Está en la página 1de 86

NÚMERO CÓDIGO CONTROL

Políticas para la
A.5.1.1 seguridad de la
Información.

Acceso a redes y a
A.9.1.2 servicios en red

Revisión de las
A.5.1.2 políticas de la
Información.

1
Retiro o ajuste de
A.9.2.6 los derechos de
1
acceso

Procedimiento de
A.9.4.2 ingreso seguro

Sistema de gestión
A.9.4.3 de contraseñas

Reporte de
debilidades de
A.16.1.3 seguridad de la
información
Reporte de
debilidades de
A.16.1.3 seguridad de la
información

Restricciones sobre
A.12.6.2 la instalación de
software

Sistema de gestión
A.9.4.3 de contraseñas

Procedimientos de
A.14.2.2 control de cambios
en sistemas

Mensajería
13.2.3
Electrónica.
2

Mensajería
13.2.3
Electrónica.

Procedimiento de
A.9.4.2 ingreso seguro

Restricciones sobre
A.12.6.2 la instalación de
software

Restricciones en los
cambios a los
A.14.2.4 paquetes de
software
Procedimiento de
A.9.4.2 ingreso seguro

Reporte de
debilidades de
A.16.1.3 seguridad de la
información

Planificación de la
continuidad de la
A.17.1.1 seguridad de la
información

Gestión de las
12.6.2 vulnerabilidades
técnicas.
Gestión de las
12.6.2 vulnerabilidades
técnicas.

Planificación de la
continuidad de la
A.17.1.1 seguridad de la
información

Mensajería
13.2.3
Electrónica.
Protección de
A.18.1.3 registros

Planificación de la
continuidad de la
A.17.1.1 seguridad de la
información

Gestión de las
12.6.2 vulnerabilidades
técnicas.

A.16.1.1 Responsabilidades
y procedimientos
A.16.1.1 Responsabilidades
y procedimientos

Privacidad y
protección de
A.18.1.4 información de
datos personales

Restricciones sobre
A.12.6.2 la instalación de
software

Revisión del
A.18.2.3 cumplimiento
técnico

Privacidad y
protección de
A.18.1.4 información de
datos personales
Privacidad y
protección de
A.18.1.4 información de
datos personales

A.16.1.1 Responsabilidades
y procedimientos

Planificación de la
continuidad de la
A.17.1.1 seguridad de la
información

Revisión de las
A.5.1.2 políticas de la
Información.
Protección de
A.18.1.3 registros

Políticas para la
A.5.1.1 seguridad de la
Información.
DESCRIPCIÓN DEL CONTROL ACTIVO

Se debe definir un conjunto de políticas para la seguridad


de la información, aprobada por la dirección, publicada y
comunicada a los empleados y a las partes externas
pertinentes.

Solo se debe permitir acceso de ls usuarios a la red y


a los servicios de la red para los que hayan sido
autorizados especificamente.

Las políticas de para la seguridad de la información se


deben revisar a intervalos planificados, o si ocurren
cambios significativos,para asegurar su convergencia,
adecuación y eficacia continúas.

REGISTRAR
Los derechos de acceso de todos los empleados y
usuarios externos a la información y a las intalaciones
de procesamiento de información se deben retirar al
REGISTRAR
terminar su empleo, contrato o acuerdo, o se deben
ajustar cuando se hagan cambios.

Cuando lo requiere la política de control de acceso,


el acceso de sistemas y apliaciones se debe controlar
mediante un proceso de ingreso seguro.

Los sistemas de gestión de contraseñas deben ser


interactivos y deben asegurar la calidad de las
contraseñas.

Se debe exigir a todos los empleados y contratistas


que usan los servicios y sistemas de información de la
organización, que observan y reporten cualquier
debilidad de seguridad de la información observada o
sospechada en los sitemas o servicios.
Se debe exigir a todos los empleados y contratistas
que usan los servicios y sistemas de información de la
organización, que observan y reporten cualquier
debilidad de seguridad de la información observada o
sospechada en los sitemas o servicios.

Se debe establecer e implementar las reglas para la


instalación de software por parte de los usuarios.

Los sistemas de gestión de contraseñas deben ser


interactivos y deben asegurar la calidad de las
contraseñas.

Los cambios a los sistemas dentro del ciclo de vida


de desarrollo se deben controlar mediante el uso de
procedimientos formales de control de cambios.

ADMINISTRAR

Se debería proteger adecuadamente la información


incluida en la mensajería electrónica.
ADMINISTRAR

Se debería proteger adecuadamente la información


incluida en la mensajería electrónica.

Cuando lo requiere la política de control de acceso,


el acceso de sistemas y apliaciones se debe controlar
mediante un proceso de ingreso seguro.

Se debe establecer e implementar las reglas para la


instalación de software por parte de los usuarios.

Se deben desalentar las modificaciones a los


paquetes de software, las cuales se deben limitar a
los cambios necesarios, y todos los cambios se deben
controlar estrictamente.
Cuando lo requiere la política de control de acceso,
el acceso de sistemas y apliaciones se debe controlar
mediante un proceso de ingreso seguro.

Se debe exigir a todos los empleados y contratistas


que usan los servicios y sistemas de información de la
organización, que observan y reporten cualquier
debilidad de seguridad de la información observada o
sospechada en los sitemas o servicios.

La organización debe terminar sus requisitos para la


seguridad de la información y la continuidad de la
gestión de la información en situaciones adversas, por
ejemplo, durante una crisis o desastre.

RETIRADOS

Se debe obtener oportunamente información acerca de


las vulnerabilidades técnicas de los sistemas de
información que se usen; evaluar la exposición de la
organización a estas vulnerabilidades, y tomar medidas
apropiadas para tratar el riesgo asociado.
Se debe obtener oportunamente información acerca de
las vulnerabilidades técnicas de los sistemas de
información que se usen; evaluar la exposición de la
organización a estas vulnerabilidades, y tomar medidas
apropiadas para tratar el riesgo asociado.

La organización debe terminar sus requisitos para la


seguridad de la información y la continuidad de la
gestión de la información en situaciones adversas, por
ejemplo, durante una crisis o desastre.

Se debería proteger adecuadamente la información


incluida en la mensajería electrónica.
Los registros se deben proteger contra pérdida,
destrucción, falsificación, acceso no autorizada y de
liberación no autorizada, de acuerdo con los
requisitos legislativos, de reglamentación,
contractuales y de negocio.

La organización debe terminar sus requisitos para la


seguridad de la información y la continuidad de la
gestión de la información en situaciones adversas, por
ejemplo, durante una crisis o desastre.

Se debe obtener oportunamente información acerca de


las vulnerabilidades técnicas de los sistemas de
información que se usen; evaluar la exposición de la
organización a estas vulnerabilidades, y tomar medidas
apropiadas para tratar el riesgo asociado.

PAGOS Y DEUDAS

Se deben establecer las responsabilidades y


procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los incidentes
de seguridad de la información.
Se deben establecer las responsabilidades y
procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los incidentes
de seguridad de la información.

Se deben asegurar la seguridad y la protección de la


información de datos personales, como exige en la
legislación y en la reglamentación pertinentes.
cuando sea aplicable.

Se debe establecer e implementar las reglas para la


instalación de software por parte de los usuarios.

Los sistemas de información se deben revisar


periódicamente para determinar el cumplimiento con
las políticas y normas de seguridad de información.

Se deben asegurar la seguridad y la protección de la


información de datos personales, como exige en la
legislación y en la reglamentación pertinentes.
cuando sea aplicable.
Se deben asegurar la seguridad y la protección de la
información de datos personales, como exige en la
legislación y en la reglamentación pertinentes.
cuando sea aplicable.

Se deben establecer las responsabilidades y


procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los incidentes
de seguridad de la información.

La organización debe terminar sus requisitos para la


seguridad de la información y la continuidad de la
gestión de la información en situaciones adversas, por
ejemplo, durante una crisis o desastre.

INVENTARIO

Las políticas de para la seguridad de la información se


deben revisar a intervalos planificados, o si ocurren
cambios significativos,para asegurar su convergencia,
adecuación y eficacia continúas.
Los registros se deben proteger contra pérdida,
destrucción, falsificación, acceso no autorizada y de
liberación no autorizada, de acuerdo con los
requisitos legislativos, de reglamentación,
contractuales y de negocio.

Se debe definir un conjunto de políticas para la seguridad


de la información, aprobada por la dirección, publicada y
comunicada a los empleados y a las partes externas
pertinentes.
ORIGEN (N,
CAPAS AMENAZA (EVENTO)
T, S)

Stealers

KeyLogging

Session Hijacking

Side Jacking/Firesheep

Mobile Phone Hacking

Main in the Middle Attack

INFORMACIÓN T
Botnets

INFORMACIÓN T

DNS Spoofing

USB Hacking

Xploitz

Ransomware

Aircrack-ng

Malware
SpyWare

Stealers

KeyLogging

Session Hijacking

Side Jacking/Firesheep

Mobile Phone Hacking

Botnets

USB Hacking
INFORMACIÓN T
INFORMACIÓN T

Xploitz

Ransomware

Aircrack-ng

Malware

SpyWare

Stealers

KeyLogging
Session Hijacking

Side Jacking/Firesheep

Mobile Phone Hacking

Main in the Middle Attack

Botnets

DNS Spoofing

Phishing

INFORMACIÓN T

USB Hacking
Xploitz

Ransomware

Aircrack-ng

Malware

SpyWare

Stealers

KeyLogging
Session Hijacking

Side Jacking/Firesheep

Mobile Phone Hacking

Main in the Middle Attack

Botnets

DNS Spoofing

Phishing
INFORMACIÓN T

USB Hacking
Xploitz

Ransomware

Aircrack-ng

Malware

SpyWare

Stealers

KeyLogging

Session Hijacking
Side Jacking/Firesheep

Mobile Phone Hacking

Main in the Middle Attack

Botnets

DNS Spoofing

Phishing
INFORMACIÓN T

USB Hacking

Xploitz
Ransomware

Aircrack-ng

Malware

SpyWare
CARACTERIZACIÓN DE RIESGOS A PARTIR

ESCENARIO DE RIESGO

La infección de las máquinas de los trabajadores con programas maliciosos que capturan información y
permiten la entrada al sistema de usuarios sin permiso.

Instalación de app capaces de registrar todo tipo de pulsaciones del teclado, capturando información
valiosa de la organización por entes internos y externos de la organización.

Se realiza un ataque que permite a un individuo sacar el identificador de sesión entre la página del
activo tecnológico y el trabajador, haciéndose pasar por el para acceder a su usuario y contraseña en la
página.

La información de inicio de sección del trabajador se ve expuesta cuando entes externos atacan con
snifer las redes públicas de la empresa, donde se accede a cookies de los navegadores para suplantar a la
víctima.

La empresa se ve expuesta a hacer monitoreada a través de app que son instaladas por los trabajadores
sin consentimiento, permitiendo el acceso a la información valiosa.

La organización se verá expuesta a un ataque donde el intruso podrá leer, insertar y modificar la
comunicación entre dos usuarios o sistemas, permitiéndole interceptar información valiosa entre las
dos víctimas.
La empresa podrá ser víctima de ataques cibernéticos de Botnets que se caracterizar por ser un conjunto
o red de algoritmos inteligentes que funcionan de manera autónoma y automática, controlando
ordenadores y servidores infectados de forma remota.

La empresa correrá el riesgo de ser atacada en su sistema de redes y servidores DNS para de esta forma
el intruso poder tener control sobre las consultas que sus trabajadores realizan.

La empresa correrá el riesgo de ser atacada por un individuo interno o externo de la organización,
donde mediante una USB podrá capturar información valiosa de la empresa.

Los trabajadores de la empresa correrán el riesgo de ser atacados por una suplantación de identidad del
sitio web donde un Xploitz recreara la interfaz gráfica usual de inicio de sesión.

La empresa se verá afectada cuando un externo infecte el sistema con un capturado o secuestrador de
información, pidiendo a cambio un rescate de la información a cambio de dinero.

La empresa sufrirá un daño en sus redes tanto wifi como locales mediante la captura de paquetes que se
transmiten en la red, permitiendo desencriptar el usuario y login de esta, además de valiosa
información.

Los trabajadores en sus procesos cotidianos podrán aceptar sin darse cuenta algún tipo de software
malicioso, capas de borrar información valiosa y generar errores en el sistema.
Los trabajadores en sus procesos cotidianos corren el riego de aceptar software malicioso capas de
monitorear, y capturar información valiosa de la organización.

La infección de las máquinas de los trabajadores con programas maliciosos que capturan información y
permiten la entrada al sistema de usuarios sin permiso.

Instalación de app capaces de registrar todo tipo de pulsaciones del teclado, capturando información
valiosa de la organización por entes internos y externos de la organización.

Se realiza un ataque que permite a un individuo sacar el identificador de sesión entre la página del
activo tecnológico y el trabajador, haciéndose pasar por el para acceder a su usuario y contraseña en la
página.

La información de inicio de sección del trabajador se ve expuesta cuando entes externos atacan con
snifer las redes públicas de la empresa, donde se accede a cookies de los navegadores para suplantar a la
víctima.

La empresa se ve expuesta a hacer monitoreada a través de app que son instaladas por los trabajadores
sin consentimiento, permitiendo el acceso a la información valiosa.

La empresa podrá ser víctima de ataques cibernéticos de Botnets que se caracterizar por ser un conjunto
o red de algoritmos inteligentes que funcionan de manera autónoma y automática, controlando
ordenadores y servidores infectados de forma remota.

La empresa correrá el riesgo de ser atacada por un individuo interno o externo de la organización,
donde mediante una USB podrá capturar información valiosa de la empresa.
Los trabajadores de la empresa correrán el riesgo de ser atacados por una suplantación de identidad del
sitio web donde un Xploitz recreara la interfaz gráfica usual de inicio de sesión.

La empresa se verá afectada cuando un externo infecte el sistema con un capturado o secuestrador de
información, pidiendo a cambio un rescate de la información a cambio de dinero.

La empresa sufrirá un daño en sus redes tanto wifi como locales mediante la captura de paquetes que se
transmiten en la red, permitiendo desencriptar el usuario y login de esta, además de valiosa
información.

Los trabajadores en sus procesos cotidianos podrán aceptar sin darse cuenta algún tipo de software
malicioso, capas de borrar información valiosa y generar errores en el sistema.

Los trabajadores en sus procesos cotidianos corren el riego de aceptar software malicioso capas de
monitorear, y capturar información valiosa de la organización.

La infección de las máquinas de los trabajadores con programas maliciosos que capturan información y
permiten la entrada al sistema de usuarios sin permiso.

Instalación de app capaces de registrar todo tipo de pulsaciones del teclado, capturando información
valiosa de la organización por entes internos y externos de la organización.
Se realiza un ataque que permite a un individuo sacar el identificador de sesión entre la página del
activo tecnológico y el trabajador, haciéndose pasar por el para acceder a su usuario y contraseña en la
página.

La información de inicio de sección del trabajador se ve expuesta cuando entes externos atacan con
snifer las redes públicas de la empresa, donde se accede a cookies de los navegadores para suplantar a la
víctima.

La empresa se ve expuesta a hacer monitoreada a través de app que son instaladas por los trabajadores
sin consentimiento, permitiendo el acceso a la información valiosa.

La organización se verá expuesta a un ataque donde el intruso podrá leer, insertar y modificar la
comunicación entre dos usuarios o sistemas, permitiéndole interceptar información valiosa entre las
dos víctimas.

La empresa podrá ser víctima de ataques cibernéticos de Botnets que se caracterizar por ser un conjunto
o red de algoritmos inteligentes que funcionan de manera autónoma y automática, controlando
ordenadores y servidores infectados de forma remota.

La empresa correrá el riesgo de ser atacada en su sistema de redes y servidores DNS para de esta forma
el intruso poder tener control sobre las consultas que sus trabajadores realizan.

La empresa se vera expuesta a múltiples ataques de phishing que intentaran plagiar los sitios web, con
la cual la empresa tenga soporte y lograr obtener las credenciales de acceso de esta. La información de
esta se vera afectada ya que las credenciales serán parte de terceros y obtendrán acceso a archivos de la
empresa.

La empresa correrá el riesgo de ser atacada por un individuo interno o externo de la organización,
donde mediante una USB podrá capturar información valiosa de la empresa.
Los trabajadores de la empresa correrán el riesgo de ser atacados por una suplantación de identidad del
sitio web donde un Xploitz recreara la interfaz gráfica usual de inicio de sesión.

La empresa se verá afectada cuando un externo infecte el sistema con un capturado o secuestrador de
información, pidiendo a cambio un rescate de la información a cambio de dinero.

La empresa sufrirá un daño en sus redes tanto wifi como locales mediante la captura de paquetes que se
transmiten en la red, permitiendo desencriptar el usuario y login de esta, además de valiosa
información.

Los trabajadores en sus procesos cotidianos podrán aceptar sin darse cuenta algún tipo de software
malicioso, capas de borrar información valiosa y generar errores en el sistema.

Los trabajadores en sus procesos cotidianos corren el riego de aceptar software malicioso capas de
monitorear, y capturar información valiosa de la organización.

La infección de las máquinas de los trabajadores con programas maliciosos que capturan información y
permiten la entrada al sistema de usuarios sin permiso.

Instalación de app capaces de registrar todo tipo de pulsaciones del teclado, capturando información
valiosa de la organización por entes internos y externos de la organización.
Se realiza un ataque que permite a un individuo sacar el identificador de sesión entre la página del
activo tecnológico y el trabajador, haciéndose pasar por el para acceder a su usuario y contraseña en la
página.

La información de inicio de sección del trabajador se ve expuesta cuando entes externos atacan con
snifer las redes públicas de la empresa, donde se accede a cookies de los navegadores para suplantar a la
víctima.

La empresa se ve expuesta a hacer monitoreada a través de app que son instaladas por los trabajadores
sin consentimiento, permitiendo el acceso a la información valiosa.

La organización se verá expuesta a un ataque donde el intruso podrá leer, insertar y modificar la
comunicación entre dos usuarios o sistemas, permitiéndole interceptar información valiosa entre las
dos víctimas.

La empresa podrá ser víctima de ataques cibernéticos de Botnets que se caracterizar por ser un conjunto
o red de algoritmos inteligentes que funcionan de manera autónoma y automática, controlando
ordenadores y servidores infectados de forma remota.

La empresa correrá el riesgo de ser atacada en su sistema de redes y servidores DNS para de esta forma
el intruso poder tener control sobre las consultas que sus trabajadores realizan.

La empresa se vera expuesta a múltiples ataques de phishing que intentaran plagiar los sitios web, con
la cual la empresa tenga soporte y lograr obtener las credenciales de acceso de esta. La información de
esta se vera afectada ya que las credenciales serán parte de terceros y obtendrán acceso a archivos de la
empresa.

La empresa correrá el riesgo de ser atacada por un individuo interno o externo de la organización,
donde mediante una USB podrá capturar información valiosa de la empresa.
Los trabajadores de la empresa correrán el riesgo de ser atacados por una suplantación de identidad del
sitio web donde un Xploitz recreara la interfaz gráfica usual de inicio de sesión.

La empresa se verá afectada cuando un externo infecte el sistema con un capturado o secuestrador de
información, pidiendo a cambio un rescate de la información a cambio de dinero.

La empresa sufrirá un daño en sus redes tanto wifi como locales mediante la captura de paquetes que se
transmiten en la red, permitiendo desencriptar el usuario y login de esta, además de valiosa
información.

Los trabajadores en sus procesos cotidianos podrán aceptar sin darse cuenta algún tipo de software
malicioso, capas de borrar información valiosa y generar errores en el sistema.

Los trabajadores en sus procesos cotidianos corren el riego de aceptar software malicioso capas de
monitorear, y capturar información valiosa de la organización.

La infección de las máquinas de los trabajadores con programas maliciosos que capturan información y
permiten la entrada al sistema de usuarios sin permiso.

Instalación de app capaces de registrar todo tipo de pulsaciones del teclado, capturando información
valiosa de la organización por entes internos y externos de la organización.

Se realiza un ataque que permite a un individuo sacar el identificador de sesión entre la página del
activo tecnológico y el trabajador, haciéndose pasar por el para acceder a su usuario y contraseña en la
página.
La información de inicio de sección del trabajador se ve expuesta cuando entes externos atacan con
snifer las redes públicas de la empresa, donde se accede a cookies de los navegadores para suplantar a la
víctima.

La empresa se ve expuesta a hacer monitoreada a través de app que son instaladas por los trabajadores
sin consentimiento, permitiendo el acceso a la información valiosa.

La organización se verá expuesta a un ataque donde el intruso podrá leer, insertar y modificar la
comunicación entre dos usuarios o sistemas, permitiéndole interceptar información valiosa entre las
dos víctimas.

La empresa podrá ser víctima de ataques cibernéticos de Botnets que se caracterizar por ser un conjunto
o red de algoritmos inteligentes que funcionan de manera autónoma y automática, controlando
ordenadores y servidores infectados de forma remota.

La empresa correrá el riesgo de ser atacada en su sistema de redes y servidores DNS para de esta forma
el intruso poder tener control sobre las consultas que sus trabajadores realizan.

La empresa se vera expuesta a múltiples ataques de phishing que intentaran plagiar los sitios web, con
la cual la empresa tenga soporte y lograr obtener las credenciales de acceso de esta. La información de
esta se vera afectada ya que las credenciales serán parte de terceros y obtendrán acceso a archivos de la
empresa.

La empresa correrá el riesgo de ser atacada por un individuo interno o externo de la organización,
donde mediante una USB podrá capturar información valiosa de la empresa.

Los trabajadores de la empresa correrán el riesgo de ser atacados por una suplantación de identidad del
sitio web donde un Xploitz recreara la interfaz gráfica usual de inicio de sesión.
La empresa se verá afectada cuando un externo infecte el sistema con un capturado o secuestrador de
información, pidiendo a cambio un rescate de la información a cambio de dinero.

La empresa sufrirá un daño en sus redes tanto wifi como locales mediante la captura de paquetes que se
transmiten en la red, permitiendo desencriptar el usuario y login de esta, además de valiosa
información.

Los trabajadores en sus procesos cotidianos podrán aceptar sin darse cuenta algún tipo de software
malicioso, capas de borrar información valiosa y generar errores en el sistema.

Los trabajadores en sus procesos cotidianos corren el riego de aceptar software malicioso capas de
monitorear, y capturar información valiosa de la organización.
A PARTIR DE CONTROLES (ISO/IEC 27002)
CID EVALUACION DE RIESGO

C I D PROBABILIDAD IMPACTO RIESGO

X 5 5 25

X 10 10 100

X 1 5 5

X 1 1 1

X 5 10 50

X 1 10 10
X 1 1 1

X 1 1 1

X 1 5 5

X 1 5 5

X 1 1 1

X 1 5 5

X 1 1 1
X 1 5 5

X 1 5 5

X 1 5 5

X 1 5 5

X 1 5 5

X 1 5 5

X 1 5 5

X 1 5 5
X 1 1 1

X 1 1 1

X 1 5 5

X 1 1 1

X 1 5 5

X 5 5 25

X 10 1 10
X 1 5 5

X 1 1 1

X 10 5 50

X 10 1 10

X 5 1 5

X 10 1 10

X 10 1 10

X 5 5 25
X 10 10 100

X 5 5 25

X 1 5 5

X 5 10 50

X 5 10 50

X 5 10 50

X 10 10 100
X 1 10 10

X 1 5 5

X 5 10 50

X 10 10 100

X 1 10 10

X 5 10 50

X 10 10 100

X 10 10 100
X 5 10 50

X 10 10 100

X 5 10 50

X 1 5 5

X 5 5 25

X 10 5 50

X 10 5 50

X 5 5 25
X 1 5 5

X 5 1 5

X 5 1 5

X 5 1 5

X 5 1 5

X 10 1 10

X 1 5 5

X 1 1 1
X 1 1 1

X 1 1 1

X 1 5 5

X 1 1 1
Rango de ACEPTABILIDAD
VULNERABILIDAD INHERENTE
Valorizacion CONTROL

25% ACEPTABLE 4

100% INACEPTABLE 6

5% ACEPTABLE 7

1% ACEPTABLE 9

50% TOLERABLE 4

10% ACEPTABLE 5
1% ACEPTABLE 6

1% ACEPTABLE 7

5% ACEPTABLE 5

5% ACEPTABLE 9

1% ACEPTABLE 4

5% ACEPTABLE 6

1% ACEPTABLE 10
5% ACEPTABLE 4

5% ACEPTABLE 9

5% ACEPTABLE 8

5% ACEPTABLE 4

5% ACEPTABLE 7

5% ACEPTABLE 6

5% ACEPTABLE 8

5% ACEPTABLE 6
1% ACEPTABLE 4

1% ACEPTABLE 7

5% ACEPTABLE 10

1% ACEPTABLE 5

5% ACEPTABLE 7

25% ACEPTABLE 9

10% ACEPTABLE 4
5% ACEPTABLE 6

1% ACEPTABLE 5

50% TOLERABLE 9

10% ACEPTABLE 7

5% ACEPTABLE 4

10% ACEPTABLE 8

10% ACEPTABLE 5

25% ACEPTABLE 10
100% INACEPTABLE 6

25% ACEPTABLE 4

5% ACEPTABLE 7

50% TOLERABLE 5

50% TOLERABLE 9

50% TOLERABLE 5

100% INACEPTABLE 4
10% ACEPTABLE 6

5% ACEPTABLE 10

50% TOLERABLE 8

100% INACEPTABLE 4

10% ACEPTABLE 4

50% TOLERABLE 3

100% INACEPTABLE 9

100% INACEPTABLE 4
50% TOLERABLE 7

100% INACEPTABLE 10

50% TOLERABLE 6

5% ACEPTABLE 7

25% ACEPTABLE 4

50% TOLERABLE 8

50% TOLERABLE 5

25% ACEPTABLE 4
5% ACEPTABLE 7

5% ACEPTABLE 3

5% ACEPTABLE 5

5% ACEPTABLE 9

5% ACEPTABLE 4

10% ACEPTABLE 5

5% ACEPTABLE 6

1% ACEPTABLE 7
1% ACEPTABLE 5

1% ACEPTABLE 4

5% ACEPTABLE 5

1% ACEPTABLE 6
RIESGO RESIDUAL

PROBABILIDAD IMPACTO RIESO RESIDUAL

3 4.8 14.4

4 9.4 37.6

0.3 4.65 1.395

0.1 0.91 0.091

3 9.6 28.8

0.5 9.5 4.75


0.4 0.94 0.376

0.3 0.93 0.279

0.5 4.75 2.375

0.1 4.55 0.455

0.6 0.96 0.576

0.4 4.7 1.88

0 0.9 0
0.6 4.8 2.88

0.1 4.55 0.455

0.2 4.6 0.92

0.6 4.8 2.88

0.3 4.65 1.395

0.4 4.7 1.88

0.2 4.6 0.92

0.4 4.7 1.88


0.6 0.96 0.576

0.3 0.93 0.279

0 4.5 0

0.5 0.95 0.475

0.3 4.65 1.395

0.5 4.55 2.275

6 0.96 5.76
0.4 4.7 1.88

0.5 0.95 0.475

1 4.55 4.55

3 0.93 2.79

3 0.96 2.88

2 0.92 1.84

5 0.95 4.75

0 4.5 0
4 9.4 37.6

3 4.8 14.4

0.3 4.65 1.395

2.5 9.5 23.75

0.5 9.1 4.55

2.5 9.5 23.75

6 9.6 57.6
0.4 9.4 3.76

0 4.5 0

1 9.2 9.2

6 9.6 57.6

0.6 9.6 5.76

3.5 9.7 33.95

1 9.1 9.1

6 9.6 57.6
1.5 9.3 13.95

0 9 0

2 9.4 18.8

0.3 4.65 1.395

3 4.8 14.4

2 4.6 9.2

5 4.75 23.75

3 4.8 14.4
0.3 4.65 1.395

3.5 0.97 3.395

2.5 0.95 2.375

0.5 0.91 0.455

3 0.96 2.88

5 0.95 4.75

0.4 4.7 1.88

0.3 0.93 0.279


0.5 0.95 0.475

0.6 0.96 0.576

0.5 4.75 2.375

0.4 0.94 0.376


VULNERABILIDAD Rango de
RESIDUAL Valorizacion

14% ACEPTABLE

38% TOLERABLE

1% ACEPTABLE

0% ACEPTABLE

29% TOLERABLE

5% ACEPTABLE
0% ACEPTABLE

0% ACEPTABLE

2% ACEPTABLE

0% ACEPTABLE

1% ACEPTABLE

2% ACEPTABLE

0% ACEPTABLE
3% ACEPTABLE

0% ACEPTABLE

1% ACEPTABLE

3% ACEPTABLE

1% ACEPTABLE

2% ACEPTABLE

1% ACEPTABLE

2% ACEPTABLE
1% ACEPTABLE

0% ACEPTABLE

0% ACEPTABLE

0% ACEPTABLE

1% ACEPTABLE

2% ACEPTABLE

6% ACEPTABLE
2% ACEPTABLE

0% ACEPTABLE

5% ACEPTABLE

3% ACEPTABLE

3% ACEPTABLE

2% ACEPTABLE

5% ACEPTABLE

0% ACEPTABLE
38% TOLERABLE

14% ACEPTABLE

1% ACEPTABLE

24% ACEPTABLE

5% ACEPTABLE

24% ACEPTABLE

58% INACEPTABLE
4% ACEPTABLE

0% ACEPTABLE

9% ACEPTABLE

58% INACEPTABLE

6% ACEPTABLE

34% TOLERABLE

9% ACEPTABLE

58% INACEPTABLE
14% ACEPTABLE

0% ACEPTABLE

19% ACEPTABLE

1% ACEPTABLE

14% ACEPTABLE

9% ACEPTABLE

24% ACEPTABLE

14% ACEPTABLE
1% ACEPTABLE

3% ACEPTABLE

2% ACEPTABLE

0% ACEPTABLE

3% ACEPTABLE

5% ACEPTABLE

2% ACEPTABLE

0% ACEPTABLE
0% ACEPTABLE

1% ACEPTABLE

2% ACEPTABLE

0% ACEPTABLE
TABLA VULNERABILIDAD AL RIESGO

AMENAZA VLR RIESGO CALIFICACÍON


Stealers 31 TOLERABLE
KeyLogging 53 INACEPTABLE
Session Hijacking 10 ACEPTABLE
Side Jacking/Firesheep 3.4 ACEPTABLE
Mobile Phone Hacking 32 TOLERABLE
Main in the Middle Attack 31.25 TOLERABLE
Botnets 5.2 ACEPTABLE
DNS Spoofing 16.5 ACEPTABLE
USB Hacking 28 TOLERABLE
Xploitz 31.4 TOLERABLE
Ransomware 25.6 TOLERABLE
Aircrack-ng 13.2 ACEPTABLE
Malware 12.4 ACEPTABLE
SpyWare 17.2 ACEPTABLE
Phishing 26 TOLERABLE

En el primer analisis realizado se encontro que el keylogging es la amenaza con un mayor riesgo con un valor de 5
y la amenaza con menor riesgo es el side jacking/ firesheep con un valor de riesgo de 3,4, y el cual se lo resalta de

según los datos que nos deja la tabla de vulnerabilidad al riego podemos observar y deducir que tenemos: 8 ame
CALIFICACÍON Count - CALIFICACÍON
ACEPTABLE 7 Total
INACEPTABLE 1
TOLERABLE 7
7
Total Result 15

15

menaza con un mayor riesgo con un valor de 53, lo cual ante la calificacion dentro de la auditoria, y con los rangos de evalucion que se esta
valor de riesgo de 3,4, y el cual se lo resalta de color verde y se califica al riesgo como aceptable.

emos observar y deducir que tenemos: 8 amenazas con calificacion aceptable, lo que quiere decir que su valor de riesgo es menor a 25.
6 amenazas con una calificacion de tolerable, lo que quiere decir que su valor de riesgo es m
1 amenaza con calificacion inaceptable, lo que quiere decir que la amenaza tieen un valor d
Total

ACEPTABLE
INACEPTABLE
TOLERABLE
1 Tota l Res ul t

los rangos de evalucion que se establecieron, es inaceptable y se lo resalta con color rojo.

su valor de riesgo es menor a 25.


ere decir que su valor de riesgo es mayor a 25 y menor o igual a 50.
ecir que la amenaza tieen un valor de riesgo superior a 50.
TABLA RIESGO RESIDUAL

RIESGO
AMENAZA CALIFICACÍON
RESIDUAL
Stealers 10 ACEPTABLE
KeyLogging 25 TOLERABLE
Session Hijacking 5 ACEPTABLE
Side Jacking/Firesheep 1 ACEPTABLE
Mobile Phone Hacking 10 ACEPTABLE
Main in the Middle Attack 17 ACEPTABLE
Botnets 2 ACEPTABLE
DNS Spoofing 10 ACEPTABLE
USB Hacking 13 ACEPTABLE
Xploitz 11 ACEPTABLE
Ransomware 3 ACEPTABLE
Aircrack-ng 5 ACEPTABLE
Malware 6 ACEPTABLE
SpyWare 5 ACEPTABLE
Phishing 7 ACEPTABLE

En el analisis despues de implementar los controles ante las amenazas los resultados generados son los siguientes
tenemos 14 amenazas calificadas como aceptable lo que quieres decir que el valor de riesgo residual, (osea el reis
y tenemos 1 a menza con calificacion tolerable, donde su valor de riesgo residual es mayora 25 y menor o igual a
Tenemos que el número de amenazas calificadas como inaceptable paso de existir 1 a 0.
De las amenazas calificadas como tolerables paso de 6 a 1 sola amenaza con esta calificación, por lo cual podemo
CALIFICACÍON Count - CALIFICACÍON
Total
ACEPTABLE 14
TOLERABLE 1
Total Result 15

14
15

as los resultados generados son los siguientes:


cir que el valor de riesgo residual, (osea el reisgo despues de implementar los controles) es menor a 25.
esgo residual es mayora 25 y menor o igual a 50.
paso de existir 1 a 0.
naza con esta calificación, por lo cual podemos deducir que los controles implementados son efectivos y apropiados para las amenazas que
Total

ACEPTABLE
TOLERABLE
14
Tota l Res ul t

os para las amenazas que presentaba la empresa