Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción ................................................................................................................................................ 3
1.Definición del Alcance ............................................................................................................................. 4
2.Organigrama ............................................................................................................................................ 5
3.Identificación de activos ........................................................................................................................ 6
4.Identificación de Amenazas................................................................................................................. 11
5.Identificación de Vulnerabilidades ....................................................................................................... 27
6. Calificación de la Gestión ..................................................................................................................... 41
7. Mapa de Calor ....................................................................................................................................... 53
8. controles a aplicar ................................................................................................................................ 54
Recomendaciones y Conclusiones ............................................................................................................ 70
Referencias................................................................................................................................................. 73
Introducción
para el escenario propuesto donde se realizó paso a paso la primera fase cada una de las fases
del curso que comprende desde la caracterización de la organización, definición del alcance de
Para la realización del ejercicio fue necesario dar lectura a la metodología MAGERIT y tomar
como base la nomenclatura de dicho libro para estandarizar la identificación de activos y sus
Direccion
General
Auditoria
Registro y
Departamento
Docentes Administrativos control
de sistemas
academico
Equipos de Desarrollo de
Soporte Tecnico
computo aplicaciones
Servicios de
Servidores Culturizacion
Internet
Redes de Datos
3. Identificación de activos
15% 2% 2% 9%
6%
17%
21%
28%
atributos de cada uno de los activos correspondientes a la hoja activos y valoración cualitativa del
[L] INSTALACIONES
información del activo
[SW] SOFTWARE
[P] PERSONAL
[S] SERVICIOS
[D] DATOS
1 [Host] Servidor de impresión DTO DE SISTEMAS Pedro Javier Bayter Sánchez x
2 [Host] servidor FTP DTO DE SISTEMAS Pedro Javier Bayter Sánchez x
3 [sub] Pagina Web DTO DE SISTEMAS Esperanza Becerra x
[Host] servidor de registro y
4 DTO DE SISTEMAS Pedro Javier Bayter Sánchez x
control academico
5 [Host] Servidor DHCP DTO DE SISTEMAS Pedro Javier Bayter Sánchez x
[pc] Equipos de computo para
6 DTO CONTABILIDAD Camila trujillo x
gestion de sistema Contable
[firewall] Cortafuesgos cisco
7 DTO DE SISTEMAS Pedro Javier Bayter Sánchez x
ASA 5500
[pc] Equipos de computo para
8 DTO DE REGISTRO Y CONTROL Camila trujillo x
registro y control academico
[pc] Equipos de computo para
9 DTO ACADEMICO Edwin Omar Valencia x
academia
[hub] puntos de acceso
10 DTO DE SISTEMAS Pedro Javier Bayter Sánchez x
alambrico
[switch] Switch cisco catalyst
11 DTO DE SISTEMAS Pedro Javier Bayter Sánchez x
2960
12 [op] tecnicos de Mantenimiento DTO SISTEMAS Edwin Omar Valencia x
13 [ipphone] Telefonos Ip CENTRO DE ESTUDIOS Edwin Giovany Vasquez x
14 [wap] puntos de acceso CENTRO DE ESTUDIOS Edwin Giovany Vasquez x
15 [ui] estudiantes CENTRO DE ESTUDIOS Edwin Giovany Vasquez x
[email] correo electronico
16 CENTRO DE ESTUDIOS Edwin Giovany Vasquez x
institucional
17 [sub] Campus virtual CENTRO DE ESTUDIOS Esperanza Becerra x
18 [os] windows 10 CENTRO DE ESTUDIOS Edwin Giovany Vasquez x
19 [sub] Biblioteca virtual CENTRO DE ESTUDIOS Esperanza Becerra x
[prp] sistema de registro y
20 DTO DE REGISTRO Y CONTROL Camila trujillo x
control academico
21 [ext] videoconferencia DTO DE SISTEMAS Esperanza Becerra x
22 [std] Apache DTO DE SISTEMAS Esperanza Becerra x
23 [std]PHP 5.6.30 DTO DE SISTEMAS Esperanza Becerra x
24 [std]MySQL 5.7 DTO DE SISTEMAS Esperanza Becerra x
25 [std]PHPmyAdmin x
[print] Impresora HP LaserJet
26 CENTRO DE ESTUDIOS Edwin Giovany Vasquez x
Enterprise serie 600
27 [des] Desarrolladores DTO DE SISTEMAS Edwin Omar Valencia x
28 [ui]Docentes CENTRO DE ESTUDIOS Edwin Giovany Vasquez x
[ipm] Gestion de usuarios y
29 DTO DE SISTEMAS Esperanza Becerra x
contraseñas
30 [op]tecnico soporte de redes DTO DE SISTEMAS Edwin Omar Valencia x
[files] Base de datos registro y
31 DTO DE REGISTRO Y CONTROL Camila trujillo x
control
32 [files] Base de datos Biblioteca CENTRO DE ESTUDIOS Edwin Giovany Vasquez x
[password] Contraseñas de
33 DTO DE SISTEMAS Pedro Javier Bayter Sánchez x
acceso a campus virtual
34 [site] Departamento de sistemas DTO DE SISTEMAS Edwin Omar Valencia x
35 [site] sala de internet DTO DE SISTEMAS Edwin Omar Valencia x
36 [site] sala de sistemas DTO DE SISTEMAS Edwin Omar Valencia x
DATOS DEL ACTIVO DE INFORMACION TIPO
[L] INSTALACIONES
información del activo
[SW] SOFTWARE
[P] PERSONAL
[S] SERVICIOS
[D] DATOS
[site]Depatamento antiguo de
37 DTO DE SISTEMAS Edwin Omar Valencia x
sistemas
38 [site] sala de profesores DTO ACADEMICO Camila trujillo x
[site] oficina de registro y
39 DTO DE REGISTRO Y CONTROL Camila trujillo x
control academico
40 [site] oficina contabilidad DTO CONTABILIDAD Camila trujillo x
41 [site] campus universitario CENTRO DE ESTUDIOS Edwin Giovany Vasquez x
[buildibg] edificio centro de
42 CENTRO DE ESTUDIOS Edwin Giovany Vasquez x
estudios superiores
43 [prov] Empresa Godaddy DTO DE SISTEMAS Edwin Omar Valencia X
44 [std] Antivirus DTO DE SISTEMAS Esperanza Becerra X
45 [com] Canal ancho de banda DTO DE SISTEMAS Pedro Javier Bayter Sánchez X
46 [ui] usuarios Administrativos DTO DE REGISTRO Y CONTROL Edwin Giovany Vasquez x
[print] Impresora SMART Sala de Docentes y
47 Camila trujillo X
MultiXpress M4370LX Funcionarios
[std] Sistemas operativos
48 Departamento de Sistemas Esperanza Becerra X
Servidores
Cuadro No 2 Atributos de los activos identificados
DATOS DEL ACTIVO DE ATRIBUTOS UBICACIÓN
empleados?
terceros
No. Nombre del activo de
Important Físico Electrónico
información Leve Grave
e
empleados?
terceros
internas
No. Nombre del activo de
Important Físico Electrónico
información Leve Grave
e
[site]Depatamento antiguo de
37 no si si si si si x x
sistemas
38 [site] sala de profesores no si si si si si x x
[site] oficina de registro y
39 no si si si si si x x
control academico
40 [site] oficina contabilidad no si si si si si x x
41 [site] campus universitario no no no no si si x x
[buildibg] edificio centro de
42 no no no no si si x x
estudios superiores
43 [prov] Empresa Godaddy no si no si si si x X
44 [std] Antivirus no no si no si si x X
45 [com] Canal ancho de banda no no si si si si x X
46 [ui] usuarios Administrativos no no si si si no x x
[print] Impresora SMART
47 no no si no no no x x
MultiXpress M4370LX
[std] Sistemas operativos
48 SI SI SI SI SI SI X X
Servidores
4. Identificación de Amenazas
Amenazas
Activos de Informacion Nombre del activo de información
Metodologia Magerit
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[A11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio
[A.25] Robo
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos
(Hardware)
[E.24] Caida del sistema por agotamiento de recursos
[E.25]Perdida de equipos
[HW] EQUIPAMENTO INFORMÁTICO [Host] servidor FTP
[I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
Amenazas
Activos de Informacion Nombre del activo de información
Metodologia Magerit
[A11] Acceso no autorizado
[A.10] Alteracion de secuencia
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[SW] SOFTWARE [sub] Pagina Web
[E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
[A11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio
[A.25] Robo
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[E.24] Caida del sistema por agotamiento de recursos
[Host] servidor de registro y [E.25]Perdida de equipos
[HW] EQUIPAMENTO INFORMÁTICO
control academico [I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[A11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio
[A.25] Robo
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[E.24] Caida del sistema por agotamiento de recursos
[E.25]Perdida de equipos
[HW] EQUIPAMENTO INFORMÁTICO [Host] Servidor DHCP
[I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
Amenazas
Activos de Informacion Nombre del activo de información
Metodologia Magerit
[A11] Acceso no autorizado
[A.10] Alteracion de secuencia
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[SW] SOFTWARE [sub] Pagina Web
[E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
[A11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio
[A.25] Robo
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[E.24] Caida del sistema por agotamiento de recursos
[Host] servidor de registro y [E.25]Perdida de equipos
[HW] EQUIPAMENTO INFORMÁTICO
control academico [I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[A11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio
[A.25] Robo
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[E.24] Caida del sistema por agotamiento de recursos
[E.25]Perdida de equipos
[HW] EQUIPAMENTO INFORMÁTICO [Host] Servidor DHCP
[I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
Amenazas
Activos de Informacion Nombre del activo de información
Metodologia Magerit
[A7] Uso no previsto
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio
[A.25] Robo
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[E.24] Caida del sistema por agotamiento de recursos
[pc] Equipos de computo para [E.25]Perdida de equipos
[HW] EQUIPAMENTO INFORMÁTICO
gestion de sistema Contable [I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[A7] Uso no previsto
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio
[A.25] Robo
[A.26] Ataque Destructivo
[A.28] Indisponibilidad de personal
[A.29] Extorsion
[A.30] Ingenirei social
[A.6] Abusos de privilegios de acceso
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[pc] Equipos de computo para [E.24] Caida del sistema por agotamiento de recursos
[HW] EQUIPAMENTO INFORMÁTICO
academia [E.25]Perdida de equipos
[E.28] Indisponibilidad de personal
[E.7] Deficiencias en la organizacion
[I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[A.28] Indisponibilidad de personal
[A.29] Extorsion
[A.30] Ingenirei social
[P] PERSONAL [op] tecnicos de Mantenimiento
[E.19] Fugas de informacion
[E.28] Indisponibilidad de personal
[E.7] Deficiencias en la organizacion
Amenazas
Activos de Informacion Nombre del activo de información
Metodologia Magerit
[I5] Avería de origen físico o lógico
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio
[A.25] Robo
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[E.24] Caida del sistema por agotamiento de recursos
[HW] EQUIPAMENTO INFORMÁTICO [hub] puntos de acceso alambrico [E.25]Perdida de equipos
[I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[I5] Avería de origen físico o lógico
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.25] Robo
[A.26] Ataque Destructivo
[A.7] Uso no previsto
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[E.25]Perdida de equipos
[I.*] Desastres Industriales
[I.1] fuego
[AUX] EQUIPAMENTO AUXILIAR [ipphone] Telefonos Ip
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[i.9] Interrupcion de otros servicios y suministros esenciales
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio
[A.25] Robo
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[E.24] Caida del sistema por agotamiento de recursos
[E.25]Perdida de equipos
[firewall] Cortafuesgos cisco ASA
[HW] EQUIPAMENTO INFORMÁTICO [I.*] Desastres Industriales
5500
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
Amenazas
Activos de Informacion Nombre del activo de información
Metodologia Magerit
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio
[A.25] Robo
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio
[A.25] Robo
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[A.28] Indisponibilidad de personal
[A.29] Extorsion
[A.30] Ingenirei social
[P] PERSONAL [op] tecnicos de Mantenimiento
[E.19] Fugas de informacion
[E.28] Indisponibilidad de personal
[E.7] Deficiencias en la organizacion
Amenazas
Activos de Informacion Nombre del activo de información
Metodologia Magerit
[I5] Avería de origen físico o lógico
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio
[A.25] Robo
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[E.24] Caida del sistema por agotamiento de recursos
[HW] EQUIPAMENTO INFORMÁTICO [hub] puntos de acceso alambrico [E.25]Perdida de equipos
[I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[I5] Avería de origen físico o lógico
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.25] Robo
[A.26] Ataque Destructivo
[A.7] Uso no previsto
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[E.25]Perdida de equipos
[I.*] Desastres Industriales
[I.1] fuego
[AUX] EQUIPAMENTO AUXILIAR [ipphone] Telefonos Ip
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[i.9] Interrupcion de otros servicios y suministros esenciales
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio
[A.25] Robo
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[E.24] Caida del sistema por agotamiento de recursos
[firewall] Cortafuesgos cisco ASA [E.25]Perdida de equipos
[HW] EQUIPAMENTO INFORMÁTICO
5500 [I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
Amenazas
Activos de Informacion Nombre del activo de información
Metodologia Magerit
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio
[A.25] Robo
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[E.24] Caida del sistema por agotamiento de recursos
[pc] Equipos de computo para [E.25]Perdida de equipos
[HW] EQUIPAMENTO INFORMÁTICO
registro y control academico [I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio
[A.25] Robo
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[E.24] Caida del sistema por agotamiento de recursos
[switch] Switch cisco catalyst [E.25]Perdida de equipos
[HW] EQUIPAMENTO INFORMÁTICO
2960 [I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio
[A.25] Robo
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[E.24] Caida del sistema por agotamiento de recursos
[E.25]Perdida de equipos
[HW] EQUIPAMENTO INFORMÁTICO [wap] puntos de acceso [I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[i.9] Interrupcion de otros servicios y suministros esenciales
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
Amenazas
Activos de Informacion Nombre del activo de información
Metodologia Magerit
[A.28] Indisponibilidad de personal
[A.29] Extorsion
[A.30] Ingenirei social
[P] PERSONAL [ui] estudiantes
[E.19] Fugas de informacion
[E.28] Indisponibilidad de personal
[E.7] Deficiencias en la organizacion
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.13] Repudio
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.24] Denegacion de servicio
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[email] correo electronico
[S] SERVICIOS [A.7] Uso no previsto
institucional
[A.9] Reencaminamiento de mensajes
[E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[E.24] Caida del sistema por agotamiento de recursos
[E.9] Errores de re-encaminamiento
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[SW] SOFTWARE [sub] Campus virtual
[E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[SW] SOFTWARE [os] windows 10
[E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
Amenazas
Activos de Informacion Nombre del activo de información
Metodologia Magerit
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[SW] SOFTWARE [sub] Biblioteca virtual
[E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[prp] sistema de registro y control [A.9] Reencaminamiento de mensajes
[SW] SOFTWARE
academico [E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.13] Repudio
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.24] Denegacion de servicio
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[S] SERVICIOS [ext] videoconferencia [A.7] Uso no previsto
[A.9] Reencaminamiento de mensajes
[E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[E.24] Caida del sistema por agotamiento de recursos
[E.9] Errores de re-encaminamiento
Amenazas
Activos de Informacion Nombre del activo de información
Metodologia Magerit
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[SW] SOFTWARE [std] Apache
[E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[SW] SOFTWARE [std]PHP 5.6.30
[E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[SW] SOFTWARE [std]MySQL 5.7
[E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
Amenazas
Activos de Informacion Nombre del activo de información
Metodologia Magerit
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[SW] SOFTWARE [std]PHPmyAdmin
[E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[SW] SOFTWARE [std] Antivirus
[E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
[E.19] Fugas de informacion
[P] PERSONAL [prov] Empresa Godaddy
[E.7] Deficiencias en la organizacion
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.26] Ataque Destructivo
[A.27] Ocupacion Enemiga
[A.7] Uso no previsto
[E.15] Alteracion accidental de informacion
[buildibg] edificio centro de
[L] INSTALACIONES [E.18] Destruccion de informacion
estudios superiores
[E.19] Fugas de informacion
[I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
Amenazas
Activos de Informacion Nombre del activo de información
Metodologia Magerit
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.26] Ataque Destructivo
[A.27] Ocupacion Enemiga
[A.7] Uso no previsto
[E.15] Alteracion accidental de informacion
[L] INSTALACIONES [site] campus universitario [E.18] Destruccion de informacion
[E.19] Fugas de informacion
[I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.26] Ataque Destructivo
[A.27] Ocupacion Enemiga
[A.7] Uso no previsto
[E.15] Alteracion accidental de informacion
[site] oficina de registro y control
[L] INSTALACIONES [E.18] Destruccion de informacion
academico
[E.19] Fugas de informacion
[I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.26] Ataque Destructivo
[A.27] Ocupacion Enemiga
[A.7] Uso no previsto
[E.15] Alteracion accidental de informacion
[L] INSTALACIONES [site] sala de profesores [E.18] Destruccion de informacion
[E.19] Fugas de informacion
[I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[L] INSTALACIONES [A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.26] Ataque Destructivo
[A.27] Ocupacion Enemiga
[A.7] Uso no previsto
[E.15] Alteracion accidental de informacion
[site]Depatamento antiguo de
[E.18] Destruccion de informacion
sistemas
[E.19] Fugas de informacion
[I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
Amenazas
Activos de Informacion Nombre del activo de información
Metodologia Magerit
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.26] Ataque Destructivo
[A.27] Ocupacion Enemiga
[A.7] Uso no previsto
[E.15] Alteracion accidental de informacion
[L] INSTALACIONES [site] sala de sistemas [E.18] Destruccion de informacion
[E.19] Fugas de informacion
[I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.26] Ataque Destructivo
[A.27] Ocupacion Enemiga
[A.7] Uso no previsto
[E.15] Alteracion accidental de informacion
[L] INSTALACIONES [site] sala de internet [E.18] Destruccion de informacion
[E.19] Fugas de informacion
[I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.26] Ataque Destructivo
[A.27] Ocupacion Enemiga
[A.7] Uso no previsto
[E.15] Alteracion accidental de informacion
[L] INSTALACIONES [site] Departamento de sistemas [E.18] Destruccion de informacion
[E.19] Fugas de informacion
[I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.5] Suplantacion de la identidad del usuario
[password] Contraseñas de acceso
[D] DATOS [A.6] Abusos de privilegios de acceso
a campus virtual
[E.1] Errores de los usuarios
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador
Amenazas
Activos de Informacion Nombre del activo de información
Metodologia Magerit
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.5] Suplantacion de la identidad del usuario
[D] DATOS [files] Base de datos Biblioteca [A.6] Abusos de privilegios de acceso
[E.1] Errores de los usuarios
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.5] Suplantacion de la identidad del usuario
[files] Base de datos registro y
[D] DATOS [A.6] Abusos de privilegios de acceso
control
[E.1] Errores de los usuarios
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[A.28] Indisponibilidad de personal
[A.29] Extorsion
[P] PERSONAL [op]tecnico soporte de redes [A.30] Ingenirei social
[E.19] Fugas de informacion
[E.7] Deficiencias en la organizacion
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.13] Repudio
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.24] Denegacion de servicio
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[ipm] Gestion de usuarios y
[S] SERVICIOS [A.7] Uso no previsto
contraseñas
[A.9] Reencaminamiento de mensajes
[E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[E.24] Caida del sistema por agotamiento de recursos
[E.9] Errores de re-encaminamiento
[A.28] Indisponibilidad de personal
[A.29] Extorsion
[A.30] Ingenirei social
[P] PERSONAL [ui]Docentes
[E.19] Fugas de informacion
[E.28] Indisponibilidad de personal
[E.7] Deficiencias en la organizacion
[A.28] Indisponibilidad de personal
[A.29] Extorsion
[A.30] Ingenirei social
[P] PERSONAL [des] Desarrolladores
[E.19] Fugas de informacion
[E.28] Indisponibilidad de personal
[E.7] Deficiencias en la organizacion
Amenazas
Activos de Informacion Nombre del activo de información
Metodologia Magerit
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio
[A.25] Robo
[A.26] Ataque Destructivo
[A.28] Indisponibilidad de personal
[A.29] Extorsion
[A.30] Ingenirei social
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[print] Impresora HP LaserJet [E.24] Caida del sistema por agotamiento de recursos
[HW] EQUIPAMENTO INFORMÁTICO
Enterprise serie 600 [E.25]Perdida de equipos
[E.28] Indisponibilidad de personal
[E.7] Deficiencias en la organizacion
[I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.12] Analisis de Trafico
[A.14] Interceptacion de informacion
[A.15] Modificacion deliberada de informacion
[A.19] Divulgacion de informacion
[A.24] Denegacion de servicio
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[COM] REDES DE COMUNICACIONES [com] Canal ancho de banda [A.7] Uso no previsto
[A.9] Reencaminamiento de mensajes
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador
[E.24] Caida del sistema por agotamiento de recursos
[E.9] Errores de re-encaminamiento
[i.8] Falllo de servicios de comunicación
5. Identificación de Vulnerabilidades
[I6] Corte del suministro eléctrico No disponible por falta fluido electrico
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio falla por virus
sustraccion de equipos por falta de barreras perimetrales
[A.25] Robo
adecuadas entre el centro de estudios y el exterior
Ubicado en zona del edificio cercana al Exterior que puede
[A.26] Ataque Destructivo
exponer el servidor a un ataque
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador Fallas de configuracion que permiten exposicion de datos
falta de mantenimiento de equipos servidores o mantenimiento
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
realizado por personal sin la competencia adecuada
[Host] Servidor de [E.24] Caida del sistema por agotamiento de recursos
impresión [E.25]Perdida de equipos
[I.*] Desastres Industriales Daños por fugas o daños en area aledaña de restaurante y cocina
Daños causados por Cableado, tomas electricas en mal estado por
[I.1] fuego
uso no adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
Se encuentra ubicado en un espacio sin condiciones de
[i.7]Condiciones inandecuadas de temperatura o humedad
climatizacion optima
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por
[N.1]Fuego
uso no adecuado que genere sobrecarga electrica
[N.2]Daños por agua
[A11] Acceso no autorizado No se cuenta con control de acceso biometrico o monitoreo}
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio Falla por malware
sustraccion de equipos por falta de barreras perimetrales
[A.25] Robo
adecuadas entre el centro de estudios y el exterior
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
falta de mantenimiento de equipos servidores o mantenimiento
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
realizado por personal sin la competencia adecuada
[E.24] Caida del sistema por agotamiento de recursos
[E.25]Perdida de equipos
[I.*] Desastres Industriales Daños por fugas o daños en area aledaña de restaurante y cocina
Daños causados por Cableado, tomas electricas en mal estado por
[Host] servidor FTP [I.1] fuego
uso no adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
Caida por falta de fluido electrico no se cuenta con respaldo
[i.6] Corte de suministro Electrico
electrico
Se encuentra ubicado en un espacio sin condiciones de
[i.7]Condiciones inandecuadas de temperatura o humedad
climatizacion optima
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por
[N.1]Fuego
uso no adecuado que genere sobrecarga electrica
Fugas de agua causadas por area de restaurante cercano a la
[N.2]Daños por agua instalacion por deficiencia en control de entorno o barreras
fisicas adecuadas
Nombre del activo Amenazas
Vulnerabilidades
de información Metodologia Magerit
[A11] Acceso no autorizado
[A.10] Alteracion de secuencia
Modificacion de la pagina expusta al publico por posibles fallas de
[A.15] Modificacion deliberada de informacion
programacion
[A.18] Destruccion de informacion perdida de informacion por accion de Malware
[A.19] Divulgacion de informacion acceso ainformacion privilegiada desde la pagina web
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario usuarios que dejan sesion de los equipos de computo abierta
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[sub] Pagina Web [A.9] Reencaminamiento de mensajes
[E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
[A11] Acceso no autorizado No se cuenta con control de acceso biometrico o monitoreo}
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio Falla por malware
sustraccion de equipos por falta de barreras perimetrales adecuadas entre
[A.25] Robo
el centro de estudios y el exterior
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos falta de mantenimiento de equipos servidores o mantenimiento realizado
(Hardware) por personal sin la competencia adecuada
[E.24] Caida del sistema por agotamiento de recursos
[E.25]Perdida de equipos
[Host] servidor de [I.*] Desastres Industriales Daños por fugas o daños en area aledaña de restaurante y cocina
registro y control Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
academico adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico Caida por falta de fluido electrico no se cuenta con respaldo electrico
Se encuentra ubicado en un espacio sin condiciones de climatizacion
[i.7]Condiciones inandecuadas de temperatura o humedad
optima
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua Fugas de agua causadas por area de restaurante cercano a la instalacion
por deficiencia en control de entorno o barreras fisicas adecuadas
[A11] Acceso no autorizado No se cuenta con control de acceso biometrico o monitoreo}
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio Falla por malware
sustraccion de equipos por falta de barreras perimetrales adecuadas entre
[A.25] Robo
el centro de estudios y el exterior
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos falta de mantenimiento de equipos servidores o mantenimiento realizado
(Hardware) por personal sin la competencia adecuada
[E.24] Caida del sistema por agotamiento de recursos
[E.25]Perdida de equipos
[Host] Servidor DHCP [I.*] Desastres Industriales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico Caida por falta de fluido electrico no se cuenta con respaldo electrico
Se encuentra ubicado en un espacio sin condiciones de climatizacion
[i.7]Condiciones inandecuadas de temperatura o humedad optima
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
Fugas de agua causadas por area de restaurante cercano a la instalacion
[N.2]Daños por agua
por deficiencia en control de entorno o barreras fisicas adecuadas
Nombre del activo Amenazas
Vulnerabilidades
de información Metodologia Magerit
[A7] Uso no previsto
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio Falla por malware
sustraccion de equipos por falta de barreras perimetrales adecuadas entre
[A.25] Robo
el centro de estudios y el exterior
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos falta de mantenimiento preventivo de equipos
[E.24] Caida del sistema por agotamiento de recursos
[pc] Equipos de [E.25]Perdida de equipos
computo para [I.*] Desastres Industriales
gestion de sistema Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
Contable adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
Caida por falta de fluido electrico no se cuenta con respaldo electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua
[A7] Uso no previsto
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio Falla por malware
sustraccion de equipos por falta de barreras perimetrales adecuadas entre
[A.25] Robo
el centro de estudios y el exterior
[A.26] Ataque Destructivo
Ausencia de personal que realiza el mantenimiento por enfermedad,
[A.28] Indisponibilidad de personal
vacaciones o actividadees personales
[A.29] Extorsion
Manipulacion de empleados por personas con intencion de cometer fraude ,
[A.30] Ingenieria social
extorsion o estafa.
[A.6] Abusos de privilegios de acceso
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos falta de mantenimiento preventivo de equipos
[pc] Equipos de
[E.24] Caida del sistema por agotamiento de recursos
computo para
[E.25]Perdida de equipos
academia
Ausencia de personal que realiza el mantenimiento por enfermedad,
[E.28] Indisponibilidad de personal
vacaciones o actividadees personales
[E.7] Deficiencias en la organizacion
[I.*] Desastres Industriales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
Caida por falta de fluido electrico no se cuenta con respaldo electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua
Ausencia de personal que realiza el mantenimiento por enfermedad,
[A.28] Indisponibilidad de personal
vacaciones o actividadees personales
[A.29] Extorsion
Manipulacion de empleados por personas con intencion de cometer fraude ,
[A.30] Ingenieria social
[op] tecnicos de extorsion o estafa.
Mantenimiento
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
Ausencia de personal que realiza el mantenimiento por enfermedad,
[E.28] Indisponibilidad de personal
vacaciones o actividadees personales
[E.7] Deficiencias en la organizacion
Nombre del activo Amenazas
Vulnerabilidades
de información Metodologia Magerit
[I5] Avería de origen físico o lógico
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio Falla por malware
sustraccion de equipos por falta de barreras perimetrales adecuadas entre
[A.25] Robo
el centro de estudios y el exterior
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos falta de mantenimiento preventivo de equipos
[E.24] Caida del sistema por agotamiento de recursos
[E.25]Perdida de equipos
[hub] puntos de
[I.*] Desastres Industriales
acceso alambrico
Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
Caida por falta de fluido electrico no se cuenta con respaldo electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua
[I5] Avería de origen físico o lógico
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
sustraccion de equipos por falta de barreras perimetrales adecuadas entre
[A.25] Robo
el centro de estudios y el exterior
[A.26] Ataque Destructivo
[A.7] Uso no previsto
[E.23] Errores de mantenimiento/Actualizacion de equipos falta de mantenimiento preventivo de equipos
[E.25]Perdida de equipos
[I.*] Desastres Industriales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
[ipphone] Telefonos adecuado que genere sobrecarga electrica
Ip [i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
Caida por falta de fluido electrico no se cuenta con respaldo electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[i.9] Interrupcion de otros servicios y suministros esenciales
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio Falla por malware
sustraccion de equipos por falta de barreras perimetrales adecuadas entre
[A.25] Robo
el centro de estudios y el exterior
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos falta de mantenimiento preventivo de equipos
[E.24] Caida del sistema por agotamiento de recursos
[E.25]Perdida de equipos
[firewall]
[I.*] Desastres Industriales
Cortafuesgos cisco
Daños causados por Cableado, tomas electricas en mal estado por uso no
ASA 5500 [I.1] fuego
adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
Caida por falta de fluido electrico no se cuenta con respaldo electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua
Nombre del activo Amenazas
Vulnerabilidades
de información Metodologia Magerit
[A.11] Acceso no autorizado falta de mantenimiento de equipos
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio Falla por malware
sustraccion de equipos por falta de barreras perimetrales adecuadas entre
[A.25] Robo
el centro de estudios y el exterior
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos falta de mantenimiento preventivo de equipos
[E.24] Caida del sistema por agotamiento de recursos
[pc] Equipos de [E.25]Perdida de equipos
computo para [I.*] Desastres Industriales
registro y control Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
academico adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
Caida por falta de fluido electrico no se cuenta con respaldo electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio Falla por malware
sustraccion de equipos por falta de barreras perimetrales adecuadas entre
[A.25] Robo
el centro de estudios y el exterior
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos falta de mantenimiento preventivo de equipos
[E.24] Caida del sistema por agotamiento de recursos
[E.25]Perdida de equipos
[switch] Switch [I.*] Desastres Industriales
cisco catalyst 2960 Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
Caida por falta de fluido electrico no se cuenta con respaldo electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio Falla por malware
sustraccion de equipos por falta de barreras perimetrales adecuadas entre
[A.25] Robo
el centro de estudios y el exterior
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos falta de mantenimiento preventivo de equipos
[E.24] Caida del sistema por agotamiento de recursos
[E.25]Perdida de equipos
[I.*] Desastres Industriales
[wap] puntos de
Daños causados por Cableado, tomas electricas en mal estado por uso no
acceso [I.1] fuego
adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
Caida por falta de fluido electrico no se cuenta con respaldo electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[i.9] Interrupcion de otros servicios y suministros esenciales
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua
Nombre del activo Amenazas
Vulnerabilidades
de información Metodologia Magerit
[A.28] Indisponibilidad de personal
[A.29] Extorsion
Manipulacion de empleados por personas con intencion de cometer fraude ,
[A.30] Ingenieria social
extorsion o estafa.
[ui] estudiantes
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.28] Indisponibilidad de personal
[E.7] Deficiencias en la organizacion
[A.10] Alteracion de secuencia ataques de Malware al /
[A.11] Acceso no autorizado
[A.13] Repudio Bloqueo de correo por reporte de Spam
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.24] Denegacion de servicio Falla por malware
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
Utilizacion de correo electronico para registro en plataformas o paginas
[email] correo [A.7] Uso no previsto
que no corresponden a las funciones del cargo
electronico
[A.9] Reencaminamiento de mensajes
institucional
Apertura de correo de origen desaconocido con adjuntos que pueden
[E.1] Errores de los usuarios
contener virus
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador
[E.24] Caida del sistema por agotamiento de recursos ataques de Malware al Rootkit o botnet
[E.9] Errores de re-encaminamiento
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario Usuarios que comparten claves de acceso con otros usuarios
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[E.1] Errores de los usuarios
[sub] Campus virtual
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
liberacion de versione de aplicativos con errores por deficiencia en
[E.21] Errores de mantenimiento/Actualizacion de porgramas
pruebas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[os] windows 10 [E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas Falta de actualizaciones de sistema operativo
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
Nombre del activo Amenazas
Vulnerabilidades
de información Metodologia Magerit
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario Usuarios que comparten claves de acceso con otros usuarios
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[sub] Biblioteca [E.1] Errores de los usuarios
virtual [E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
liberacion de versione de aplicativos con errores por deficiencia en
[E.21] Errores de mantenimiento/Actualizacion de porgramas
pruebas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado Acceso por red no segmentada
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion perdida de informacion por accion de Malware
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario Usuarios que comparten claves de acceso con otros usuarios
[A.6] Abusos de privilegios de acceso Firewall sin reglas que puede permitir el acceso a la red
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[prp] sistema de
registro y control [E.1] Errores de los usuarios
Error por manipulacion de sistemas de usuarios no experinentados
academico
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas Falta de actualizaciones de sistema operativo
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.13] Repudio Bloqueo del servicio por falta de credenciales
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.24] Denegacion de servicio Falla por malware
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[ext] [A.7] Uso no previsto
videoconferencia [A.9] Reencaminamiento de mensajes
[E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador
[E.24] Caida del sistema por agotamiento de recursos
[E.9] Errores de re-encaminamiento
Nombre del activo Amenazas
Vulnerabilidades
de información Metodologia Magerit
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[std] Apache [E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[std]PHP 5.6.30 [E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas Version de Php 5.6 ya no cuenta con soporte desde nov de 2018
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
[A.10] Alteracion de secuencia
Cuenta con vulnerabilidad identificada en 2016 con injeccion SQL,
[A.11] Acceso no autorizado
permite ejecuion de comenado como Root
Modificacion de informacion por posibles fallas en sitio web que permita
[A.15] Modificacion deliberada de informacion
injeccion de codigo SQL
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[std]MySQL 5.7 [A.9] Reencaminamiento de mensajes
[E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
Nombre del activo Amenazas
Vulnerabilidades
de información Metodologia Magerit
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[std]PHPmyAdmin [E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[std] Antivirus [E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador Antivirus sin seguimiento a las actualizaciones y estado
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
acceso a informacion priviligiada para porder desarrollar actividad para la
[prov] Empresa [E.19] Fugas de informacion
que es contratada.
Godaddy
[E.7] Deficiencias en la organizacion
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.26] Ataque Destructivo
[A.27] Ocupacion Enemiga
[A.7] Uso no previsto
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[buildibg] edificio
acceso a informacion priviligiada para porder desarrollar actividad para la
centro de estudios [E.19] Fugas de informacion
que es contratada.
superiores
[I.*] Desastres Industriales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua
Nombre del activo Amenazas
Vulnerabilidades
de información Metodologia Magerit
Acceso a intalaciones por personal no autorizado por deficiencia en
[A.11] Acceso no autorizado
controles fisicos
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.26] Ataque Destructivo
[A.27] Ocupacion Enemiga
[A.7] Uso no previsto
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[site] campus
acceso a informacion priviligiada para porder desarrollar actividad para la
universitario [E.19] Fugas de informacion
que es contratada.
[I.*] Desastres Industriales Daños por fugas o daños en area de restaurante y cocina
Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.26] Ataque Destructivo
[A.27] Ocupacion Enemiga
[A.7] Uso no previsto
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[site] oficina de
acceso a informacion priviligiada para porder desarrollar actividad para la
registro y control [E.19] Fugas de informacion
que es contratada.
academico
[I.*] Desastres Industriales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.26] Ataque Destructivo
[A.27] Ocupacion Enemiga
[A.7] Uso no previsto
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[site] sala de acceso a informacion priviligiada para porder desarrollar actividad para la
[E.19] Fugas de informacion
profesores que es contratada.
[I.*] Desastres Industriales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua
[A.11] Acceso no autorizado no se cuenta con control de acceso
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.26] Ataque Destructivo
[A.27] Ocupacion Enemiga
[A.7] Uso no previsto
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[site]Depatamento acceso a informacion priviligiada para porder desarrollar actividad para la
[E.19] Fugas de informacion
antiguo de sistemas que es contratada.
[I.*] Desastres Industriales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
Nombre del activo Amenazas
Vulnerabilidades
de información Metodologia Magerit
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.26] Ataque Destructivo
[A.27] Ocupacion Enemiga
[A.7] Uso no previsto
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
acceso a informacion priviligiada para porder desarrollar actividad para la
[E.19] Fugas de informacion
[site] sala de que es contratada.
sistemas [I.*] Desastres Industriales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua Fugas de agua causadas por area de restaurante cercano a la instalacion
por deficiencia en control de entorno o barreras fisicas adecuadas
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.26] Ataque Destructivo
[A.27] Ocupacion Enemiga
[A.7] Uso no previsto
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
acceso a informacion priviligiada para porder desarrollar actividad para la
[site] sala de internet [E.19] Fugas de informacion
que es contratada.
[I.*] Desastres Industriales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.26] Ataque Destructivo
[A.27] Ocupacion Enemiga
[A.7] Uso no previsto
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
acceso a informacion priviligiada para porder desarrollar actividad para la
[E.19] Fugas de informacion
[site] Departamento que es contratada.
de sistemas [I.*] Desastres Industriales Daños por fugas o daños en area aledaña de restaurante y cocina
Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua Fugas de agua causadas por area de restaurante cercano a la instalacion
por deficiencia en control de entorno o barreras fisicas adecuadas
[A.11] Acceso no autorizado perdida de informacion por accion de Malware
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion Perdida de datos por infeccion de virus
Acceso informacion privilegiada desdeacceso inalambrico del campus, RED
[A.19] Divulgacion de informacion
[password] no segmentada
Contraseñas de [A.5] Suplantacion de la identidad del usuario
acceso a campus [A.6] Abusos de privilegios de acceso
virtual [E.1] Errores de los usuarios
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion Perdida de datos por infeccion de virus
[E.19] Fugas de informacion Claves compartidasentre usuarios
[E.2] Errores del Administrador
Nombre del activo Amenazas
Vulnerabilidades
de información Metodologia Magerit
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion Perdida de datos por infeccion de virus
Acceso informacion privilegiada desdeacceso inalambrico del campus, RED
[A.19] Divulgacion de informacion
no segmentada
[A.5] Suplantacion de la identidad del usuario Usuarios que comparten claves de acceso con otros usuarios
[files] Base de datos
[A.6] Abusos de privilegios de acceso
Biblioteca
[E.1] Errores de los usuarios
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion Perdida de datos por infeccion de virus
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador Cambio en la configuracion del sistema
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion Perdida de datos por infeccion de virus
Acceso informacion privilegiada desdeacceso inalambrico del campus, RED
[A.19] Divulgacion de informacion
no segmentada
[A.5] Suplantacion de la identidad del usuario
[files] Base de datos Acceso por claves compartidas de un usuario con mayor privilegxio
registro y control [A.6] Abusos de privilegios de acceso
[E.1] Errores de los usuarios Registro errado de datos por practicantes
[E.15] Alteracion accidental de informacion Registro errado de datos por practicantes
[E.18] Destruccion de informacion Perdida de datos por infeccion de virus
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador Cambios en la configuracion del sistema
Ausencia de personal que realiza el mantenimiento por enfermedad,
[A.28] Indisponibilidad de personal
vacaciones o actividadees personales
[A.29] Extorsion
[op]tecnico soporte Manipulacion de empleados por personas con intencion de cometer fraude ,
[A.30] Ingenieria social
de redes extorsion o estafa.
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.7] Deficiencias en la organizacion
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
Bloqueo de usuarios por ataques de fuerza bruta a contraseñas de cuentas
[A.13] Repudio
administradoras
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
Acceso informacion privilegiada desdeacceso inalambrico del campus, RED
[A.19] Divulgacion de informacion
no segmentada
[A.24] Denegacion de servicio Falla por malware
[A.5] Suplantacion de la identidad del usuario
[ipm] Gestion de
[A.6] Abusos de privilegios de acceso
usuarios y
[A.7] Uso no previsto
contraseñas
[A.9] Reencaminamiento de mensajes
[E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion Perdida de datos por infeccion de virus
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador
[E.24] Caida del sistema por agotamiento de recursos
[E.9] Errores de re-encaminamiento
[A.28] Indisponibilidad de personal
[A.29] Extorsion
Manipulacion de empleados por personas con intencion de cometer fraude ,
[A.30] Ingenieria social
extorsion o estafa.
[ui]Docentes
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.28] Indisponibilidad de personal
[E.7] Deficiencias en la organizacion
Ausencia de personal que realiza el Desarrollo o mantenimiento al softwre
[A.28] Indisponibilidad de personal
por enfermedad, vacaciones o actividadees personales
[A.29] Extorsion
Manipulacion de empleados por personas con intencion de cometer fraude ,
[A.30] Ingenieria social
[des] extorsion o estafa.
Desarrolladores
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
Ausencia de personal que realiza el Desarrollo o mantenimiento al softwre
[E.28] Indisponibilidad de personal
por enfermedad, vacaciones o actividadees personales
[E.7] Deficiencias en la organizacion
Nombre del activo Amenazas
Activos de Informacion Vulnerabilidades
de información Metodologia Magerit
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio Falla por malware
sustraccion de equipos por falta de barreras perimetrales adecuadas entre
[A.25] Robo
el centro de estudios y el exterior
[A.26] Ataque Destructivo
[A.28] Indisponibilidad de personal
[A.29] Extorsion
Manipulacion de empleados por personas con intencion de cometer fraude ,
[A.30] Ingenieria social
extorsion o estafa.
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos
[print] Impresora HP
[HW] EQUIPAMENTO [E.24] Caida del sistema por agotamiento de recursos
LaserJet Enterprise
INFORMÁTICO [E.25]Perdida de equipos
serie 600
[E.28] Indisponibilidad de personal
[E.7] Deficiencias en la organizacion
[I.*] Desastres Industriales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico
Caida por falta de fluido electrico no se cuenta con respaldo electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.12] Analisis de Trafico
[A.14] Interceptacion de informacion
[A.15] Modificacion deliberada de informacion
[A.19] Divulgacion de informacion
[A.24] Denegacion de servicio
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
Utilizacion del canal para desacrgue de archivos de internet o consulta
[A.7] Uso no previsto
[COM] REDES DE COMUNICACIONES
[com] Canal ancho de banda de sitios no autorizados
[A.9] Reencaminamiento de mensajes
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador Cambio de configuracion del canal
[E.24] Caida del sistema por agotamiento de recursos
[E.9] Errores de re-encaminamiento
[i.8] Falllo de servicios de comunicación Falla por daño fisico del proveedor del canal de comunicación
Ausencia de personal administrativo por enfermedad, vacaciones o
[A.28] Indisponibilidad de personal
actividadees personales
[A.29] Extorsion
[ui] usuarios
[p] Personal Manipulacion de empleados por personas con intencion de cometer fraude ,
Administrativos [A.30] Ingenieria social
extorsion o estafa.
Ausencia de personal administrativo por enfermedad, vacaciones o
[E.28] Indisponibilidad de personal
actividadees personales
[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio Falla por malware
sustraccion de equipos por falta de barreras perimetrales adecuadas entre
[A.25] Robo
el centro de estudios y el exterior
[A.26] Ataque Destructivo
[A.28] Indisponibilidad de personal
[A.29] Extorsion
Manipulacion de empleados por personas con intencion de cometer fraude ,
[A.30] Ingenieria social
extorsion o estafa.
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.19] Fugas de informacion manejo no adecuado de informacion por clasificacion deficiente
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos
Impresora SMART (Hardware)
[HW] EQUIPAMENTO INFORMÁTICO MultiXpress [E.24] Caida del sistema por agotamiento de recursos
M4370LX [E.25]Perdida de equipos
[E.28] Indisponibilidad de personal
[E.7] Deficiencias en la organizacion
[I.*] Desastres Industriales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
adecuado que genere sobrecarga electrica
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.6] Corte de suministro Electrico Caida por falta de fluido electrico no se cuenta con respaldo electrico
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua
Nombre del activo Amenazas
Activos de Informacion Vulnerabilidades
de información Metodologia Magerit
[A.10] Alteracion de secuencia
[A.11] Acceso no autorizado
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusion de software Dañino Antivirus Des actualizado
[std] Sistemas
[A.9] Reencaminamiento de mensajes
[SW] SOFTWARE operativos
[E.1] Errores de los usuarios
Servidores
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.2] Errores del Administrador Sistema operativo con actualizaciones pendientes
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de programas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[i.4] Contaminacion Electromagnetica
6. Calificación de la Gestión
probabilidad de vulneración)
efectivo y documentado)
crítico(C))
seguro)
Nombre del activo Amenazas Si la opción es 2 - 3 o 4 Indique
Vulnerabilidades
de información Metodologia Magerit el Control aplicado actual
[Host] Servidor de 13 [i.6] Corte de suministro Electrico No disponible por falta fluido electrico 2 26 C 1
Antivirus, que no es
[Host] Servidor de
13 [A.24] Denegacion de servicio 4 52 C 2 minitoreada las
impresión
falla por virus actualizaciones
[Host] Servidor de [i.7]Condiciones inandecuadas de temperatura o Se encuentra ubicado en un espacio sin condiciones de climatizacion No existe un cuarto técnico
13 4 52 C 2
impresión humedad optima con seguridad
No se cuenta con control de acceso biometrico o monitoreo
[Host] servidor FTP 21 [A11] Acceso no autorizado 5 105 C 1
permitiendo posible acceso
Antivirus, que no es
[Host] servidor FTP 21 [A.24] Denegacion de servicio 4 84 C 2 minitoreada las
Falla por malware actualizaciones
[Host] servidor FTP 21 [i.6] Corte de suministro Electrico Caida por falta de fluido electrico no se cuenta con respaldo electrico 2 42 C 1
21 a 25 crítico(C))
seguro)
Nombre del activo Amenazas Si la opción es 2 - 3 o 4 Indique
Vulnerabilidades
de información Metodologia Magerit el Control aplicado actual
Antivirus, que no es
25 [A.18] Destruccion de informacion 5 125 C 2 minitoreada las
Perdida de datos por infeccion de virus actualizaciones
Acceso informacion privilegiada desdeacceso inalambrico del campus,
25 [A.19] Divulgacion de informacion 5 125 C 1
RED no segmentada
25 [A.5] Suplantacion de la identidad del usuario 3 75 C 1
Acceso por claves compartidas de un usuario con mayor privilegio
25 [E.1] Errores de los usuarios 4 100 C 1
Registro errado de datos por practicantes
25 [E.15] Alteracion accidental de informacion 4 100 C 1
Registro errado de datos por practicantes
Antivirus, que no es
25 [E.18] Destruccion de informacion 5 125 C 2 minitoreada las
Perdida de datos por infeccion de virus actualizaciones
25 [E.19] Fugas de informacion 2 50 C 1
manejo no adecuado de informacion por clasificacion deficiente
25 [E.2] Errores del Administrador 2 50 C 1
Cambios en la configuracion del sistema
19 [E.19] Fugas de informacion 2 38 C 1
manejo no adecuado de informacion por clasificacion deficiente
Cortafuegos Cisco ASA 5505,
21 [A.13] Repudio Bloqueo de usuarios por ataques de fuerza bruta a contraseñas de 3 63 C 2 no cuenta con reglas
cuentas administradoras implementadas
21 [A.19] Divulgacion de informacion Acceso informacion privilegiada desdeacceso inalambrico del campus, 5 105 C 1
RED no segmentada
Antivirus, que no es
21 [A.24] Denegacion de servicio 4 84 C 2 minitoreada las
Falla por malware actualizaciones
Antivirus, que no es
21 [E.18] Destruccion de informacion 5 105 C 2 minitoreada las
Perdida de datos por infeccion de virus actualizaciones
% Participacion de Probabilidades
0%
20%
33% 1 Muy raro
2 poco probable
26% 3 posible
21% 4 probable
5 practicamente seguro
Calificación de la Gestión
28%
1 control no existe
72% 2 existe pero no efectivo
Nivel de aceptación del Riesgo
a 25 crítico(C))
Nombre del activo de
información
[ipphone] Teléfonos Ip 10 B M
[os] Windows 10 15 A I
[ext] videoconferencia 17 I I
[ext] videoconferencia 22 C I
[ext] videoconferencia 22 C I
[std] Apache 44 C I
[std]PHP 5.6.30 44 C I
[std]MySQL 5.7 66 C I
[std]MySQL 5.7 44 C I
[std]PHPmyAdmin 44 C I
[std] Antivirus 32 C I
[site]Departamento antiguo
88 C I
de sistemas
[site]Departamento antiguo
66 C I
de sistemas
[site] Departamento de
69 C I
sistemas
[password] Contraseñas de
110 C I
acceso a campus virtual
[password] Contraseñas de
55 C I
acceso a campus virtual
[password] Contraseñas de
110 C I
acceso a campus virtual
[password] Contraseñas de
55 C I
acceso a campus virtual
[password] Contraseñas de
66 C I
acceso a campus virtual
[ui]Docentes 38 C I
[des] Desarrolladores 48 C I
[print] Impresora HP
18 I I
LaserJet Enterprise serie 600
[print] Impresora HP
18 I I
LaserJet Enterprise serie 600
[print] Impresora HP
18 I I
LaserJet Enterprise serie 600
1%
Inaceptable
Moderado
99%
Ahora bien, teniendo en cuenta que en la fase 2 se definió que se debe hacer tratamiento de
riesgo para nivel inaceptable y se aceptan riesgos admisibles y moderados.
7. Mapa de Calor
8. controles a aplicar
Nombre del activo de
Control a aplicar Descripción de la aplicación del control
información
A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
[Host] Servidor de impresión
suministros planta electrica que de alimnetacion a los equipo de computo criticos
Controles de acceso Implmentar controles de acceso en las areas donde se ubican los servidores, de forma
[Host] servidor FTP
A.11.1.2 fisico que se asegure el acceso a personal autorizado previemente bien identificados
A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
[Host] servidor FTP
suministros planta electrica que de alimnetacion a los equipo de computo criticos
Proteccion contra
[Host] servidor FTP amenzas externas y Implementar sistema de medicion y alarma de las condiciones ambientales del lugar
A.11.1.4 ambientales donde se encuentra ubicado el servidor
Proteccion contra Se deben implementar controles de deteccion, de prevencion y de recuperacion, combinados
[sub] Pagina Web
A.12.2 codigos maliciosos con la toma de conciencia apropiada de los usuarios
[Host] servidor de registro y Controles de acceso Implmentar controles de acceso en las areas donde se ubican los servidores, de forma
control academico A.11.1.2 fisico que se asegure el acceso a personal autorizado previemente bien identificados
[Host] servidor de registro y A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
control academico suministros planta electrica que de alimnetacion a los equipo de computo criticos
Proteccion contra
[Host] servidor de registro y
amenzas externas y Implementar sistema de medicion y alarma de las condiciones ambientales del lugar
control academico
A.11.1.4 ambientales donde se encuentra ubicado el servidor
Controles de acceso Implmentar controles de acceso en las areas donde se ubican los servidores, de forma
[Host] Servidor DHCP
A.11.1.2 fisico que se asegure el acceso a personal autorizado previemente bien identificados
A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
[Host] Servidor DHCP
suministros planta electrica que de alimnetacion a los equipo de computo criticos
Proteccion contra
[Host] Servidor DHCP amenzas externas y Implementar sistema de medicion y alarma de las condiciones ambientales del lugar
A.11.1.4 ambientales donde se encuentra ubicado el servidor
A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
[pc] Equipos de computo para
suministros planta electrica que de alimnetacion a los equipo de computo criticos
gestion de sistema Contable
[pc] Equipos de computo para A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
academia suministros planta electrica que de alimnetacion a los equipo de computo criticos
[hub] puntos de acceso A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
alambrico suministros planta electrica que de alimnetacion a los equipo de computo criticos
A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
[ipphone] Telefonos Ip
suministros planta electrica que de alimnetacion a los equipo de computo criticos
Gestion de
[firewall] Cortafuesgos cisco
seguridad de las identificar los mecanismos de seguridad, los niveles de servicio y los requisitos de gestion de
ASA 5500
A.13.1 redes todos los servicios de red
[firewall] Cortafuesgos cisco A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
ASA 5500 suministros planta electrica que de alimnetacion a los equipo de computo criticos
A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
[pc] Equipos de computo para
suministros planta electrica que de alimnetacion a los equipo de computo criticos
registro y control academico
Gestion de
[switch] Switch cisco catalyst
seguridad de las identificar los mecanismos de seguridad, los niveles de servicio y los requisitos de gestion de
2960
A.13.1 redes todos los servicios de red
[switch] Switch cisco catalyst A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
2960 suministros planta electrica que de alimnetacion a los equipo de computo criticos
Gestion de
[wap] puntos de acceso seguridad de las identificar los mecanismos de seguridad, los niveles de servicio y los requisitos de gestion de
A.13.1 redes todos los servicios de red
Gestion de
[wap] puntos de acceso seguridad de las
A.13.1 redes
Seguridad en los
procesos de Establcer politica con reglas claras de desarrollo, que permitan llevar un control adecuado
[sub] Campus virtual
desarrollo y de de cambios, establcer prinicipios para la construccion de sitema seguris y establcer un
A.14.2 soporte ambiente de desarrollo con un apropiado gestion de cambios.
Seguridad en los
procesos de Establcer politica con reglas claras de desarrollo, que permitan llevar un control adecuado
[os] windows 10
desarrollo y de de cambios, establcer prinicipios para la construccion de sitema seguris y establcer un
A.14.2 soporte ambiente de desarrollo con un apropiado gestion de cambios.
Seguridad en los
procesos de Establcer politica con reglas claras de desarrollo, que permitan llevar un control adecuado
[sub] Biblioteca virtual
desarrollo y de de cambios, establcer prinicipios para la construccion de sitema seguris y establcer un
A.14.2 soporte ambiente de desarrollo con un apropiado gestion de cambios.
Nombre del activo de
Control a aplicar Descripción de la aplicación del control
información
[prp] sistema de registro y Proteccion contra Se deben implementar controles de deteccion, de prevencion y de recuperacion, combinados
control academico A.12.2 codigos maliciosos con la toma de conciencia apropiada de los usuarios
Seguridad en los
[prp] sistema de registro y procesos de Establcer politica con reglas claras de desarrollo, que permitan llevar un control adecuado
control academico desarrollo y de de cambios, establcer prinicipios para la construccion de sitema seguris y establcer un
A.14.2 soporte ambiente de desarrollo con un apropiado gestion de cambios.
Instalación de
[std] Apache
software en Se debe implementar un procedimiento para instalar y mantener actualizado las versiones
A.12.5.1 sistemas operativos de sistema operativo de forma adecuada
Instalación de
[std]PHP 5.6.30
software en Se debe implementar un procedimiento para instalar y mantener actualizado las versiones
A.12.5.1 sistemas operativos de sistema operativo de forma adecuada
Instalación de
[std]PHP 5.6.30
software en Se debe implementar un procedimiento para instalar y mantener actualizado las versiones
A.12.5.1 sistemas operativos de sistema operativo de forma adecuada
[site]Departamento antiguo de Controles de acceso Implmentar controles de acceso en las areas donde se ubican los servidores, de forma
sistemas A.11.1.2 fisico que se asegure el acceso a personal autorizado previemente bien identificados
[password] Contraseñas de Politica de control Se debe establecer, documentar y revisar una politica de control de acceso con base en los
acceso a campus virtual A.9.1.1 de acceso requisitos del negocio t de seguridad de la informacion
[password] Contraseñas de Proteccion contra Se deben implementar controles de deteccion, de prevencion y de recuperacion, combinados
acceso a campus virtual A.12.2 codigos maliciosos con la toma de conciencia apropiada de los usuarios
[password] Contraseñas de Sistema de gestion Implementar un sistema de gestion de contraseñas, que permita asegurar la utilizacion de
acceso a campus virtual A.9.4.3 de contraseñas contraseñas Fuertes
[files] Base de datos Proteccion contra Se deben implementar controles de deteccion, de prevencion y de recuperacion, combinados
Biblioteca A.12.2 codigos maliciosos con la toma de conciencia apropiada de los usuarios
Se debe implementar proceso para asegurar: el debido registro, cancelacion de accesos y
[files] Base de datos
Gestion de acceso a validacion apropiada de la asignacion de permisos. Revision periodica de los permisos
Biblioteca
A.9.2 Usuarios asignados y cambios de rol o de responsabilidades vs los permisos asignados
[files] Base de datos registro y Proteccion contra Se deben implementar controles de deteccion, de prevencion y de recuperacion, combinados
control A.12.2 codigos maliciosos con la toma de conciencia apropiada de los usuarios
Se debe implementar proceso para asegurar: el debido registro, cancelacion de accesos y
[files] Base de datos registro y
Gestion de acceso a validacion apropiada de la asignacion de permisos. Revision periodica de los permisos
control
A.9.2 Usuarios asignados y cambios de rol o de responsabilidades vs los permisos asignados
Se debe implementar proceso para asegurar: el debido registro, cancelacion de accesos y
[ipm] Gestion de usuarios y
Gestion de acceso a validacion apropiada de la asignacion de permisos. Revision periodica de los permisos
contraseñas
A.9.2 Usuarios asignados y cambios de rol o de responsabilidades vs los permisos asignados
[print] Impresora HP LaserJet A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
Enterprise serie 600 suministros planta electrica que de alimnetacion a los equipo de computo criticos
[print] Impresora SMART A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
MultiXpress M4370LX suministros planta electrica que de alimnetacion a los equipo de computo criticos
mitigar.
Control %
Servicios de suministros 29.27
Protección contra códigos maliciosos 12.20
Seguridad en los procesos de desarrollo y de soporte 9.76
Controles de acceso físico 9.76
Instalación de software en sistemas operativos 9.76
Gestión de seguridad de las redes 7.32
Gestión de acceso a Usuarios 7.32
Protección contra amenazas externas y ambientales 7.32
Sistema de gestión de contraseñas 2.44
Tratamiento de la seguridad dentro de los acuerdos con proveedores 2.44
Política de control de acceso 2.44
9. Tratamiento de Riesgos
participación, donde se cuenta con 35% de riesgos a mitigar y 65% de riesgos a Transferir.
Tratamiento de Riesgos
35%
Tranferir
65%
Mitigar
corresponden a los asociados a los sitios fisicos, ya sea mediante la adiquiicion de polizas
que cubran siniestros ocoasionados por desastres industriales (corriente debil), fenomenos
naturales o Robo, seguido con un 155 de participación de los riesgos que se puede transferir
mediente la utilizacion de Datacenters tercerizados para dar cobertura los riesgos asociados con
Servidores, tanto en us daño fisico, como en las fallas generadas por deficiencia en el monitoreo
de los mismos.
Transefir
Datos
Equipos
11% host
36%
18% Pc
provedores
14% Recurso humano
15% 5%1%
redes
site
soft estandar
Software
Mitigar
Datos
Equipos
2% 14%
14% host
7% Pc
12%
3% provedores
24%
14% Recurso humano
3% 7%
redes
site
soft estandar
Software
Niveles de aceptación
Nombre del activo Amenazas
aceptable (A), 6 a 15
moderado (M), 16 a
Vulnerabilidades
26 inaceptable(I))
del riesgo (1 a 5
de información Metodologia Magerit
Transefir
Aceptar
Mitigar
[Host] Servidor de [i.6] Corte de suministro No disponible por falta fluido
I x
impresión Electrico electrico
(1 a 5 aceptable (A), 6 a 15
de información Metodologia Magerit
moderado (M), 16 a 26
inaceptable(I))
Transefir
Aceptar
Mitigar
Fugas de agua causadas por
area de restaurante cercano a
[Host] servidor FTP [N.2]Daños por agua la instalacion por deficiencia I
en control de entorno o
barreras fisicas adecuadas x
[A.18] Destruccion de perdida de informacion por
[sub] Pagina Web I
informacion accion de Malware x
[Host] servidor de
[A11] Acceso no
registro y control No se cuenta con control de I
autorizado
academico acceso biometrico o monitoreo x
[Host] servidor de Daños por fugas o daños en
[I.*] Desastres
registro y control area aledaña de restaurante y I
Industriales
academico cocina x
[A11] Acceso no
[Host] Servidor DHCP No se cuenta con control de I
autorizado
acceso biometrico o monitoreo x
Niveles de aceptación del riesgo
Nombre del activo Amenazas
Vulnerabilidades
(1 a 5 aceptable (A), 6 a 15
de información Metodologia Magerit
moderado (M), 16 a 26
inaceptable(I))
Transefir
Aceptar
Mitigar
Daños causados por Cableado,
[Host] Servidor DHCP [I.1] fuego tomas electricas en mal estado I
por uso no adecuado que
genere sobrecarga electrica x
Caida por falta de fluido
[i.6] Corte de suministro
[Host] Servidor DHCP electrico no se cuenta con I x
Electrico
respaldo electrico
[i.7]Condiciones Se encuentra ubicado en un
[Host] Servidor DHCP inandecuadas de espacio sin condiciones de I
temperatura o humedad climatizacion optima x
[pc] Equipos de
Daños causados por Cableado,
computo para
[I.1] fuego tomas electricas en mal estado I
gestion de sistema
por uso no adecuado que
Contable
genere sobrecarga electrica x
[pc] Equipos de
computo para [i.6] Corte de suministro Caida por falta de fluido
I x
gestion de sistema Electrico electrico no se cuenta con
Contable respaldo electrico
[pc] Equipos de
Daños causados por Cableado,
computo para
[N.1]Fuego tomas electricas en mal estado I
gestion de sistema
por uso no adecuado que
Contable
genere sobrecarga electrica x
Ausencia de personal que
[pc] Equipos de
[A.28] Indisponibilidad realiza el mantenimiento por
computo para I
de personal enfermedad, vacaciones o
academia
actividadees personales x
riesgo (1 a 5 aceptable (A), 6 a
Nombre del activo Amenazas
15 moderado (M), 16 a 26
Vulnerabilidades
de información Metodologia Magerit
inaceptable(I))
Transefir
Aceptar
Mitigar
[E.23] Errores de
[pc] Equipos de
mantenimiento/Actualiz
computo para I
acion de equipos falta de mantenimiento
academia
(Hardware) preventivo de equipos x
Ausencia de personal que
[pc] Equipos de
[E.28] Indisponibilidad realiza el mantenimiento por
computo para I
de personal enfermedad, vacaciones o
academia
actividadees personales x
6 a 15 moderado
Vulnerabilidades
inaceptable(I))
de información Metodologia Magerit
(M), 16 a 26
Niveles de
Transefir
Aceptar
Mitigar
[firewall]
[A.24] Denegacion de
Cortafuesgos cisco I x
servicio
ASA 5500 Falla por malware
[E.23] Errores de
[firewall]
mantenimiento/Actualiz
Cortafuesgos cisco I
acion de equipos falta de mantenimiento
ASA 5500
(Hardware) preventivo de equipos x
[pc] Equipos de
Daños causados por Cableado,
computo para
[I.1] fuego tomas electricas en mal estado I
registro y control
por uso no adecuado que
academico
genere sobrecarga electrica x
[pc] Equipos de
computo para [i.6] Corte de suministro Caida por falta de fluido
I x
registro y control Electrico electrico no se cuenta con
academico respaldo electrico
[pc] Equipos de
Daños causados por Cableado,
computo para
[N.1]Fuego tomas electricas en mal estado I
registro y control
por uso no adecuado que
academico
genere sobrecarga electrica x
[switch] Switch [A.24] Denegacion de
I x
cisco catalyst 2960 servicio Falla por malware
aceptación del riesgo
(1 a 5 aceptable (A),
Nombre del activo Amenazas
6 a 15 moderado
Vulnerabilidades
inaceptable(I))
de información Metodologia Magerit
(M), 16 a 26
Niveles de
Transefir
Aceptar
Mitigar
[E.23] Errores de
[switch] Switch mantenimiento/Actualiz
I
cisco catalyst 2960 acion de equipos falta de mantenimiento
(Hardware) preventivo de equipos x
6 a 15 moderado
Vulnerabilidades
inaceptable(I))
de información Metodologia Magerit
(M), 16 a 26
Niveles de
Transefir
Aceptar
Mitigar
[E.21] Errores de liberacion de versione de
[sub] Biblioteca
mantenimiento/Actualiz aplicativos con errores por I
virtual
acion de porgramas deficiencia en pruebas x
[prp] sistema de
[A.18] Destruccion de
registro y control perdida de informacion por I
informacion
academico accion de Malware x
[prp] sistema de [E.21] Errores de
registro y control mantenimiento/Actualiz Falta de actualizaciones de I
academico acion de porgramas sistema operativo x
manejo no adecuado de
[E.19] Fugas de
[std] Apache informacion por clasificacion I
informacion
deficiente x
manejo no adecuado de
[E.19] Fugas de
[std]PHP 5.6.30 informacion por clasificacion I
informacion
deficiente x
[E.21] Errores de Version de Php 5.6 ya no
[std]PHP 5.6.30 mantenimiento/Actualiz cuenta con soporte desde nov I
acion de porgramas de 2018 x
acceso a informacion
[prov] Empresa [E.19] Fugas de priviligiada para porder
I
Godaddy informacion desarrollar actividad para la
que es contratada. x
6 a 15 moderado
Vulnerabilidades
inaceptable(I))
de información Metodologia Magerit
(M), 16 a 26
Niveles de
Transefir
Aceptar
Mitigar
[site] campus analisis a la estructura si es
[N*]Desastres Naturales I
universitario antisismica x
6 a 15 moderado
Vulnerabilidades
inaceptable(I))
de información Metodologia Magerit
(M), 16 a 26
Niveles de
Transefir
Aceptar
Mitigar
Daños causados por Cableado,
[site] sala de
[N.1]Fuego tomas electricas en mal estado I
sistemas
por uso no adecuado que
genere sobrecarga electrica x
Fugas de agua causadas por
area de restaurante cercano a
[site] sala de
[N.2]Daños por agua la instalacion por deficiencia I
sistemas
en control de entorno o
barreras fisicas adecuadas x
6 a 15 moderado
Vulnerabilidades
inaceptable(I))
de información Metodologia Magerit
(M), 16 a 26
Niveles de
Transefir
Aceptar
Mitigar
[password]
Contraseñas de [A.18] Destruccion de
I
acceso a campus informacion Perdida de datos por infeccion
virtual de virus x
[password] Acceso informacion
Contraseñas de [A.19] Divulgacion de privilegiada desdeacceso
I
acceso a campus informacion inalambrico del campus, RED
virtual no segmentada x
[files] Base de datos [A.18] Destruccion de Perdida de datos por infeccion
I
Biblioteca informacion de virus x
Acceso informacion
[files] Base de datos [A.19] Divulgacion de privilegiada desde acceso
I
Biblioteca informacion inalambrico del campus, RED
no segmentada x
[files] Base de datos [A.18] Destruccion de Perdida de datos por infeccion
I
registro y control informacion de virus x
Acceso informacion
[files] Base de datos [A.19] Divulgacion de privilegiada desdeacceso
I
registro y control informacion inalambrico del campus, RED
no segmentada x
Ausencia de personal que
[op]tecnico soporte [A.28] Indisponibilidad realiza el mantenimiento por
I
de redes de personal enfermedad, vacaciones o
actividadees personales x
Acceso informacion
[ipm] Gestion de
[A.19] Divulgacion de privilegiada desdeacceso
usuarios y I
informacion inalambrico del campus, RED
contraseñas
no segmentada x
Ausencia de personal que
realiza el Desarrollo o
[des] [A.28] Indisponibilidad
mantenimiento al softwre por I
Desarrolladores de personal
enfermedad, vacaciones o
actividadees personales x
sustraccion de equipos por
[print] Impresora HP
falta de barreras perimetrales
LaserJet Enterprise [A.25] Robo I
adecuadas entre el centro de
serie 600
estudios y el exterior x
Daños causados por Cableado,
[print] Impresora HP
tomas electricas en mal estado
LaserJet Enterprise [I.1] fuego I
por uso no adecuado que
serie 600
genere sobrecarga electrica x
[print] Impresora HP Caida por falta de fluido
[i.6] Corte de suministro
LaserJet Enterprise electrico no se cuenta con I x
Electrico
serie 600 respaldo electrico
aceptación del riesgo
(1 a 5 aceptable (A),
Nombre del activo Amenazas
6 a 15 moderado
Vulnerabilidades
inaceptable(I))
de información Metodologia Magerit
(M), 16 a 26
Niveles de
Transefir
Aceptar
Mitigar
Daños causados por Cableado,
[print] Impresora HP
tomas electricas en mal estado
LaserJet Enterprise [N.1]Fuego I
por uso no adecuado que
serie 600
genere sobrecarga electrica x
Ausencia de personal
[ui] usuarios [A.28] Indisponibilidad administrativo por enfermedad,
I
Administrativos de personal vacaciones o actividadees
personales x
sustraccion de equipos por
[print] Impresora
falta de barreras perimetrales
SMART MultiXpress [A.25] Robo I
adecuadas entre el centro de
M4370LX
estudios y el exterior x
Daños causados por Cableado,
[print] Impresora
tomas electricas en mal estado
SMART MultiXpress [I.1] fuego I
por uso no adecuado que
M4370LX
genere sobrecarga electrica x
[print] Impresora Caida por falta de fluido
[i.6] Corte de suministro
SMART MultiXpress electrico no se cuenta con I x
Electrico
M4370LX respaldo electrico
Daños causados por Cableado,
[print] Impresora
tomas electricas en mal estado
SMART MultiXpress [N.1]Fuego I
por uso no adecuado que
M4370LX
genere sobrecarga electrica x
[std] Sistemas
[E.2] Errores del Sistema operativo con
operativos I
Administrador actualizaciones pendientes x
Servidores
Recomendaciones y Conclusiones
Amenazas y vulnerabilidades.
cualitativa que para un mismo activo en distintas organizaciones pueden ser diferentes, es decir
en cada contexto un mismo activo puede tener usos distintos y por lo tanto su nivel de impacto
Cambia.
MAGERIT es una metodología que permite evidenciar los riesgos que poseen los activos
dentro de una organización, así como sus las posibles vulnerabilidades con el fin de evitarlos o
MARGERIT tiene tres objetivos los cuales son permite analizar y gestionar los riegos de una
organización:
Tener un método sistemático que analice los riegos que se derivan del uso de las TIC.
Para finalizar el ejercicio el determinar que riesgos se mitigan y cuales se transfieren nos lleva
a deducir que no siempre es posible mitigar los riesgos con los recursos que se tienen y en
ocasiones es mejor contratar servicios y utilizar proveedores pueden ofrecer soluciones con
menor costo que desarrollar alguna implementación, por economía de escala o por la experiencia
1. Transferir los riesgos relacionados con Robo, daño de equipos e instalaciones mediante
2. Para los riesgos relacionados con servidores transferir el riesgo mediante contratación de
organización.
revisión periódica de su configuración para ser ajustada de forma preventiva para evitar
mantenimiento de software.
5. Implementar controles de acceso físico apropiado que permita el registro para posterior
6. El impacto generado que puede causarse a la empresa por los problemas de seguridad y la
frecuencia en las que se produce frente a las debilidades del sistema se expresa en
7. Al existir análisis y gestión del riesgo, los activos que componen la empresa procesos,
8. Entre las diferentes amenazas reales que se pueden presentar están las fallas de energía
eléctrica, una inundación, un incendio o un robo, las cuales deben ser tratadas de forma
preventiva para evitar, en caso de que éstas sucedan, que las pérdidas sean tan graves que
afecten a la viabilidad del negocio, muchas organizaciones independientemente de su tamaño,
fracasan o incluso desaparecen por la falta de procesos, mecanismos y técnicas que mitiguen
los riesgos a los que están expuestas y garanticen una alta disponibilidad en las operaciones de
su negocio. De este modo, es necesario que las organizaciones establezcan una serie de
actividades o procesos de negocio en caso de tener que afrontar una contingencia grave.
Referencias