso de privilegios
0,0055 80% 60% 70% $ 350.656 SI
de acceso
Uso no previsto 0,0027 60% 60% 60% $ 129.600 NO
[Re-]encaminamiento
0,0027 70% $ 153.384 NO
de mensajes
149
Anexo E. (Continuacin)
150
Anexo E. (Continuacin)
Suplantacin de la
0,0027 80% 80% 60% $ 438.240 SI
identidad del usuario
Abuso de privilegios
0,0055 80% 60% 70% $ 876.640 SI
de acceso
$ 200 Uso no previsto 0,0027 60% 60% 60% $ 324.000 SI
[Re-]encaminamiento
0,0027 70% $ 383.460 SI
de mensajes
Alteracin de
0,0027 60% $ 328.680 NO
secuencia
Acceso no autorizado 0,0027 70% 60% $ 383.460 SI
Repudio 0,0027 60% 70% $ 383.460 SI
Modificacin
deliberada de la 0,0027 70% $ 383.460 SI
informacin
Destruccin de
0,0027 80% $ 438.240 SI
informacin
Divulgacin de
0,0027 70% $ 383.460 SI
informacin
Denegacin de
0,0027 70% $ 383.460 SI
servicio
Errores de los usuarios 0,0164 70% 60% 70% $ 1.035.594 SI
Errores del
0,0027 60% 60% 60% $ 147.906 NO
administrador
Errores de [re-
Conectividad a internet
Suplantacin de la
$ 50 0,0027 80% 80% 60% $ 108.000 NO
identidad del usuario
Abuso de privilegios
0,0054 80% 60% 70% $ 216.000 SI
de acceso
Uso no previsto 0,0027 70% 70% 70% $ 94.500 NO
[Re-]encaminamiento
0,0027 70% $ 94.500 NO
de mensajes
Alteracin de
0,0027 60% $ 81.000 NO
secuencia
Acceso no autorizado 0,0027 70% 60% $ 94.500 NO
Anlisis de trfico 0,0054 60% $ 162.000 NO
Interceptacin de
0,0027 60% $ 81.000 NO
informacin (escucha)
Modificacin
deliberada de la 0,0027 70% $ 94.500 NO
informacin
153
Anexo E. (Continuacin)
Fallo de servicios de
0,0164 70% $ 114.800 NO
comunicaciones
$ 10
Errores del
0,0027 60% 60% 60% $ 16.200 NO
administrador
154
Anexo E. (Continuacin)
esenciales
Degradacin de los
soportes de
0,0027 60% $ 16.200 NO
almacenamiento de la
informacin
$ 10
Errores de los usuarios 0,0164 70% 70% 70% $ 114.800 NO
Errores del
0,0027 60% 60% 60% $ 16.200 NO
administrador
Errores de
0,0027 50% 60% $ 16.200 NO
monitorizacin (log)
Errores de
0,0164 70% $ 114.800 NO
configuracin
155
Anexo E. (Continuacin)
informacin
Errores de los usuarios 0,0164 70% 70% 70% $ 114.800 NO
Errores del
0,0027 60% 60% 60% $ 16.200 NO
administrador
$ 10
Errores de
0,0027 50% 60% $ 16.200 NO
monitorizacin (log)
Errores de
0,0164 70% $ 114.800 NO
configuracin
Escapes de
0,0054 80% $ 43.200 NO
informacin
Alteracin accidental
0,0054 70% $ 37.800 NO
de la informacin
Destruccin de
0,0027 80% $ 21.600 NO
informacin
156
Anexo E. (Continuacin)
administrador
Errores de
0,0027 50% 60% $ 145.800 NO
monitorizacin (log)
$ 90
Errores de
0,0164 70% $ 1.033.200 SI
configuracin
Escapes de
0,0054 80% $ 388.800 SI
informacin
Alteracin accidental
0,0054 70% $ 340.200 SI
de la informacin
Destruccin de
0,0027 80% $ 194.400 NO
informacin
Fugas de informacin 0,0054 80% $ 388.800 SI
Manipulacin de los
registros de actividad 0,0028 70% 70% $ 175.770 NO
(log)
157
Anexo E. (Continuacin)
Errores de
0,0164 70% $ 1.033.200 SI
configuracin
Escapes de
$ 90 0,0054 80% $ 388.800 SI
informacin
Alteracin accidental
0,0054 70% $ 340.200 SI
de la informacin
Destruccin de
0,0027 80% $ 194.400 NO
informacin
Fugas de informacin 0,0054 80% $ 388.800 SI
Manipulacin de los
registros de actividad 0,0028 70% 70% $ 175.770 NO
(log)
Manipulacin de la
0,0054 60% 60% 60% $ 291.600 SI
configuracin
Suplantacin de la
0,0027 80% 80% 60% $ 194.400 NO
identidad del usuario
Abuso de privilegios
0,0054 80% 60% 70% $ 388.800 SI
de acceso
158
Anexo E. (Continuacin)
Alteracin accidental
0,0054 70% $ 756.000 SI
de la informacin
$ 200
Destruccin de
0,0027 80% $ 432.000 SI
informacin
Fugas de informacin 0,0054 80% $ 864.000 SI
Manipulacin de los
registros de actividad 0,0028 70% 70% $ 390.600 No
(log)
Manipulacin de la
0,0054 60% 60% 60% $ 648.000 SI
configuracin
Suplantacin de la
0,0027 80% 80% 60% $ 432.000 SI
identidad del usuario
Abuso de privilegios
0,0054 80% 60% 70% $ 864.000 SI
de acceso
Uso no previsto 0,0027 60% 60% 60% $ 324.000 SI
Acceso no autorizado 0,0027 70% 60% $ 378.000 SI
Repudio 0,0164 60% 70% $ 2.296.000 SI
Modificacin
deliberada de la 0,0027 70% $ 378.000 SI
informacin
159
Anexo E. (Continuacin)
Valor
en Reduccin Nueva
Activo Amenaza Descripcin Salvaguarda
Millones del Riesgo cuantificacin
de $
161
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Capacitacin sobre buenas prcticas de
seguridad informtica, lectura de correos
Ingeniera
sospechosos, no dejar secciones de 60% $ 432.000
social
trabajo abiertas, digitacin de claves en
presencia de otras personas
Deficiencia Definir responsabilidades sobre ciertas
s en la acciones o eventos, establecer jerarquas
60% $ 162.000
organizaci para reportar incidentes o acciones a
n tomar a quien corresponda
Prohibicin de uso de redes sociales,
polticas de escritorio limpio, medios
Administradora
162
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Capacitacin sobre buenas prcticas de
seguridad informtica, lectura de correos
Ingeniera
sospechosos, no dejar secciones de 60% $ 155.520
social
trabajo abiertas, digitacin de claves en
presencia de otras personas
Deficiencia
s en la
NO APLICA 0% $ 135.000
organizaci
n
Prohibicin de uso de redes sociales,
polticas de escritorio limpio, medios
Personal barra de servicios
163
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Deficiencia
s en la
NO APLICA 0% $ 135.000
organizaci
n
Prohibicin de uso de redes sociales,
polticas de escritorio limpio, medios
Fugas de extrables almacenados correctamente,
Auxiliares laboratorio
Deficiencia
Mdicos
s en la
tas
$ 50 NO APLICA 0% $ 135.000
organizaci
n
164
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Prohibicin de uso de redes sociales,
polticas de escritorio limpio, medios
Fugas de extrables almacenados correctamente,
informaci destruccin de papel reciclado con 60% $ 86.400
n informacin confidencial, seguridad en
oficinas, cuarto tcnico, requisa de
paquetes en la entrada del edificio.
Capacitacin de personal para asumir
Indisponibi
otras responsabilidades cuando alguien
lidad del 50% $ 108.000
no se encuentre en su puesto de trabajo
personal
por diferentes razones
Extorsin NO APLICA 0% $ 94.500
Capacitacin sobre buenas prcticas de
seguridad informtica, lectura de correos
Ingeniera
sospechosos, no dejar secciones de 60% $ 86.400
social
trabajo abiertas, digitacin de claves en
presencia de otras personas
Deficiencia
s en la
NO APLICA 0% $ 135.000
organizaci
n
Prohibicin de uso de redes sociales,
polticas de escritorio limpio, medios
Fugas de extrables almacenados correctamente,
informaci destruccin de papel reciclado con 60% $ 86.400
Servicios generales
165
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Prohibicin de uso de redes sociales,
polticas de escritorio limpio, medios
Fugas de extrables almacenados correctamente,
informaci destruccin de papel reciclado con 60% $ 172.800
n informacin confidencial, seguridad en
oficinas, cuarto tcnico, requisa de
paquetes en la entrada del edificio.
Capacitacin de personal para asumir
Indisponibi
otras responsabilidades cuando alguien
lidad del 50% $ 216.000
no se encuentre en su puesto de trabajo
personal
por diferentes razones
Extorsin NO APLICA 0% $ 189.000
Capacitacin sobre buenas prcticas de
seguridad informtica, lectura de correos
Ingeniera
sospechosos, no dejar secciones de 60% $ 172.800
social
trabajo abiertas, digitacin de claves en
presencia de otras personas
Deficiencia
s en la
NO APLICA 0% $ 135.000
organizaci
n
Prohibicin de uso de redes sociales,
polticas de escritorio limpio, medios
Fugas de extrables almacenados correctamente,
informaci destruccin de papel reciclado con 60% $ 86.400
Asistente contable
166
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Prohibicin de uso de redes sociales,
polticas de escritorio limpio, medios
Fugas de extrables almacenados correctamente,
informaci destruccin de papel reciclado con 60% $ 172.800
n informacin confidencial, seguridad en
oficinas, cuarto tcnico, requisa de
paquetes en la entrada del edificio.
Capacitacin de personal para asumir
Indisponibi
otras responsabilidades cuando alguien
lidad del 50% $ 216.000
no se encuentre en su puesto de trabajo
personal
por diferentes razones
Extorsin NO APLICA 0% $ 189.000
Capacitacin sobre buenas prcticas de
seguridad informtica, lectura de correos
Ingeniera
sospechosos, no dejar secciones de 60% $ 172.800
social
trabajo abiertas, digitacin de claves en
presencia de otras personas
Deficiencia
s en la
NO APLICA 0% $ 135.000
organizaci
n
Prohibicin de uso de redes sociales,
polticas de escritorio limpio, medios
Fugas de extrables almacenados correctamente,
informaci destruccin de papel reciclado con 60% $ 86.400
Secretaria gerencia
s en la
Secretaria
NO APLICA 0% $ 27.000
organizaci
$ 10 n
Fugas de
informaci NO APLICA 0% $ 43.200
n
167
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Indisponibi
lidad del NO APLICA 0% $ 43.200
personal
Extorsin NO APLICA 0% $ 18.900
Ingeniera
NO APLICA 0% $ 43.200
social
Deficiencia Definir responsabilidades sobre ciertas
s en la acciones o eventos, establecer jerarquas
60% $ 108.000
organizaci para reportar incidentes o acciones a
n tomar a quien corresponda
Prohibicin de uso de redes sociales,
polticas de escritorio limpio, medios
Fugas de extrables almacenados correctamente,
informaci destruccin de papel reciclado con 60% $ 172.800
Ingeniero sistemas
168
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Capacitacin sobre buenas prcticas de
seguridad informtica, lectura de correos
Ingeniera
sospechosos, no dejar secciones de 60% $ 172.800
social
trabajo abiertas, digitacin de claves en
presencia de otras personas
Deficiencia
s en la
NO APLICA 0% $ 8.100
organizaci
n
Fugas de
Mensajero
169
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Prohibicin de uso de redes sociales,
polticas de escritorio limpio, medios
Fugas de extrables almacenados correctamente,
informaci destruccin de papel reciclado con 60% $ 172.800
n informacin confidencial, seguridad en
oficinas, cuarto tcnico, requisa de
paquetes en la entrada del edificio.
Capacitacin de personal para asumir
Indisponibi
otras responsabilidades cuando alguien
lidad del 50% $ 216.000
no se encuentre en su puesto de trabajo
personal
por diferentes razones
Extorsin NO APLICA 0% $ 189.000
Capacitacin sobre buenas prcticas de
seguridad informtica, lectura de correos
Ingeniera
sospechosos, no dejar secciones de 60% $ 172.800
social
trabajo abiertas, digitacin de claves en
presencia de otras personas
Deficiencia
s en la
NO APLICA 0% $ 27.000
organizaci
n
Fugas de
Electricista
Fugas de
informaci NO APLICA 0% $ 43.200
$ 10 n
Indisponibi
lidad del NO APLICA 0% $ 43.200
personal
Extorsin NO APLICA 0% $ 18.900
Ingeniera
NO APLICA 0% $ 43.200
social
Porttile
Daos por
NO APLICA 0% $ 108.000
agua
170
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Otros
desastres NO APLICA 0% $ 108.000
Naturales
Fuego NO APLICA 0% $ 121.500
Daos por
NO APLICA 0% $ 108.000
agua
Contamina
cin NO APLICA 0% $ 108.000
Mecnica
Contamina
cin
NO APLICA 0% $ 67.500
electromag
ntica
Avera de
origen
NO APLICA 0% $ 81.000
fsico o
lgico
Corte del
suministro NO APLICA 0% $ 81.000
elctrico
Condicion
es
inadecuad
as de NO APLICA 0% $ 81.000
temperatur
ao
humedad
Errores del
administra NO APLICA 0% $ 81.000
dor
Errores de
mantenimi
ento /
Mantenimiento preventivo y correctivo de
actualizaci 40% $ 295.200
equipos de cmputo
n de
equipos
(hardware)
Modificaci
n
deliberada
NO APLICA 0% $ 94.500
de la
informaci
n
Abuso de Monitorear el acceso al sistema de
privilegios acuerdo a privilegios establecidos a los 60% $ 86.400
de acceso usuarios
Robo NO APLICA 0% $ 121.500
171
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Ataque
NO APLICA 0% $ 108.000
destructivo
Polticas de uso adecuado de los
Uso no
recursos asignados para actividades 60% $ 229.600
previsto
laborales
Emanacio
nes
electromag
nticas
NO APLICA 0% $ 67.500
Errores y
fallos no
intenciona
dos
Cada del
sistema
Revisar configuracin de equipos de
por
cmputo, servidor, capacidad de la banda 70% $ 196.800
agotamient
ancha.
o de
recursos
Prdida de
NO APLICA 0% $ 108.000
equipos
Acceso no
NO APLICA 0% $ 94.500
autorizado
Manipulaci
n de los NO APLICA 0% $ 162.000
equipos
Denegaci
n de NO APLICA 0% $ 94.500
servicio
Daos por
NO APLICA 0% $ 194.400
agua
Otros
Equipos de cmputo
173
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
intenciona
dos
Cada del
sistema
Revisar configuracin de equipos de
por
cmputo, servidor, capacidad de la banda 70% $ 354.240
agotamient
ancha.
o de
recursos
Prdida de
NO APLICA 0% $ 194.400
equipos
Acceso no
NO APLICA 0% $ 170.100
autorizado
Manipulaci
Sistema de monitoreo de integridad de
n de los 50% $ 145.800
deteccin de intrusos (HIDS)
equipos
Denegaci
n de NO APLICA 0% $ 170.100
servicio
Fuego NO APLICA 0% $ 97.200
Daos por
NO APLICA 0% $ 86.400
agua
Otros
desastres NO APLICA 0% $ 86.400
Naturales
Fuego NO APLICA 0% $ 97.200
Daos por
NO APLICA 0% $ 86.400
agua
Contamina
cin NO APLICA 0% $ 86.400
Mecnica
Contamina
Impresoras
cin
NO APLICA 0% $ 54.000
electromag
$ 40
ntica
Avera de
origen
NO APLICA 0% $ 64.800
fsico o
lgico
Corte del
suministro NO APLICA 0% $ 64.800
elctrico
Condicion
es
inadecuad
as de NO APLICA 0% $ 64.800
temperatur
ao
humedad
174
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Errores del
administra NO APLICA 0% $ 64.800
dor
Errores de
mantenimi
ento /
Mantenimiento preventivo y correctivo de
actualizaci 40% $ 236.160
equipos de cmputo
n de
equipos
(hardware)
Modificaci
n
deliberada
NO APLICA 0% $ 75.600
de la
informaci
n
Abuso de
privilegios NO APLICA 0% $ 172.800
de acceso
Robo NO APLICA 0% $ 97.200
Ataque
NO APLICA 0% $ 86.400
destructivo
Polticas de uso adecuado de los
Uso no
recursos asignados para actividades 60% $ 183.680
previsto
laborales
Emanacio
nes
electromag
nticas
NO APLICA 0% $ 54.000
Errores y
fallos no
intenciona
dos
Cada del
sistema
Revisar configuracin de equipos de
por
cmputo, servidor, capacidad de la banda 70% $ 157.440
agotamient
ancha.
o de
recursos
Prdida de
NO APLICA 0% $ 86.400
equipos
Acceso no
NO APLICA 0% $ 75.600
autorizado
Manipulaci
n de los NO APLICA 0% $ 129.600
equipos
Denegaci
n de NO APLICA 0% $ 75.600
servicio
175
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Instalacin de detectores de humo,
Fuego 50% $ 243.000
extinguidores, adquisicin de plizas
Daos por
Instalacin de detectores de humedad 50% $ 216.000
agua
Otros
desastres Adquisicin Plizas 60% $ 172.800
Naturales
Instalacin de detectores de humo,
Fuego 50% $ 243.000
extinguidores, adquisicin de plizas
Daos por
Instalacin de detectores de humedad 50% $ 216.000
agua
Mantenimiento general al cuarto tcnico
Contamina
donde se encuentra el servidor, adems
cin 50% $ 216.000
mantenimiento preventivo por parte del
Mecnica
personal tcnico.
Contamina Ubicacin de servidor lejos de sala de
cin RX, esa sala debe tener paredes
40% $ 162.000
electromag cubiertas de plomo para evitar fuga de
ntica radiacin
Avera de
Servidor Aplicaciones
176
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
informaci
n
Manipulaci
Sistema de monitoreo de integridad de
n de los 50% $ 324.000
deteccin de intrusos (HIDS)
equipos
Denegaci instalacin de IDS, ups en buenas
n de condiciones, asignacin de buen espacio 60% $ 151.200
servicio de banda ancha, proteccin antivirus.
177
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Fallo de
servicios
de NO APLICA 0% $ 153.384
comunicac
iones
Errores del
administra NO APLICA 0% $ 131.472
dor
Errores de
[re-
NO APLICA 0% $ 131.472
]encamina
miento
Errores de Instalacin y configuracin correcta de
40% $ 157.795
secuencia IDS
Prohibicin de medios de
Alteracin almacenamiento externo, deshabilitar
accidental puertos USB de los equipos de cmputo,
de la en caso de ser autorizados medios 60% $ 122.730
informaci extrables, tomar las medidas
n preventivas de no dejarlos expuestos,
guardarlos en sitios seguros
Acceso point
Destrucci
$ 80 n de
NO APLICA 0% $ 175.296
informaci
n
Cada del
sistema
Revisar configuracin de equipos de
por
cmputo, servidor, capacidad de la banda 70% $ 105.197
agotamient
ancha.
o de
recursos
Suplantaci
n de la
NO APLICA 0% $ 175.296
identidad
del usuario
Abuso de Monitorear el acceso al sistema de
privilegios acuerdo a privilegios establecidos a los 60% $ 140.262
de acceso usuarios
Uso no
NO APLICA 0% $ 129.600
previsto
[Re-
]encamina
NO APLICA 0% $ 153.384
miento de
mensajes
Alteracin
de NO APLICA 0% $ 131.472
secuencia
178
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Acceso no
NO APLICA 0% $ 153.384
autorizado
Anlisis de
Monitorear el trfico de la red 50% $ 131.496
trfico
Interceptac
in de
informaci NO APLICA 0% $ 131.472
n
(escucha)
Modificaci
n
deliberada
NO APLICA 0% $ 153.384
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 175.296
informaci
n
Divulgaci
n de
NO APLICA 0% $ 153.384
informaci
n
Denegaci
n de NO APLICA 0% $ 153.384
servicio
Fallo de
servicios
de NO APLICA 0% $ 153.384
comunicac
iones
Errores del
administra NO APLICA 0% $ 131.472
dor
Errores de
[re-
NO APLICA 0% $ 131.472
]encamina
Swichet
$ 80 miento
Errores de Instalacin y configuracin correcta de
40% $ 157.795
secuencia IDS
Prohibicin de medios de
Alteracin almacenamiento externo, deshabilitar
accidental puertos USB de los equipos de cmputo,
de la en caso de ser autorizados medios 60% $ 122.730
informaci extrables, tomar las medidas
n preventivas de no dejarlos expuestos,
guardarlos en sitios seguros
Destrucci
NO APLICA 0% $ 175.296
n de
179
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
informaci
n
Cada del
sistema
Revisar configuracin de equipos de
por
cmputo, servidor, capacidad de la banda 70% $ 105.197
agotamient
ancha.
o de
recursos
Suplantaci
n de la
NO APLICA 0% $ 175.296
identidad
del usuario
Abuso de Monitorear el acceso al sistema de
privilegios acuerdo a privilegios establecidos a los 60% $ 140.262
de acceso usuarios
Uso no
NO APLICA 0% $ 129.600
previsto
[Re-
]encamina
NO APLICA 0% $ 153.384
miento de
mensajes
Alteracin
de NO APLICA 0% $ 131.472
secuencia
Acceso no
NO APLICA 0% $ 153.384
autorizado
Anlisis de
Monitorear el trfico de la red 50% $ 131.496
trfico
Interceptac
in de
informaci NO APLICA 0% $ 131.472
n
(escucha)
Modificaci
n
deliberada
NO APLICA 0% $ 153.384
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 175.296
informaci
n
Divulgaci
n de
NO APLICA 0% $ 153.384
informaci
n
180
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Denegaci
n de NO APLICA 0% $ 153.384
servicio
Fallo de
servicios
de NO APLICA 0% $ 153.384
comunicac
iones
Errores del
administra NO APLICA 0% $ 131.472
dor
Errores de
[re-
NO APLICA 0% $ 131.472
]encamina
miento
Errores de Instalacin y configuracin correcta de
40% $ 157.795
secuencia IDS
Prohibicin de medios de
Alteracin almacenamiento externo, deshabilitar
accidental puertos USB de los equipos de cmputo,
de la en caso de ser autorizados medios 60% $ 122.730
informaci extrables, tomar las medidas
n preventivas de no dejarlos expuestos,
guardarlos en sitios seguros
Routers
Destrucci
$ 80
n de
NO APLICA 0% $ 175.296
informaci
n
Cada del
sistema
Revisar configuracin de equipos de
por
cmputo, servidor, capacidad de la banda 70% $ 105.197
agotamient
ancha.
o de
recursos
Suplantaci
n de la
NO APLICA 0% $ 175.296
identidad
del usuario
Abuso de Monitorear el acceso al sistema de
privilegios acuerdo a privilegios establecidos a los 60% $ 140.262
de acceso usuarios
Uso no
NO APLICA 0% $ 129.600
previsto
[Re-
]encamina
NO APLICA 0% $ 153.384
miento de
mensajes
181
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Alteracin
de NO APLICA 0% $ 131.472
secuencia
Acceso no
NO APLICA 0% $ 153.384
autorizado
Anlisis de
Monitorear el trfico de la red 50% $ 131.496
trfico
Interceptac
in de
informaci NO APLICA 0% $ 131.472
n
(escucha)
Modificaci
n
deliberada
NO APLICA 0% $ 153.384
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 175.296
informaci
n
Divulgaci
n de
NO APLICA 0% $ 153.384
informaci
n
Denegaci
n de NO APLICA 0% $ 153.384
servicio
Fallo de
servicios
de NO APLICA 0% $ 153.384
comunicac
iones
Errores del
administra NO APLICA 0% $ 131.472
dor
Errores de
firewalls
$ 80 [re-
NO APLICA 0% $ 131.472
]encamina
miento
Errores de Instalacin y configuracin correcta de
40% $ 157.795
secuencia IDS
Alteracin Prohibicin de medios de
accidental almacenamiento externo, deshabilitar
de la puertos USB de los equipos de cmputo, 60% $ 122.730
informaci en caso de ser autorizados medios
n extrables, tomar las medidas
182
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
preventivas de no dejarlos expuestos,
guardarlos en sitios seguros
Destrucci
n de
NO APLICA 0% $ 175.296
informaci
n
Cada del
sistema
Revisar configuracin de equipos de
por
cmputo, servidor, capacidad de la banda 70% $ 105.197
agotamient
ancha.
o de
recursos
Suplantaci
n de la
NO APLICA 0% $ 175.296
identidad
del usuario
Abuso de Monitorear el acceso al sistema de
privilegios acuerdo a privilegios establecidos a los 60% $ 140.262
de acceso usuarios
Uso no
NO APLICA 0% $ 129.600
previsto
[Re-
]encamina
NO APLICA 0% $ 153.384
miento de
mensajes
Alteracin
de NO APLICA 0% $ 131.472
secuencia
Acceso no
NO APLICA 0% $ 153.384
autorizado
Anlisis de
Monitorear el trfico de la red 50% $ 131.496
trfico
Interceptac
in de
informaci NO APLICA 0% $ 131.472
n
(escucha)
Modificaci
n
deliberada
NO APLICA 0% $ 153.384
de la
informaci
n
Destrucci
NO APLICA 0% $ 175.296
n de
183
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
informaci
n
Divulgaci
n de
NO APLICA 0% $ 153.384
informaci
n
Denegaci
n de NO APLICA 0% $ 153.384
servicio
Errores de
Instalacin de programas slo por
los 50% $1.438.325
personal capacitado y autorizado.
usuarios
Errores del
Revisin de configuraciones y
administra 50% $ 205.425
actualizaciones
dor
Errores de
[re-
NO APLICA 0% $ 410.850
]encamina
miento
Errores de Instalacin y configuracin correcta de
40% $ 493.110
secuencia IDS
Prohibicin de medios de
Alteracin almacenamiento externo, deshabilitar
accidental puertos USB de los equipos de cmputo,
cableado estructurado
184
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Abuso de Monitorear el acceso al sistema de
privilegios acuerdo a privilegios establecidos a los 60% $ 438.320
de acceso usuarios
Polticas de uso adecuado de los
Uso no
recursos asignados para actividades 60% $ 162.000
previsto
laborales
[Re- Control sobre el uso de cuentas de
]encamina correos electrnicos, acceso a la red,
50% $ 239.663
miento de negacin de redes sociales, chat, foros,
mensajes entre otros
Alteracin
de NO APLICA 0% $ 410.850
secuencia
185
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Errores de
[re-
NO APLICA 0% $ 328.680
]encamina
miento
Errores de Instalacin y configuracin correcta de
40% $ 394.488
secuencia IDS
Prohibicin de medios de
Alteracin almacenamiento externo, deshabilitar
accidental puertos USB de los equipos de cmputo,
de la en caso de ser autorizados medios 60% $ 306.824
informaci extrables, tomar las medidas
n preventivas de no dejarlos expuestos,
guardarlos en sitios seguros
Guardas en sitios seguros unidades
Destrucci externas de almacenamiento donde se
n de grabe informacin confidencial,
40% $ 262.944
informaci procedimiento adecuado de las copias de
n seguridad, prohibir acceso de personal no
autorizado a sitios restringidos.
Prohibicin de uso de redes sociales,
polticas de escritorio limpio, medios
Fugas de extrables almacenados correctamente,
informaci destruccin de papel reciclado con 60% $ 350.656
n informacin confidencial, seguridad en
oficinas, cuarto tcnico, requisa de
paquetes en la entrada del edificio.
Suplantaci
n de la Monitoreo del trfico, autenticacin de
60% $ 175.296
identidad usuarios
del usuario
Abuso de Monitorear el acceso al sistema de
privilegios acuerdo a privilegios establecidos a los 60% $ 350.656
de acceso usuarios
Polticas de uso adecuado de los
Uso no
recursos asignados para actividades 60% $ 129.600
previsto
laborales
[Re- Control sobre el uso de cuentas de
]encamina correos electrnicos, acceso a la red,
50% $ 191.730
miento de negacin de redes sociales, chat, foros,
mensajes entre otros
Alteracin
de NO APLICA 0% $ 328.680
secuencia
186
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Errores de
[re-
NO APLICA 0% $ 147.906
]encamina
$ 90 miento
Errores de Instalacin y configuracin correcta de
40% $ 177.520
secuencia IDS
Prohibicin de medios de
Alteracin almacenamiento externo, deshabilitar
accidental puertos USB de los equipos de cmputo,
de la en caso de ser autorizados medios 60% $ 138.071
informaci extrables, tomar las medidas
n preventivas de no dejarlos expuestos,
guardarlos en sitios seguros
187
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Destrucci
n de
NO APLICA 0% $ 197.208
informaci
n
Prohibicin de uso de redes sociales,
polticas de escritorio limpio, medios
Fugas de extrables almacenados correctamente,
informaci destruccin de papel reciclado con 60% $ 157.795
n informacin confidencial, seguridad en
oficinas, cuarto tcnico, requisa de
paquetes en la entrada del edificio.
Suplantaci
n de la
NO APLICA 0% $ 197.208
identidad
del usuario
Abuso de Monitorear el acceso al sistema de
privilegios acuerdo a privilegios establecidos a los 60% $ 157.795
de acceso usuarios
Uso no
NO APLICA 0% $ 145.800
previsto
[Re-
]encamina
NO APLICA 0% $ 172.557
miento de
mensajes
Alteracin
de NO APLICA 0% $ 147.906
secuencia
Acceso no
NO APLICA 0% $ 172.557
autorizado
Repudio NO APLICA 0% $ 172.557
Modificaci
n
deliberada
NO APLICA 0% $ 172.557
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 197.208
informaci
n
Divulgaci
n de
NO APLICA 0% $ 172.557
informaci
n
Denegaci
n de NO APLICA 0% $ 172.557
servicio
elctr
Plant
188
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Daos por
Instalacin de detectores de humedad 50% $ 109.350
agua
Otros
desastres NO APLICA 0% $ 194.400
Naturales
Instalacin de detectores de humo,
Fuego 50% $ 109.350
extinguidores, adquisicin de plizas
Daos por
NO APLICA 0% $ 194.400
agua
Emanacio
nes
electromag
nticas
NO APLICA 0% $ 121.500
Errores y
fallos no
intenciona
dos
Acceso no
NO APLICA 0% $ 170.100
autorizado
Ataque
NO APLICA 0% $ 194.400
destructivo
Ocupacin
NO APLICA 0% $ 194.400
enemiga
Fallo de
Instalacin de equipos de
servicios
comunicaciones de apoyo, en caso de
de 60% $ 229.600
que los equipos primarios se vean
comunicac
afectados
iones
Errores del
administra NO APLICA 0% $ 81.000
dor
Errores de
Windows server 2010
[re-
NO APLICA 0% $ 81.000
]encamina
miento
$ 50 Errores de
NO APLICA 0% $ 162.000
secuencia
Prohibicin de medios de
Alteracin almacenamiento externo, deshabilitar
accidental puertos USB de los equipos de cmputo,
de la en caso de ser autorizados medios 60% $ 86.400
informaci extrables, tomar las medidas
n preventivas de no dejarlos expuestos,
guardarlos en sitios seguros
Destrucci
n de
NO APLICA 0% $ 108.000
informaci
n
189
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Cada del
sistema
Revisar configuracin de equipos de
por
cmputo, servidor, capacidad de la banda 70% $ 196.800
agotamient
ancha.
o de
recursos
Suplantaci
n de la
NO APLICA 0% $ 108.000
identidad
del usuario
Abuso de Monitorear el acceso al sistema de
privilegios acuerdo a privilegios establecidos a los 60% $ 86.400
de acceso usuarios
Uso no
NO APLICA 0% $ 94.500
previsto
[Re-
]encamina
NO APLICA 0% $ 94.500
miento de
mensajes
Alteracin
de NO APLICA 0% $ 81.000
secuencia
Acceso no
NO APLICA 0% $ 94.500
autorizado
Anlisis de
NO APLICA 0% $ 162.000
trfico
Interceptac
in de
informaci NO APLICA 0% $ 81.000
n
(escucha)
Modificaci
n
deliberada
NO APLICA 0% $ 94.500
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 108.000
informaci
n
Divulgaci
n de
NO APLICA 0% $ 94.500
informaci
n
Denegaci
n de NO APLICA 0% $ 108.000
servicio
190
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Fallo de
Instalacin de equipos de
servicios
comunicaciones de apoyo, en caso de
de 60% $ 229.600
que los equipos primarios se vean
comunicac
afectados
iones
Errores del
administra NO APLICA 0% $ 81.000
dor
Errores de
[re-
NO APLICA 0% $ 81.000
]encamina
miento
Errores de
NO APLICA 0% $ 162.000
secuencia
Prohibicin de medios de
Alteracin almacenamiento externo, deshabilitar
accidental puertos USB de los equipos de cmputo,
de la en caso de ser autorizados medios 60% $ 86.400
informaci extrables, tomar las medidas
n preventivas de no dejarlos expuestos,
guardarlos en sitios seguros
Destrucci
n de
NO APLICA 0% $ 108.000
informaci
CgUno
$ 50 n
Cada del
sistema
Revisar configuracin de equipos de
por
cmputo, servidor, capacidad de la banda 70% $ 196.800
agotamient
ancha.
o de
recursos
Suplantaci
n de la
NO APLICA 0% $ 108.000
identidad
del usuario
Abuso de Monitorear el acceso al sistema de
privilegios acuerdo a privilegios establecidos a los 60% $ 86.400
de acceso usuarios
Uso no
NO APLICA 0% $ 94.500
previsto
[Re-
]encamina
NO APLICA 0% $ 94.500
miento de
mensajes
Alteracin
de NO APLICA 0% $ 81.000
secuencia
Acceso no
NO APLICA 0% $ 94.500
autorizado
191
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Anlisis de
NO APLICA 0% $ 162.000
trfico
Interceptac
in de
informaci NO APLICA 0% $ 81.000
n
(escucha)
Modificaci
n
deliberada
NO APLICA 0% $ 94.500
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 108.000
informaci
n
Divulgaci
n de
NO APLICA 0% $ 94.500
informaci
n
Denegaci
n de NO APLICA 0% $ 108.000
servicio
Fallo de
Instalacin de equipos de
servicios
comunicaciones de apoyo, en caso de
de 60% $ 229.600
que los equipos primarios se vean
comunicac
afectados
iones
Errores del
administra NO APLICA 0% $ 81.000
dor
Errores de
[re-
NO APLICA 0% $ 81.000
]encamina
Windows
miento
$ 50 Errores de
NO APLICA 0% $ 162.000
secuencia
Prohibicin de medios de
Alteracin almacenamiento externo, deshabilitar
accidental puertos USB de los equipos de cmputo,
de la en caso de ser autorizados medios 60% $ 86.400
informaci extrables, tomar las medidas
n preventivas de no dejarlos expuestos,
guardarlos en sitios seguros
Destrucci
n de
NO APLICA 0% $ 108.000
informaci
n
192
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Cada del
sistema
Revisar configuracin de equipos de
por
cmputo, servidor, capacidad de la banda 70% $ 196.800
agotamient
ancha.
o de
recursos
Suplantaci
n de la
NO APLICA 0% $ 108.000
identidad
del usuario
Abuso de Monitorear el acceso al sistema de
privilegios acuerdo a privilegios establecidos a los 60% $ 86.400
de acceso usuarios
Uso no
NO APLICA 0% $ 94.500
previsto
[Re-
]encamina
NO APLICA 0% $ 94.500
miento de
mensajes
Alteracin
de NO APLICA 0% $ 81.000
secuencia
Acceso no
NO APLICA 0% $ 94.500
autorizado
Anlisis de
NO APLICA 0% $ 162.000
trfico
Interceptac
in de
informaci NO APLICA 0% $ 81.000
n
(escucha)
Modificaci
n
deliberada
NO APLICA 0% $ 94.500
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 108.000
informaci
n
Divulgaci
n de
NO APLICA 0% $ 94.500
informaci
n
Denegaci
n de NO APLICA 0% $ 108.000
servicio
193
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Fallo de
servicios
de NO APLICA 0% $ 114.800
comunicac
iones
Errores del
administra NO APLICA 0% $ 16.200
dor
Errores de
[re-
NO APLICA 0% $ 16.200
]encamina
miento
Errores de
NO APLICA 0% $ 32.400
secuencia
Alteracin
accidental
de la NO APLICA 0% $ 43.200
informaci
n
Destrucci
n de
NO APLICA 0% $ 21.600
informaci
n
Ofimtica
Cada del
$ 10 sistema
por
NO APLICA 0% $ 131.200
agotamient
o de
recursos
Suplantaci
n de la
NO APLICA 0% $ 21.600
identidad
del usuario
Abuso de
privilegios NO APLICA 0% $ 43.200
de acceso
Uso no
NO APLICA 0% $ 18.900
previsto
[Re-
]encamina
NO APLICA 0% $ 18.900
miento de
mensajes
Alteracin
de NO APLICA 0% $ 16.200
secuencia
Acceso no
NO APLICA 0% $ 18.900
autorizado
Anlisis de
NO APLICA 0% $ 32.400
trfico
194
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Interceptac
in de
informaci NO APLICA 0% $ 16.200
n
(escucha)
Modificaci
n
deliberada
NO APLICA 0% $ 18.900
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 21.600
informaci
n
Divulgaci
n de
NO APLICA 0% $ 18.900
informaci
n
Denegaci
n de NO APLICA 0% $ 21.600
servicio
Interrupci
n de otros
servicios y
NO APLICA 0% $ 16.200
suministro
s
esenciales
Degradaci
n de los
Contratos de trabajo personal
soportes
de
almacena NO APLICA 0% $ 16.200
miento de
la
$ 10 informaci
n
Errores de
los NO APLICA 0% $ 114.800
usuarios
Errores del
administra NO APLICA 0% $ 16.200
dor
Errores de
monitoriza NO APLICA 0% $ 16.200
cin (log)
Errores de
configuraci NO APLICA 0% $ 114.800
n
195
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Escapes
de
NO APLICA 0% $ 43.200
informaci
n
Alteracin
accidental
de la NO APLICA 0% $ 37.800
informaci
n
Destrucci
n de
NO APLICA 0% $ 21.600
informaci
n
Fugas de
informaci NO APLICA 0% $ 43.200
n
Manipulaci
n de los
registros
NO APLICA 0% $ 19.530
de
actividad
(log)
Manipulaci
n de la
NO APLICA 0% $ 32.400
configuraci
n
Suplantaci
n de la
NO APLICA 0% $ 21.600
identidad
del usuario
Abuso de
privilegios NO APLICA 0% $ 43.200
de acceso
Uso no
NO APLICA 0% $ 16.200
previsto
Acceso no
NO APLICA 0% $ 18.900
autorizado
Repudio NO APLICA 0% $ 114.800
Modificaci
n
deliberada
NO APLICA 0% $ 18.900
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 21.600
informaci
n
196
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Divulgaci
n de
NO APLICA 0% $ 18.900
informaci
n
Robo NO APLICA 0% $ 43.200
Interrupci
n de otros
servicios y
NO APLICA 0% $ 16.200
suministro
s
esenciales
Degradaci
n de los
soportes
de
almacena NO APLICA 0% $ 16.200
miento de
la
informaci
n
Errores de
los NO APLICA 0% $ 114.800
usuarios
Plizas mantenimiento
Errores del
administra NO APLICA 0% $ 16.200
dor
$ 10 Errores de
monitoriza NO APLICA 0% $ 16.200
cin (log)
Errores de
configuraci NO APLICA 0% $ 114.800
n
Escapes
de
NO APLICA 0% $ 43.200
informaci
n
Alteracin
accidental
de la NO APLICA 0% $ 37.800
informaci
n
Destrucci
n de
NO APLICA 0% $ 21.600
informaci
n
Fugas de
informaci NO APLICA 0% $ 43.200
n
197
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Manipulaci
n de los
registros
NO APLICA 0% $ 19.530
de
actividad
(log)
Manipulaci
n de la
NO APLICA 0% $ 32.400
configuraci
n
Suplantaci
n de la
NO APLICA 0% $ 21.600
identidad
del usuario
Abuso de
privilegios NO APLICA 0% $ 43.200
de acceso
Uso no
NO APLICA 0% $ 16.200
previsto
Acceso no
NO APLICA 0% $ 18.900
autorizado
Repudio NO APLICA 0% $ 114.800
Modificaci
n
deliberada
NO APLICA 0% $ 18.900
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 21.600
informaci
n
Divulgaci
n de
NO APLICA 0% $ 18.900
informaci
n
Robo NO APLICA 0% $ 43.200
Interrupci
n de otros
servicios y
BD usuarios EPS
NO APLICA 0% $ 145.800
suministro
s
esenciales
$ 90
Degradaci
n de los
soportes
NO APLICA 0% $ 145.800
de
almacena
miento de
198
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
la
informaci
n
Errores de
Instalacin de programas slo por
los 50% $ 516.600
personal capacitado y autorizado.
usuarios
Errores del
administra NO APLICA 0% $ 145.800
dor
Errores de
monitoriza NO APLICA 0% $ 145.800
cin (log)
Errores de
Configuracin correcta de privilegios,
configuraci 60% $ 413.280
perfiles de usuarios.
n
Escapes
de Aplicacin de Polticas de
50% $ 194.400
informaci confidencialidad de la informacin
n
Prohibicin de medios de
Alteracin almacenamiento externo, deshabilitar
accidental puertos USB de los equipos de cmputo,
de la en caso de ser autorizados medios 60% $ 136.080
informaci extrables, tomar las medidas
n preventivas de no dejarlos expuestos,
guardarlos en sitios seguros
Destrucci
n de
NO APLICA 0% $ 194.400
informaci
n
Prohibicin de uso de redes sociales,
polticas de escritorio limpio, medios
Fugas de extrables almacenados correctamente,
informaci destruccin de papel reciclado con 60% $ 155.520
n informacin confidencial, seguridad en
oficinas, cuarto tcnico, requisa de
paquetes en la entrada del edificio.
Manipulaci
n de los
registros
NO APLICA 0% $ 175.770
de
actividad
(log)
Manipulaci
n de la
Sistemas de monitoreo de integridad 50% $ 145.800
configuraci
n
199
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Suplantaci
n de la
NO APLICA 0% $ 194.400
identidad
del usuario
Abuso de Monitorear el acceso al sistema de
privilegios acuerdo a privilegios establecidos a los 60% $ 155.520
de acceso usuarios
Uso no
NO APLICA 0% $ 145.800
previsto
Acceso no
NO APLICA 0% $ 170.100
autorizado
Aplicacin de polticas de seguridad en
Repudio 40% $ 619.920
cuanto a integridad de la informacin
Modificaci
n
deliberada
NO APLICA 0% $ 170.100
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 194.400
informaci
n
Divulgaci
n de
NO APLICA 0% $ 170.100
informaci
n
Polticas de escritorio limpio, implantacin
de seguridad en las instalaciones,
Robo 60% $ 155.520
monitorizacin de la red, asignacin de
perfiles de acuerdo a sus funciones
Interrupci
n de otros
servicios y
NO APLICA 0% $ 145.800
suministro
s
esenciales
BD proveedores
Degradaci
n de los
soportes
$ 90
de
almacena NO APLICA 0% $ 145.800
miento de
la
informaci
n
Errores de
Instalacin de programas slo por
los 50% $ 516.600
personal capacitado y autorizado.
usuarios
200
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Errores del
administra NO APLICA 0% $ 145.800
dor
Errores de
monitoriza NO APLICA 0% $ 145.800
cin (log)
Errores de
Configuracin correcta de privilegios,
configuraci 60% $ 413.280
perfiles de usuarios.
n
Escapes
de Aplicacin de Polticas de
50% $ 194.400
informaci confidencialidad de la informacin
n
Prohibicin de medios de
Alteracin almacenamiento externo, deshabilitar
accidental puertos USB de los equipos de cmputo,
de la en caso de ser autorizados medios 60% $ 136.080
informaci extrables, tomar las medidas
n preventivas de no dejarlos expuestos,
guardarlos en sitios seguros
Destrucci
n de
NO APLICA 0% $ 194.400
informaci
n
Prohibicin de uso de redes sociales,
polticas de escritorio limpio, medios
Fugas de extrables almacenados correctamente,
informaci destruccin de papel reciclado con 60% $ 155.520
n informacin confidencial, seguridad en
oficinas, cuarto tcnico, requisa de
paquetes en la entrada del edificio.
Manipulaci
n de los
registros
NO APLICA 0% $ 175.770
de
actividad
(log)
Manipulaci
n de la
Sistemas de monitoreo de integridad 50% $ 145.800
configuraci
n
Suplantaci
n de la
NO APLICA 0% $ 194.400
identidad
del usuario
Abuso de Monitorear el acceso al sistema de
privilegios acuerdo a privilegios establecidos a los 60% $ 155.520
de acceso usuarios
201
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Uso no
NO APLICA 0% $ 145.800
previsto
Acceso no
NO APLICA 0% $ 170.100
autorizado
Aplicacin de polticas de seguridad en
Repudio 40% $ 619.920
cuanto a integridad de la informacin
Modificaci
n
deliberada
NO APLICA 0% $ 170.100
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 194.400
informaci
n
Divulgaci
n de
NO APLICA 0% $ 170.100
informaci
n
Polticas de escritorio limpio, implantacin
de seguridad en las instalaciones,
Robo 60% $ 155.520
monitorizacin de la red, asignacin de
perfiles de acuerdo a sus funciones
Interrupci
n de otros
Stock de papel para impresin, tner de
servicios y
impresoras, unidades para realizacin de 60% $ 129.600
suministro
backups.
s
esenciales
Degradaci
n de los
soportes
de Mantenimiento preventivo o reemplazo de
contabilidad
202
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Errores de
Configuracin correcta de privilegios,
configuraci 60% $ 918.400
perfiles de usuarios.
n
Escapes
de Aplicacin de Polticas de
50% $ 432.000
informaci confidencialidad de la informacin
n
Prohibicin de medios de
Alteracin almacenamiento externo, deshabilitar
accidental puertos USB de los equipos de cmputo,
de la en caso de ser autorizados medios 60% $ 302.400
informaci extrables, tomar las medidas
n preventivas de no dejarlos expuestos,
guardarlos en sitios seguros
Guardas en sitios seguros unidades
Destrucci externas de almacenamiento donde se
n de grabe informacin confidencial,
40% $ 259.200
informaci procedimiento adecuado de las copias de
n seguridad, prohibir acceso de personal no
autorizado a sitios restringidos.
Prohibicin de uso de redes sociales,
polticas de escritorio limpio, medios
Fugas de extrables almacenados correctamente,
informaci destruccin de papel reciclado con 60% $ 345.600
n informacin confidencial, seguridad en
oficinas, cuarto tcnico, requisa de
paquetes en la entrada del edificio.
Manipulaci
n de los
registros
NO APLICA 0% $ 390.600
de
actividad
(log)
Manipulaci
n de la
Sistemas de monitoreo de integridad 50% $ 324.000
configuraci
n
Suplantaci
n de la Monitoreo del trfico, autenticacin de
60% $ 172.800
identidad usuarios
del usuario
Abuso de Monitorear el acceso al sistema de
privilegios acuerdo a privilegios establecidos a los 60% $ 345.600
de acceso usuarios
Polticas de uso adecuado de los
Uso no
recursos asignados para actividades 60% $ 129.600
previsto
laborales
203
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
n de los
soportes
$ 100
de
almacena NO APLICA 0% $ 162.000
miento de
la
informaci
n
Errores de
Instalacin de programas slo por
los 50% $ 574.000
personal capacitado y autorizado.
usuarios
204
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Errores del
administra NO APLICA 0% $ 162.000
dor
Errores de
monitoriza NO APLICA 0% $ 162.000
cin (log)
Errores de
Configuracin correcta de privilegios,
configuraci 60% $ 459.200
perfiles de usuarios.
n
Escapes
de Aplicacin de Polticas de
50% $ 216.000
informaci confidencialidad de la informacin
n
Prohibicin de medios de
Alteracin almacenamiento externo, deshabilitar
accidental puertos USB de los equipos de cmputo,
de la en caso de ser autorizados medios 60% $ 151.200
informaci extrables, tomar las medidas
n preventivas de no dejarlos expuestos,
guardarlos en sitios seguros
Guardas en sitios seguros unidades
Destrucci externas de almacenamiento donde se
n de grabe informacin confidencial,
40% $ 129.600
informaci procedimiento adecuado de las copias de
n seguridad, prohibir acceso de personal no
autorizado a sitios restringidos.
Prohibicin de uso de redes sociales,
polticas de escritorio limpio, medios
Fugas de extrables almacenados correctamente,
informaci destruccin de papel reciclado con 60% $ 172.800
n informacin confidencial, seguridad en
oficinas, cuarto tcnico, requisa de
paquetes en la entrada del edificio.
Manipulaci
n de los
registros
NO APLICA 0% $ 195.300
de
actividad
(log)
Manipulaci
n de la
Sistemas de monitoreo de integridad 50% $ 162.000
configuraci
n
Suplantaci
n de la Monitoreo del trfico, autenticacin de
60% $ 86.400
identidad usuarios
del usuario
205
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Abuso de Monitorear el acceso al sistema de
privilegios acuerdo a privilegios establecidos a los 60% $ 172.800
de acceso usuarios
Uso no
NO APLICA 0% $ 162.000
previsto
Acceso no
NO APLICA 0% $ 189.000
autorizado
Aplicacin de polticas de seguridad en
Repudio 40% $ 688.800
cuanto a integridad de la informacin
Modificaci
n
deliberada
NO APLICA 0% $ 189.000
de la
informaci
n
Guardas en sitios seguros unidades
Destrucci externas de almacenamiento donde se
n de grabe informacin confidencial,
40% $ 129.600
informaci procedimiento adecuado de las copias de
n seguridad, prohibir acceso de personal no
autorizado a sitios restringidos.
Divulgaci
n de
NO APLICA 0% $ 189.000
informaci
n
Polticas de escritorio limpio, implantacin
de seguridad en las instalaciones,
Robo 60% $ 172.800
monitorizacin de la red, asignacin de
perfiles de acuerdo a sus funciones
Fuente: El autor.
206