Apoyo Matriz

Contenido
Introducción ................................................................................................................................................ 3
1.Definición del Alcance ............................................................................................................................. 4
2.Organigrama ............................................................................................................................................ 5
3.Identificación de activos ........................................................................................................................ 6
4.Identificación de Amenazas................................................................................................................. 11
5.Identificación de Vulnerabilidades ....................................................................................................... 27
6. Calificación de la Gestión ..................................................................................................................... 41
7. Mapa de Calor ....................................................................................................................................... 53
8. controles a aplicar ................................................................................................................................ 54
Recomendaciones y Conclusiones ............................................................................................................ 70
Referencias................................................................................................................................................. 73
Introducción
En este documento se consolida el resultado de las actividades individuales desarrolladas
para el escenario propuesto donde se realizó paso a paso la primera fase cada una de las fases
del curso que comprende desde la caracterización de la organización, definición del alcance de
la evaluación, Identificación de activos, Las amenazas según libro II de la metodología
MAGERIT, las vulnerabilidades de los activos, identificación de riesgos, determinar los
controles y establecer para cada riesgo si es viable Mitigarlo, Transferirlo o aceptarlo.
Para la realización del ejercicio fue necesario dar lectura a la metodología MAGERIT y tomar
como base la nomenclatura de dicho libro para estandarizar la identificación de activos y sus
amenazas, la revisión de la norma ISO 27001 .

1. Definición del Alcance
Nombre de la organización: El Centro de estudios Superiores Informáticos de Colombia

Actividad comercial: formación académica a la población colombiana a través del uso de
Tecnologías de Información que permitan llegar a cualquier punto geográfico con un servicio
académico de calidad mediado por la virtualidad.
Realizar la identificación, análisis y evaluación de los activos y

OBJETIVO
riesgos de seguridad de la información.
Evaluar los riesgos a los cuales se pueden encontrar sometidos los
activos que custodian la información de la institución, haciendo
ALCANCE un análisis sistemático de las falencias encontradas, realizar la
interpretación correspondiente. Se realiza levantamiento de
información por medio de entrevista.
NOMBRE DE LA EMPRESA: Centro de Estudios Superiores Informáticos de Colombia
CONTEXTO LEGAL NTC ISO/IEC 27001 - NTC ISO/IEC 27005 - NTC ISO/IEC 31000
ENFOQUE El enfoque de gestión de riesgos a aplicar está basado en la
METODOLOGICO metodología MAGERIT
TRATAMIENTO Se tratarán los riesgos cuyos niveles sean:
INACEPTABLE
Se aceptarán los riesgos cuyo resultado después de la valoración
de riesgos sean:
ADMISIBLE (3 – 43)
MODERADO (44 – 104)
TRATAMIENTO Niveles de aceptación del riesgo (1 a 5 aceptable (A), 6 a 15
moderado (M), 16 a 26 inaceptable(I))
Una vez aplicados los controles se acepta un riesgo de residual en
niveles APRECIABLE o IMPORTANTE
Criticidad residual (1 a 4 despreciable (d), 5 a 9 baja (B), 10 a 15
apreciable (a), 16 a 20 importante (i), 21 a 25 crítico(C))
2. Organigrama
Direccion
General
Auditoria
Registro y
Departamento
Docentes Administrativos control
de sistemas
academico
Infraestructura Desarrollo Soporte
Equipos de Desarrollo de
Soporte Tecnico
computo aplicaciones
Servicios de
Servidores Culturizacion
Internet
Redes de Datos
3. Identificación de activos
Como resultado de la aplicación del instrumento propuesto en la guía se obtienen 48 activos,
distribuidos en los siguientes grupos, con un total de 28 % Hardware, 21 %Software, 17%
instalaciones ,15% Personal, 9% Datos, 6 % servicios
A continuación, se representa gráficamente este resultado.
% PARTICIPACION DE ACTIVOS IDENTIFICADOS

[D] DATOS [S] SERVICIOS
[SW] SOFTWARE [HW] EQUIPAMENTO INFORMÁTICO
[L] INSTALACIONES [P] PERSONAL
[COM] REDES DE COMUNICACIONES [AUX] EQUIPAMENTO AUXILIAR
15% 2% 2% 9%
6%
17%
21%
28%
A continuación, se presenta cuadro de identificación de activos detallada y cuadro con los
atributos de cada uno de los activos correspondientes a la hoja activos y valoración cualitativa del
instrumento propuesto basado en Metodología MAGERIT.

Cuadro No 1. Identificación de Activos con propietario, responsable y tipo de activo
DATOS DEL ACTIVO DE INFORMACION TIPO
[Media] SOPORTE DE INFORMACIÓN

[HW] EQUIPAMENTO INFORMÁTICO
[COM] REDES DE COMUNICACIONES
[AUX] EQUIPAMENTO AUXILIAR

[K] CLAVES CRIPTOGRAFICAS
No. Nombre del activo de Proceso propietario
Responsable
[L] INSTALACIONES
información del activo
[SW] SOFTWARE
[P] PERSONAL
[S] SERVICIOS
[D] DATOS
1 [Host] Servidor de impresión DTO DE SISTEMAS Pedro Javier Bayter Sánchez x
2 [Host] servidor FTP DTO DE SISTEMAS Pedro Javier Bayter Sánchez x
3 [sub] Pagina Web DTO DE SISTEMAS Esperanza Becerra x
[Host] servidor de registro y
4 DTO DE SISTEMAS Pedro Javier Bayter Sánchez x
control academico
5 [Host] Servidor DHCP DTO DE SISTEMAS Pedro Javier Bayter Sánchez x
[pc] Equipos de computo para
6 DTO CONTABILIDAD Camila trujillo x
gestion de sistema Contable
[firewall] Cortafuesgos cisco
ASA 5500
8 DTO DE REGISTRO Y CONTROL Camila trujillo x
registro y control academico
9 DTO ACADEMICO Edwin Omar Valencia x
academia
[hub] puntos de acceso
alambrico
[switch] Switch cisco catalyst
2960
12 [op] tecnicos de Mantenimiento DTO SISTEMAS Edwin Omar Valencia x
13 [ipphone] Telefonos Ip CENTRO DE ESTUDIOS Edwin Giovany Vasquez x
14 [wap] puntos de acceso CENTRO DE ESTUDIOS Edwin Giovany Vasquez x
15 [ui] estudiantes CENTRO DE ESTUDIOS Edwin Giovany Vasquez x
[email] correo electronico
16 CENTRO DE ESTUDIOS Edwin Giovany Vasquez x
institucional
17 [sub] Campus virtual CENTRO DE ESTUDIOS Esperanza Becerra x
18 [os] windows 10 CENTRO DE ESTUDIOS Edwin Giovany Vasquez x
19 [sub] Biblioteca virtual CENTRO DE ESTUDIOS Esperanza Becerra x
[prp] sistema de registro y
control academico
21 [ext] videoconferencia DTO DE SISTEMAS Esperanza Becerra x
22 [std] Apache DTO DE SISTEMAS Esperanza Becerra x
23 [std]PHP 5.6.30 DTO DE SISTEMAS Esperanza Becerra x
24 [std]MySQL 5.7 DTO DE SISTEMAS Esperanza Becerra x
25 [std]PHPmyAdmin x
[print] Impresora HP LaserJet
Enterprise serie 600
27 [des] Desarrolladores DTO DE SISTEMAS Edwin Omar Valencia x
28 [ui]Docentes CENTRO DE ESTUDIOS Edwin Giovany Vasquez x
[ipm] Gestion de usuarios y
29 DTO DE SISTEMAS Esperanza Becerra x
contraseñas
30 [op]tecnico soporte de redes DTO DE SISTEMAS Edwin Omar Valencia x
[files] Base de datos registro y
control
32 [files] Base de datos Biblioteca CENTRO DE ESTUDIOS Edwin Giovany Vasquez x
[password] Contraseñas de
acceso a campus virtual
34 [site] Departamento de sistemas DTO DE SISTEMAS Edwin Omar Valencia x
35 [site] sala de internet DTO DE SISTEMAS Edwin Omar Valencia x
36 [site] sala de sistemas DTO DE SISTEMAS Edwin Omar Valencia x
DATOS DEL ACTIVO DE INFORMACION TIPO
[Media] SOPORTE DE INFORMACIÓN

[AUX] EQUIPAMENTO AUXILIAR

[K] CLAVES CRIPTOGRAFICAS
No. Nombre del activo de Proceso propietario
Responsable
[L] INSTALACIONES
información del activo
[SW] SOFTWARE
[P] PERSONAL
[S] SERVICIOS
[D] DATOS
[site]Depatamento antiguo de
37 DTO DE SISTEMAS Edwin Omar Valencia x
sistemas
38 [site] sala de profesores DTO ACADEMICO Camila trujillo x
[site] oficina de registro y
control academico
40 [site] oficina contabilidad DTO CONTABILIDAD Camila trujillo x
41 [site] campus universitario CENTRO DE ESTUDIOS Edwin Giovany Vasquez x
[buildibg] edificio centro de
estudios superiores
43 [prov] Empresa Godaddy DTO DE SISTEMAS Edwin Omar Valencia X
44 [std] Antivirus DTO DE SISTEMAS Esperanza Becerra X
45 [com] Canal ancho de banda DTO DE SISTEMAS Pedro Javier Bayter Sánchez X
46 [ui] usuarios Administrativos DTO DE REGISTRO Y CONTROL Edwin Giovany Vasquez x
[print] Impresora SMART Sala de Docentes y
47 Camila trujillo X
MultiXpress M4370LX Funcionarios
[std] Sistemas operativos
48 Departamento de Sistemas Esperanza Becerra X
Servidores
Cuadro No 2 Atributos de los activos identificados
DATOS DEL ACTIVO DE ATRIBUTOS UBICACIÓN
¿Activo de información que debe ser
Activo de información que puede ser

restringido a un número limitado de
Activo de información que debe ser

Activo de información
crítico para las operaciones internas

Activo de información que es muy

terceros o de clientes que debe
alterado o comprometido para

restringido a personas externas
¿Es activo de información de
crítico para el servicio hacia

fraudes ó corrupción
protegerse?
empleados?
terceros
No. Nombre del activo de
Important Físico Electrónico
información Leve Grave
e
1 [Host] Servidor de impresión no si si si si no x x

2 [Host] servidor FTP no si si no si no x x
3 [sub] Pagina Web no no no si si si x
4 no si si si si no x x
control academico
5 [Host] Servidor DHCP no no si si si no x x
7 no no si si si no x x
ASA 5500
9 no no si no si no x x
academia
alambrico
2960
12 [op] tecnicos de Mantenimiento no no si si si no x
13 [ipphone] Telefonos Ip no no si no si no x x
14 [wap] puntos de acceso no no si si si no x x
15 [ui] estudiantes no no no no si no x
16 no no si si si si x
institucional
17 [sub] Campus virtual no no si no si si x x
18 [os] windows 10 no si no si no x x
19 [sub] Biblioteca virtual no no si no si no x x
20 no no si si si si x x
control academico
21 [ext] videoconferencia no si no no si si x
22 [std] Apache no so si si si si x x
23 [std]PHP 5.6.30 no si si si si si x x
24 [std]MySQL 5.7 no si si si si si x x
25 [std]PHPmyAdmin no si si si si si x
[print] Impresora HP LaserJet
26 no si si no si no x
Enterprise serie 600
27 [des] Desarrolladores no si si si si no x
28 [ui]Docentes no no si si si no x
29 no no si si si no x
contraseñas
30 [op]tecnico soporte de redes no no si si si no x
31 si si si si si no x x
control
32 [files] Base de datos Biblioteca no si si no si no x x
33 no no si si si si x x
34 [site] Departamento de sistemas no si si si si si x x
35 [site] sala de internet no no si si si si x x

36 [site] sala de sistemas no si si si si si x x
DATOS DEL ACTIVO DE INFORMA
¿Activo de información que debe ser
Activo de información que puede ser

restringido a un número limitado de
Activo de información que debe ser

Activo de información

terceros o de clientes que debe
alterado o comprometido para

restringido a personas externas
¿Es activo de información de
crítico para el servicio hacia

crítico para las operaciones
fraudes ó corrupción
protegerse?
empleados?
terceros
internas
No. Nombre del activo de
Important Físico Electrónico
información Leve Grave
e
37 no si si si si si x x
sistemas
38 [site] sala de profesores no si si si si si x x
39 no si si si si si x x
control academico
40 [site] oficina contabilidad no si si si si si x x
41 [site] campus universitario no no no no si si x x
42 no no no no si si x x
estudios superiores
43 [prov] Empresa Godaddy no si no si si si x X
44 [std] Antivirus no no si no si si x X
45 [com] Canal ancho de banda no no si si si si x X
46 [ui] usuarios Administrativos no no si si si no x x
[print] Impresora SMART
47 no no si no no no x x
MultiXpress M4370LX
48 SI SI SI SI SI SI X X
Servidores
4. Identificación de Amenazas
Amenazas
Activos de Informacion Nombre del activo de información
Metodologia Magerit
[I6] Corte del suministro eléctrico

[A.11] Acceso no autorizado
[A.23] Manipulacion de Equipos
[A.24] Denegacion de servicio
[A.25] Robo
[A.26] Ataque Destructivo
[A.6] Abusos de privilegios de acceso
[A.7] Uso no previsto
[E.2] Errores del Administrador
[E.23] Errores de mantenimiento/Actualizacion de equipos
(Hardware)
[E.24] Caida del sistema por agotamiento de recursos
[HW] EQUIPAMENTO INFORMÁTICO [Host] Servidor de impresión
[E.25]Perdida de equipos
[I.*] Desastres Industriales
[I.1] fuego
[i.11] Emanaciones electromagneticas
[I.2] Daños por Agua
[i.3] Contaminación Mecanica
[i.4] Contaminacion Electromagnetica
[i.7]Condiciones inandecuadas de temperatura o humedad
[N*]Desastres Naturales
[N.1]Fuego
[N.2]Daños por agua
[A11] Acceso no autorizado
[A.25] Robo
(Hardware)
[HW] EQUIPAMENTO INFORMÁTICO [Host] servidor FTP
[I.1] fuego
[i.6] Corte de suministro Electrico
[N.1]Fuego
Amenazas
Metodologia Magerit
[A.10] Alteracion de secuencia
[A.15] Modificacion deliberada de informacion
[A.18] Destruccion de informacion
[A.19] Divulgacion de informacion
[A.22] Manipulacion de programas
[A.5] Suplantacion de la identidad del usuario
[A.8] Difusion de software Dañino
[A.9] Reencaminamiento de mensajes
[SW] SOFTWARE [sub] Pagina Web
[E.1] Errores de los usuarios
[E.10] Errores de secuencia
[E.15] Alteracion accidental de informacion
[E.18] Destruccion de informacion
[E.19] Fugas de informacion
[E.20] vulnerabilidades de los programas (software
[E.21] Errores de mantenimiento/Actualizacion de porgramas
[E.8] Difusion de Software Dañino
[E.9] Errores de re-encaminamiento
[A.25] Robo
[E.23] Errores de mantenimiento/Actualizacion de equipos (Hardware)
[Host] servidor de registro y [E.25]Perdida de equipos
control academico [I.*] Desastres Industriales
[I.1] fuego
[N.1]Fuego
[A.25] Robo
[HW] EQUIPAMENTO INFORMÁTICO [Host] Servidor DHCP
[I.1] fuego
[N.1]Fuego
Amenazas
Metodologia Magerit
[SW] SOFTWARE [sub] Pagina Web
[A.25] Robo
[Host] servidor de registro y [E.25]Perdida de equipos
control academico [I.*] Desastres Industriales
[I.1] fuego
[N.1]Fuego
[A.25] Robo
[HW] EQUIPAMENTO INFORMÁTICO [Host] Servidor DHCP
[I.1] fuego
[N.1]Fuego
Amenazas
Metodologia Magerit
[A7] Uso no previsto
[A.25] Robo
[pc] Equipos de computo para [E.25]Perdida de equipos
gestion de sistema Contable [I.*] Desastres Industriales
[I.1] fuego
[N.1]Fuego
[A.25] Robo
[A.28] Indisponibilidad de personal
[A.29] Extorsion
[A.30] Ingenirei social
[pc] Equipos de computo para [E.24] Caida del sistema por agotamiento de recursos
academia [E.25]Perdida de equipos
[E.28] Indisponibilidad de personal
[E.7] Deficiencias en la organizacion
[I.1] fuego
[N.1]Fuego
[A.29] Extorsion
[P] PERSONAL [op] tecnicos de Mantenimiento
Amenazas
Metodologia Magerit
[I5] Avería de origen físico o lógico
[A.25] Robo
[HW] EQUIPAMENTO INFORMÁTICO [hub] puntos de acceso alambrico [E.25]Perdida de equipos
[I.1] fuego
[N.1]Fuego
[A.25] Robo
[I.1] fuego
[AUX] EQUIPAMENTO AUXILIAR [ipphone] Telefonos Ip
[i.9] Interrupcion de otros servicios y suministros esenciales
[N.1]Fuego
[A.25] Robo
[firewall] Cortafuesgos cisco ASA
[HW] EQUIPAMENTO INFORMÁTICO [I.*] Desastres Industriales
5500
[I.1] fuego
[N.1]Fuego
Amenazas
Metodologia Magerit
[A.25] Robo

registro y control academico [I.*] Desastres Industriales
[I.1] fuego
[N.1]Fuego
[A.25] Robo

[switch] Switch cisco catalyst [E.25]Perdida de equipos
2960 [I.*] Desastres Industriales
[I.1] fuego
[N.1]Fuego
[A.29] Extorsion
[P] PERSONAL [op] tecnicos de Mantenimiento
Amenazas
Metodologia Magerit
[A.25] Robo
[HW] EQUIPAMENTO INFORMÁTICO [hub] puntos de acceso alambrico [E.25]Perdida de equipos
[I.1] fuego
[N.1]Fuego
[A.25] Robo
[I.1] fuego
[AUX] EQUIPAMENTO AUXILIAR [ipphone] Telefonos Ip
[N.1]Fuego
[A.25] Robo
[firewall] Cortafuesgos cisco ASA [E.25]Perdida de equipos
[I.1] fuego
[N.1]Fuego
Amenazas
Metodologia Magerit
[A.25] Robo
registro y control academico [I.*] Desastres Industriales
[I.1] fuego
[N.1]Fuego
[A.25] Robo
[switch] Switch cisco catalyst [E.25]Perdida de equipos
[I.1] fuego
[N.1]Fuego
[A.25] Robo
[HW] EQUIPAMENTO INFORMÁTICO [wap] puntos de acceso [I.*] Desastres Industriales
[I.1] fuego
[N.1]Fuego
Amenazas
Metodologia Magerit
[A.29] Extorsion
[P] PERSONAL [ui] estudiantes
[A.13] Repudio
[S] SERVICIOS [A.7] Uso no previsto
institucional
[SW] SOFTWARE [sub] Campus virtual
[SW] SOFTWARE [os] windows 10
Amenazas
Metodologia Magerit
[SW] SOFTWARE [sub] Biblioteca virtual
[prp] sistema de registro y control [A.9] Reencaminamiento de mensajes
[SW] SOFTWARE
academico [E.1] Errores de los usuarios
[A.13] Repudio
[S] SERVICIOS [ext] videoconferencia [A.7] Uso no previsto
Amenazas
Metodologia Magerit
[SW] SOFTWARE [std] Apache
[SW] SOFTWARE [std]PHP 5.6.30
[SW] SOFTWARE [std]MySQL 5.7
Amenazas
Metodologia Magerit
[SW] SOFTWARE [std]PHPmyAdmin
[SW] SOFTWARE [std] Antivirus
[P] PERSONAL [prov] Empresa Godaddy
[A.27] Ocupacion Enemiga
[L] INSTALACIONES [E.18] Destruccion de informacion
estudios superiores
[I.1] fuego
[N.1]Fuego
Amenazas
Metodologia Magerit
[L] INSTALACIONES [site] campus universitario [E.18] Destruccion de informacion
[I.1] fuego
[N.1]Fuego
[site] oficina de registro y control
[L] INSTALACIONES [E.18] Destruccion de informacion
academico
[I.1] fuego
[N.1]Fuego
[L] INSTALACIONES [site] sala de profesores [E.18] Destruccion de informacion
[I.1] fuego
[N.1]Fuego
[L] INSTALACIONES [A.11] Acceso no autorizado
sistemas
[I.1] fuego
[N.1]Fuego
Amenazas
Metodologia Magerit
[L] INSTALACIONES [site] sala de sistemas [E.18] Destruccion de informacion
[I.1] fuego
[N.1]Fuego
[L] INSTALACIONES [site] sala de internet [E.18] Destruccion de informacion
[I.1] fuego
[N.1]Fuego
[L] INSTALACIONES [site] Departamento de sistemas [E.18] Destruccion de informacion
[I.1] fuego
[N.1]Fuego
[password] Contraseñas de acceso
[D] DATOS [A.6] Abusos de privilegios de acceso
a campus virtual
Amenazas
Metodologia Magerit
[D] DATOS [files] Base de datos Biblioteca [A.6] Abusos de privilegios de acceso
[D] DATOS [A.6] Abusos de privilegios de acceso
control
[A.29] Extorsion
[P] PERSONAL [op]tecnico soporte de redes [A.30] Ingenirei social
[A.13] Repudio
[S] SERVICIOS [A.7] Uso no previsto
contraseñas
[A.29] Extorsion
[P] PERSONAL [ui]Docentes
[A.29] Extorsion
[P] PERSONAL [des] Desarrolladores
Amenazas
Metodologia Magerit
[A.25] Robo
[A.29] Extorsion
[print] Impresora HP LaserJet [E.24] Caida del sistema por agotamiento de recursos
Enterprise serie 600 [E.25]Perdida de equipos
[I.1] fuego
[N.1]Fuego
[A.12] Analisis de Trafico
[A.14] Interceptacion de informacion
[COM] REDES DE COMUNICACIONES [com] Canal ancho de banda [A.7] Uso no previsto
[i.8] Falllo de servicios de comunicación
5. Identificación de Vulnerabilidades
Nombre del activo de Amenazas

Vulnerabilidades
información Metodologia Magerit
[I6] Corte del suministro eléctrico No disponible por falta fluido electrico
[A.24] Denegacion de servicio falla por virus
sustraccion de equipos por falta de barreras perimetrales
[A.25] Robo
adecuadas entre el centro de estudios y el exterior
Ubicado en zona del edificio cercana al Exterior que puede
exponer el servidor a un ataque
[E.2] Errores del Administrador Fallas de configuracion que permiten exposicion de datos
falta de mantenimiento de equipos servidores o mantenimiento
realizado por personal sin la competencia adecuada
[Host] Servidor de [E.24] Caida del sistema por agotamiento de recursos
impresión [E.25]Perdida de equipos
[I.*] Desastres Industriales Daños por fugas o daños en area aledaña de restaurante y cocina
Daños causados por Cableado, tomas electricas en mal estado por
[I.1] fuego
uso no adecuado que genere sobrecarga electrica
Se encuentra ubicado en un espacio sin condiciones de
climatizacion optima
[N.1]Fuego
[A11] Acceso no autorizado No se cuenta con control de acceso biometrico o monitoreo}
[A.24] Denegacion de servicio Falla por malware
sustraccion de equipos por falta de barreras perimetrales
[A.25] Robo
adecuadas entre el centro de estudios y el exterior
falta de mantenimiento de equipos servidores o mantenimiento
realizado por personal sin la competencia adecuada
[I.*] Desastres Industriales Daños por fugas o daños en area aledaña de restaurante y cocina
[Host] servidor FTP [I.1] fuego
Caida por falta de fluido electrico no se cuenta con respaldo
electrico
Se encuentra ubicado en un espacio sin condiciones de
climatizacion optima
[N.1]Fuego
Fugas de agua causadas por area de restaurante cercano a la
[N.2]Daños por agua instalacion por deficiencia en control de entorno o barreras
fisicas adecuadas
Nombre del activo Amenazas
Vulnerabilidades
de información Metodologia Magerit
Modificacion de la pagina expusta al publico por posibles fallas de
programacion
[A.18] Destruccion de informacion perdida de informacion por accion de Malware
[A.19] Divulgacion de informacion acceso ainformacion privilegiada desde la pagina web
[A.5] Suplantacion de la identidad del usuario usuarios que dejan sesion de los equipos de computo abierta
[sub] Pagina Web [A.9] Reencaminamiento de mensajes
[E.19] Fugas de informacion manejo no adecuado de informacion por clasificacion deficiente
sustraccion de equipos por falta de barreras perimetrales adecuadas entre
[A.25] Robo
el centro de estudios y el exterior
[E.23] Errores de mantenimiento/Actualizacion de equipos falta de mantenimiento de equipos servidores o mantenimiento realizado
(Hardware) por personal sin la competencia adecuada
[Host] servidor de [I.*] Desastres Industriales Daños por fugas o daños en area aledaña de restaurante y cocina
registro y control Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
academico adecuado que genere sobrecarga electrica
[i.6] Corte de suministro Electrico Caida por falta de fluido electrico no se cuenta con respaldo electrico
Se encuentra ubicado en un espacio sin condiciones de climatizacion
optima
Daños causados por Cableado, tomas electricas en mal estado por uso no
[N.1]Fuego
adecuado que genere sobrecarga electrica
[N.2]Daños por agua Fugas de agua causadas por area de restaurante cercano a la instalacion
por deficiencia en control de entorno o barreras fisicas adecuadas
[A.25] Robo
[E.23] Errores de mantenimiento/Actualizacion de equipos falta de mantenimiento de equipos servidores o mantenimiento realizado
(Hardware) por personal sin la competencia adecuada
[Host] Servidor DHCP [I.*] Desastres Industriales
[I.1] fuego
Se encuentra ubicado en un espacio sin condiciones de climatizacion
[i.7]Condiciones inandecuadas de temperatura o humedad optima
[N.1]Fuego
Fugas de agua causadas por area de restaurante cercano a la instalacion
Vulnerabilidades
[A.25] Robo
[E.23] Errores de mantenimiento/Actualizacion de equipos falta de mantenimiento preventivo de equipos
[pc] Equipos de [E.25]Perdida de equipos
computo para [I.*] Desastres Industriales
gestion de sistema Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
Contable adecuado que genere sobrecarga electrica
Caida por falta de fluido electrico no se cuenta con respaldo electrico
[N.1]Fuego
[A.25] Robo
Ausencia de personal que realiza el mantenimiento por enfermedad,
vacaciones o actividadees personales
[A.29] Extorsion
Manipulacion de empleados por personas con intencion de cometer fraude ,
[A.30] Ingenieria social
extorsion o estafa.
manejo no adecuado de informacion por clasificacion deficiente
[pc] Equipos de
computo para
academia
[I.1] fuego
[N.1]Fuego
[A.29] Extorsion
[op] tecnicos de extorsion o estafa.
Mantenimiento
Vulnerabilidades
[A.25] Robo
[hub] puntos de
acceso alambrico
[I.1] fuego
[N.1]Fuego
[A.25] Robo
[I.1] fuego
[ipphone] Telefonos adecuado que genere sobrecarga electrica
Ip [i.11] Emanaciones electromagneticas
[N.1]Fuego
[A.25] Robo
[firewall]
Cortafuesgos cisco
ASA 5500 [I.1] fuego
[N.1]Fuego
Vulnerabilidades
[A.11] Acceso no autorizado falta de mantenimiento de equipos
[A.25] Robo
[pc] Equipos de [E.25]Perdida de equipos
computo para [I.*] Desastres Industriales
registro y control Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
academico adecuado que genere sobrecarga electrica
[N.1]Fuego
[A.25] Robo
[switch] Switch [I.*] Desastres Industriales
cisco catalyst 2960 Daños causados por Cableado, tomas electricas en mal estado por uso no
[I.1] fuego
[N.1]Fuego
[A.25] Robo
[wap] puntos de
acceso [I.1] fuego
[N.1]Fuego
Vulnerabilidades
[A.29] Extorsion
extorsion o estafa.
[ui] estudiantes
[A.10] Alteracion de secuencia ataques de Malware al /
[A.13] Repudio Bloqueo de correo por reporte de Spam
Utilizacion de correo electronico para registro en plataformas o paginas
[email] correo [A.7] Uso no previsto
que no corresponden a las funciones del cargo
electronico
institucional
Apertura de correo de origen desaconocido con adjuntos que pueden
contener virus
[E.24] Caida del sistema por agotamiento de recursos ataques de Malware al Rootkit o botnet
[A.5] Suplantacion de la identidad del usuario Usuarios que comparten claves de acceso con otros usuarios
[sub] Campus virtual
liberacion de versione de aplicativos con errores por deficiencia en
pruebas
[os] windows 10 [E.1] Errores de los usuarios
[E.21] Errores de mantenimiento/Actualizacion de porgramas Falta de actualizaciones de sistema operativo
Vulnerabilidades
[sub] Biblioteca [E.1] Errores de los usuarios
virtual [E.10] Errores de secuencia
liberacion de versione de aplicativos con errores por deficiencia en
pruebas
[A.11] Acceso no autorizado Acceso por red no segmentada
[A.18] Destruccion de informacion perdida de informacion por accion de Malware
[A.6] Abusos de privilegios de acceso Firewall sin reglas que puede permitir el acceso a la red
[prp] sistema de
registro y control [E.1] Errores de los usuarios
Error por manipulacion de sistemas de usuarios no experinentados
academico
[E.21] Errores de mantenimiento/Actualizacion de porgramas Falta de actualizaciones de sistema operativo
[A.13] Repudio Bloqueo del servicio por falta de credenciales
[ext] [A.7] Uso no previsto
videoconferencia [A.9] Reencaminamiento de mensajes
Vulnerabilidades
[std] Apache [E.1] Errores de los usuarios
[std]PHP 5.6.30 [E.1] Errores de los usuarios
[E.21] Errores de mantenimiento/Actualizacion de porgramas Version de Php 5.6 ya no cuenta con soporte desde nov de 2018
Cuenta con vulnerabilidad identificada en 2016 con injeccion SQL,
permite ejecuion de comenado como Root
Modificacion de informacion por posibles fallas en sitio web que permita
injeccion de codigo SQL
[std]MySQL 5.7 [A.9] Reencaminamiento de mensajes
Vulnerabilidades
[std]PHPmyAdmin [E.1] Errores de los usuarios
[std] Antivirus [E.1] Errores de los usuarios
[E.2] Errores del Administrador Antivirus sin seguimiento a las actualizaciones y estado
acceso a informacion priviligiada para porder desarrollar actividad para la
[prov] Empresa [E.19] Fugas de informacion
que es contratada.
Godaddy
[buildibg] edificio
centro de estudios [E.19] Fugas de informacion
que es contratada.
superiores
[I.1] fuego
[N.1]Fuego
Vulnerabilidades
Acceso a intalaciones por personal no autorizado por deficiencia en
controles fisicos
[site] campus
universitario [E.19] Fugas de informacion
que es contratada.
[I.*] Desastres Industriales Daños por fugas o daños en area de restaurante y cocina
[I.1] fuego
[N.1]Fuego
[site] oficina de
registro y control [E.19] Fugas de informacion
que es contratada.
academico
[I.1] fuego
[N.1]Fuego
[site] sala de acceso a informacion priviligiada para porder desarrollar actividad para la
profesores que es contratada.
[I.1] fuego
[N.1]Fuego
[A.11] Acceso no autorizado no se cuenta con control de acceso
[site]Depatamento acceso a informacion priviligiada para porder desarrollar actividad para la
antiguo de sistemas que es contratada.
[I.1] fuego
[N.1]Fuego
Vulnerabilidades
[site] sala de que es contratada.
sistemas [I.*] Desastres Industriales
[I.1] fuego
[N.1]Fuego
[site] sala de internet [E.19] Fugas de informacion
que es contratada.
[I.1] fuego
[N.1]Fuego
[site] Departamento que es contratada.
de sistemas [I.*] Desastres Industriales Daños por fugas o daños en area aledaña de restaurante y cocina
[I.1] fuego
[N.1]Fuego
[A.11] Acceso no autorizado perdida de informacion por accion de Malware
[A.18] Destruccion de informacion Perdida de datos por infeccion de virus
Acceso informacion privilegiada desdeacceso inalambrico del campus, RED
[password] no segmentada
Contraseñas de [A.5] Suplantacion de la identidad del usuario
acceso a campus [A.6] Abusos de privilegios de acceso
virtual [E.1] Errores de los usuarios
[E.18] Destruccion de informacion Perdida de datos por infeccion de virus
[E.19] Fugas de informacion Claves compartidasentre usuarios
Vulnerabilidades
no segmentada
[files] Base de datos
Biblioteca
[E.2] Errores del Administrador Cambio en la configuracion del sistema
no segmentada
[files] Base de datos Acceso por claves compartidas de un usuario con mayor privilegxio
registro y control [A.6] Abusos de privilegios de acceso
[E.1] Errores de los usuarios Registro errado de datos por practicantes
[E.15] Alteracion accidental de informacion Registro errado de datos por practicantes
[E.2] Errores del Administrador Cambios en la configuracion del sistema
[A.29] Extorsion
[op]tecnico soporte Manipulacion de empleados por personas con intencion de cometer fraude ,
de redes extorsion o estafa.
Bloqueo de usuarios por ataques de fuerza bruta a contraseñas de cuentas
[A.13] Repudio
administradoras
no segmentada
[ipm] Gestion de
usuarios y
contraseñas
[A.29] Extorsion
extorsion o estafa.
[ui]Docentes
Ausencia de personal que realiza el Desarrollo o mantenimiento al softwre
por enfermedad, vacaciones o actividadees personales
[A.29] Extorsion
[des] extorsion o estafa.
Desarrolladores
Ausencia de personal que realiza el Desarrollo o mantenimiento al softwre
por enfermedad, vacaciones o actividadees personales
Activos de Informacion Vulnerabilidades
[A.25] Robo
[A.29] Extorsion
extorsion o estafa.
[print] Impresora HP
[HW] EQUIPAMENTO [E.24] Caida del sistema por agotamiento de recursos
LaserJet Enterprise
INFORMÁTICO [E.25]Perdida de equipos
serie 600
[I.1] fuego
[N.1]Fuego
[A.12] Analisis de Trafico
[A.14] Interceptacion de informacion
Utilizacion del canal para desacrgue de archivos de internet o consulta
[com] Canal ancho de banda de sitios no autorizados
[E.2] Errores del Administrador Cambio de configuracion del canal
[i.8] Falllo de servicios de comunicación Falla por daño fisico del proveedor del canal de comunicación
Ausencia de personal administrativo por enfermedad, vacaciones o
actividadees personales
[A.29] Extorsion
[ui] usuarios
[p] Personal Manipulacion de empleados por personas con intencion de cometer fraude ,
Administrativos [A.30] Ingenieria social
extorsion o estafa.
Ausencia de personal administrativo por enfermedad, vacaciones o
actividadees personales
[A.25] Robo
[A.29] Extorsion
extorsion o estafa.
[E.19] Fugas de informacion manejo no adecuado de informacion por clasificacion deficiente
Impresora SMART (Hardware)
[HW] EQUIPAMENTO INFORMÁTICO MultiXpress [E.24] Caida del sistema por agotamiento de recursos
M4370LX [E.25]Perdida de equipos
[I.1] fuego
[N.1]Fuego
Activos de Informacion Vulnerabilidades
[A.8] Difusion de software Dañino Antivirus Des actualizado
[std] Sistemas
[SW] SOFTWARE operativos
Servidores
[E.2] Errores del Administrador Sistema operativo con actualizaciones pendientes
[E.21] Errores de mantenimiento/Actualizacion de programas
6. Calificación de la Gestión
pero no efectivo, 3 efectivo pero no documentado, 4

10 a 15 apreciable (a), 16 a 20 importante (i), 21 a 25
Criticidad neta(1 a 4 despreciable (d), 5 a 9 baja (B),
Calificación de Gestión(1 control no existe, 2 existe

probable, 3 posible, 4 probable, 5 practicamente
Probabilidad de vulneración(1 Muy raro, 2 poco
Calculo del riesgo neto(Valoracion del riesgo *

VALORACIÓN DEL RIESGO DE LOS ACTIVOS
probabilidad de vulneración)
efectivo y documentado)
crítico(C))
seguro)
Nombre del activo Amenazas Si la opción es 2 - 3 o 4 Indique
Vulnerabilidades
de información Metodologia Magerit el Control aplicado actual
[Host] Servidor de 13 [i.6] Corte de suministro Electrico No disponible por falta fluido electrico 2 26 C 1
Antivirus, que no es
[Host] Servidor de
13 [A.24] Denegacion de servicio 4 52 C 2 minitoreada las
impresión
falla por virus actualizaciones
[Host] Servidor de [i.7]Condiciones inandecuadas de temperatura o Se encuentra ubicado en un espacio sin condiciones de climatizacion No existe un cuarto técnico
13 4 52 C 2
impresión humedad optima con seguridad
No se cuenta con control de acceso biometrico o monitoreo
[Host] servidor FTP 21 [A11] Acceso no autorizado 5 105 C 1
permitiendo posible acceso
[Host] servidor FTP 21 [A.24] Denegacion de servicio 4 84 C 2 minitoreada las
Falla por malware actualizaciones
[Host] servidor FTP 21 [i.6] Corte de suministro Electrico Caida por falta de fluido electrico no se cuenta con respaldo electrico 2 42 C 1
[i.7]Condiciones inandecuadas de temperatura o No existe un cuarto técnico

[Host] servidor FTP 21 5 105 C 2
humedad Se encuentra ubicado en un espacio sin condiciones de climatizacion con seguridad
optima
[sub] Pagina Web 25 [A.18] Destruccion de informacion perdida de informacion por accion de Malware 5 125 C 1
[sub] Pagina Web 25 [A.19] Divulgacion de informacion acceso ainformacion privilegiada desde la pagina web 4 100 C 1
[sub] Pagina Web 25 [A.5] Suplantacion de la identidad del usuario usuarios que dejan sesion de los equipos de computo abierta 3 75 C 1
[Host] servidor de 25 [A11] Acceso no autorizado No se cuenta con control de acceso biometrico o monitoreo 4 100 C 1
[Host] servidor de Antivirus, que no es
registro y control 25 [A.24] Denegacion de servicio 4 100 C 2 minitoreada las
academico Falla por malware actualizaciones
[Host] servidor de
registro y control 25 [i.6] Corte de suministro Electrico 2 50 C 1
academico Caida por falta de fluido electrico no se cuenta con respaldo electrico
[Host] servidor de
[i.7]Condiciones inandecuadas de temperatura o No existe un cuarto técnico
registro y control 25 5 125 C 2
humedad Se encuentra ubicado en un espacio sin condiciones de climatizacion con seguridad
academico
optima
[Host] Servidor DHCP 22 [A11] Acceso no autorizado No se cuenta con control de acceso biometrico o monitoreo 4 88 C 1
[Host] Servidor DHCP 22 [A.24] Denegacion de servicio 4 88 C 2 minitoreada las
[Host] Servidor DHCP 22 [i.6] Corte de suministro Electrico Caida por falta de fluido electrico no se cuenta con respaldo electrico 2 44 C 1
[i.7]Condiciones inandecuadas de temperatura o Se encuentra ubicado en un espacio sin condiciones de climatizacion No existe un cuarto técnico
[Host] Servidor DHCP 22 5 110 C 2
humedad optima con seguridad
[pc] Equipos de
computo para
gestion de sistema
actualizaciones
Contable Falla por malware
[pc] Equipos de
computo para
25 [i.6] Corte de suministro Electrico 2 50 C 1
gestion de sistema
Contable Caida por falta de fluido electrico no se cuenta con respaldo electrico
[pc] Equipos de Antivirus, que no es
computo para 18 [A.24] Denegacion de servicio 4 72 C 2 minitoreada las
academia Falla por malware actualizaciones
[pc] Equipos de
computo para 18 [i.6] Corte de suministro Electrico 2 36 C 1
academia Caida por falta de fluido electrico no se cuenta con respaldo electrico
[hub] puntos de
acceso alambrico
[hub] puntos de
acceso alambrico Caida por falta de fluido electrico no se cuenta con respaldo electrico
[ipphone] Telefonos
5 [i.6] Corte de suministro Electrico 2 10 B 1
Ip Caida por falta de fluido electrico no se cuenta con respaldo electrico
[firewall]
Configurado mas no hay
Cortafuesgos cisco 25 [E4] Errores de configuración Fallas en politicas de seguridad en su configuracion 4 100 C 2
documentacion
ASA 5500
[firewall]
Cortafuesgos cisco 25 [i.6] Corte de suministro Electrico 2 50 C 1
ASA 5500 Caida por falta de fluido electrico no se cuenta con respaldo electrico
[pc] Equipos de 25 [A.11] Acceso no autorizado falta de mantenimiento de equipos 2 50 C 1
[pc] Equipos de
computo para
registro y control
actualizaciones
academico Falla por malware
[pc] Equipos de
computo para
registro y control
academico Caida por falta de fluido electrico no se cuenta con respaldo electrico
[switch] Switch
cisco catalyst 2960
[switch] Switch
cisco catalyst 2960 Caida por falta de fluido electrico no se cuenta con respaldo electrico
[wap] puntos de
acceso
[wap] puntos de
acceso Caida por falta de fluido electrico no se cuenta con respaldo electrico
[email] correo 21 [A.10] Alteracion de secuencia ataques de Malware que bloquean el correo 3 63 C 2 Antivirus, que no es
[email] correo Cortafuegos Cisco ASA 5505,
electronico 21 [A.13] Repudio 4 84 C 2 no cuenta con reglas
institucional Bloqueo de correo por reporte de Spam implementadas
(B), 10 a 15 apreciable (a), 16 a 20 importante (i),
probable, 3 posible, 4 probable, 5 practicamente
Probabilidad de vulneración(1 Muy raro, 2 poco
Criticidad neta(1 a 4 despreciable (d), 5 a 9 baja

Calculo del riesgo neto(Valoracion del riesgo *
Calificación de Gestión(1 control no existe, 2
documentado, 4 efectivo y documentado)

existe pero no efectivo, 3 efectivo pero no
probabilidad de vulneración)
21 a 25 crítico(C))
seguro)
Nombre del activo Amenazas Si la opción es 2 - 3 o 4 Indique
Vulnerabilidades
de información Metodologia Magerit el Control aplicado actual
[email] correo Antivirus, que no es

electronico 21 [A.24] Denegacion de servicio 4 84 C 2 minitoreada las
institucional Falla por malware actualizaciones
[email] correo Cortafuegos Cisco ASA 5505,
electronico 21 [A.7] Uso no previsto Utilizacion de correo electronico para registro en plataformas o 3 63 C 2 no cuenta con reglas
institucional paginas que no corresponden a las funciones del cargo implementadas
[email] correo Antivirus, que no es
electronico 21 [E.1] Errores de los usuarios Apertura de correo de origen desaconocido con adjuntos que pueden 4 84 C 2 minitoreada las
institucional contener virus actualizaciones
[sub] Campus virtual 21 [A.5] Suplantacion de la identidad del usuario Usuarios que comparten claves de acceso con otros usuarios 3 63 C 1
[E.21] Errores de mantenimiento/Actualizacion de liberacion de versione de aplicativos con errores por deficiencia en
[sub] Campus virtual 21 3 63 C 1
porgramas pruebas
[os] windows 10 15 [E.21] Errores de mantenimiento/Actualizacion de Falta de actualizaciones de sistema operativo 2 30 C 2 El WSUS no funciona
[sub] Biblioteca
12 [A.5] Suplantacion de la identidad del usuario 3 36 C 1
virtual Usuarios que comparten claves de acceso con otros usuarios
[sub] Biblioteca [E.21] Errores de mantenimiento/Actualizacion de liberacion de versione de aplicativos con errores por deficiencia en
12 3 36 C 1
virtual porgramas pruebas
[prp] sistema de
registro y control 25 [A.11] Acceso no autorizado 5 125 C 1
academico Acceso por red no segmentada
[prp] sistema de
registro y control 25 [A.18] Destruccion de informacion 5 125 C 1
academico perdida de informacion por accion de Malware
[prp] sistema de
registro y control 25 [A.5] Suplantacion de la identidad del usuario 3 75 C 1
academico Usuarios que comparten claves de acceso con otros usuarios
[prp] sistema de
registro y control 25 [A.6] Abusos de privilegios de acceso 5 125 C 1
academico Firewall sin reglas que puede permitir el acceso a la red
[prp] sistema de
registro y control 25 [E.1] Errores de los usuarios 5 125 C 1
academico Error por manipulacion de sistemas de usuarios no experimentados
[prp] sistema de
registro y control 25 [E.19] Fugas de informacion 2 50 C 1
academico manejo no adecuado de informacion por clasificacion deficiente
[prp] sistema de
[E.21] Errores de mantenimiento/Actualizacion de
registro y control 25 2 50 C 1
porgramas
academico Falta de actualizaciones de sistema operativo
Cortafuegos Cisco ASA 5505,
[ext]
11 [A.13] Repudio 3 33 C 2 no cuenta con reglas
videoconferencia
Bloqueo del servicio por falta de credenciales implementadas
[ext]
videoconferencia
[ext]
11 [E.19] Fugas de informacion 2 22 C 1
videoconferencia manejo no adecuado de informacion por clasificacion deficiente
[std] Apache 22 [E.19] Fugas de informacion manejo no adecuado de informacion por clasificacion deficiente 2 44 C 1
[std]PHP 5.6.30 22 [E.19] Fugas de informacion manejo no adecuado de informacion por clasificacion deficiente 2 44 C 1
[std]PHP 5.6.30 22 [E.21] Errores de mantenimiento/Actualizacion de Version de Php 5.6 ya no cuenta con soporte desde nov de 2018 5 110 C 1
Cuenta con vulnerabilidad identificada en 2016 con injeccion SQL,
[std]MySQL 5.7 22 [A.11] Acceso no autorizado 3 66 C 1
permite ejecuion de comenado como Root
[std]MySQL 5.7 22 [E.19] Fugas de informacion manejo no adecuado de informacion por clasificacion deficiente 2 44 C 1
[std]PHPmyAdmin 22 [E.19] Fugas de informacion manejo no adecuado de informacion por clasificacion deficiente 2 44 C 1
[std] Antivirus 16 [E.19] Fugas de informacion manejo no adecuado de informacion por clasificacion deficiente 2 32 C 1
[prov] Empresa acceso a informacion priviligiada para porder desarrollar actividad
Godaddy para la que es contratada.
[buildibg] edificio
centro de estudios 21 [E.19] Fugas de informacion acceso a informacion priviligiada para porder desarrollar actividad 3 63 C 1
superiores para la que es contratada.
[site] campus Acceso a intalaciones por personal no autorizado por deficiencia en
20 [A.11] Acceso no autorizado 4 80 C 1
universitario controles fisicos
[site] campus acceso a informacion priviligiada para porder desarrollar actividad
universitario para la que es contratada.
[site] oficina de
registro y control 24 [E.19] Fugas de informacion acceso a informacion priviligiada para porder desarrollar actividad 3 72 C 1
academico para la que es contratada.
[site] sala de acceso a informacion priviligiada para porder desarrollar actividad
profesores para la que es contratada.
[site]Departamento 22 [A.11] Acceso no autorizado no se cuenta con control de acceso 4 88 C 1
[site]Departamento acceso a informacion priviligiada para porder desarrollar actividad
antiguo de sistemas para la que es contratada.
[site] sala de acceso a informacion priviligiada para porder desarrollar actividad
sistemas para la que es contratada.
acceso a informacion priviligiada para porder desarrollar actividad
[site] sala de internet 21 [E.19] Fugas de informacion 3 63 C 1
para la que es contratada.
[site] Departamento acceso a informacion priviligiada para porder desarrollar actividad
de sistemas para la que es contratada.
[password] 22 [A.11] Acceso no autorizado perdida de informacion por accion de Malware 5 110 C 1
[password]
Contraseñas de
22 [A.18] Destruccion de informacion 5 110 C 2 minitoreada las
acceso a campus
actualizaciones
virtual Perdida de datos por infeccion de virus
[password]
Contraseñas de
22 [A.19] Divulgacion de informacion 5 110 C 1
acceso a campus Acceso informacion privilegiada desdeacceso inalambrico del campus,
virtual RED no segmentada
[password]
Contraseñas de
22 [E.18] Destruccion de informacion 5 110 C 2 minitoreada las
acceso a campus
actualizaciones
virtual Perdida de datos por infeccion de virus
[password]
Contraseñas de
acceso a campus
virtual Claves compartidasentre usuarios
Biblioteca
Perdida de datos por infeccion de virus actualizaciones
[files] Base de datos Acceso informacion privilegiada desde acceso inalambrico del campus,
Biblioteca RED no segmentada
Biblioteca Usuarios que comparten claves de acceso con otros usuarios
Biblioteca
Biblioteca manejo no adecuado de informacion por clasificacion deficiente
Calificación de Gestión(1 control no existe, 2

Calculo del riesgo neto(Valoracion del riesgo
documentado, 4 efectivo y documentado)

existe pero no efectivo, 3 efectivo pero no
Criticidad neta(1 a 4 despreciable (d), 5 a 9
Probabilidad de vulneración(1 Muy raro, 2
poco probable, 3 posible, 4 probable, 5
baja (B), 10 a 15 apreciable (a), 16 a 20

importante (i), 21 a 25 crítico(C))
* probabilidad de vulneración)
practicamente seguro)
Amenazas Si la opción es 2 - 3 o 4 Indique
Vulnerabilidades
Metodologia Magerit el Control aplicado actual
Acceso informacion privilegiada desdeacceso inalambrico del campus,
RED no segmentada
Acceso por claves compartidas de un usuario con mayor privilegio
25 [E.1] Errores de los usuarios 4 100 C 1
Registro errado de datos por practicantes
25 [E.15] Alteracion accidental de informacion 4 100 C 1
Registro errado de datos por practicantes
25 [E.2] Errores del Administrador 2 50 C 1
Cambios en la configuracion del sistema
Cortafuegos Cisco ASA 5505,
21 [A.13] Repudio Bloqueo de usuarios por ataques de fuerza bruta a contraseñas de 3 63 C 2 no cuenta con reglas
cuentas administradoras implementadas
21 [A.19] Divulgacion de informacion Acceso informacion privilegiada desdeacceso inalambrico del campus, 5 105 C 1
RED no segmentada

19 [E.19] Fugas de informacion manejo no adecuado de informacion por clasificacion deficiente 2 38 C 1
9 [E.19] Fugas de informacion 2 18 I 1

9 [i.6] Corte de suministro Electrico 2 18 I 1

16 [E.19] Fugas de informacion manejo no adecuado de informacion por clasificacion deficiente 2 32 C 1
16 [E.2] Errores del Administrador Cambio de configuracion del canal 2 32 C 1


16 [A.8] Difusion de software Dañino 64 C 2 minitoreada las
Antivirus Des actualizado 4 actualizaciones
16 [E.2] Errores del Administrador 64 C 1
Sistema operativo con actualizaciones pendientes 4

En Resumen tenemos la siguiente distribución de calificación de probabilidades para los activos
y las vulnerabilidades identificadas
% Participacion de Probabilidades
0%
20%
33% 1 Muy raro
2 poco probable
26% 3 posible
21% 4 probable
5 practicamente seguro
La calificación de la gestión se concentra principalmente en: Control no existe y existe, pero no

es efectivo, como se aprecia en la siguiente Grafica
Calificación de la Gestión
28%
1 control no existe
72% 2 existe pero no efectivo
Nivel de aceptación del Riesgo
Niveles de aceptación del riesgo (1 a 5 aceptable (A),

(B), 10 a 15 apreciable (a), 16 a 20 importante (i), 21
Criticidad residual (1 a 4 despreciable (d), 5 a 9 baja
Riesgo residual (riesgo neto dividido entre la
6 a 15 moderado (M), 16 a 26 inaceptable(I))

calificación de gestión)
a 25 crítico(C))
Nombre del activo de
información
[Host] Servidor de impresión 26 C I
[Host] servidor FTP 105 C I
[sub] Pagina Web 125 C I

100 C I
control académico
50 C I
control académico

50 C I
control académico
63 C I
control académico
[Host] Servidor DHCP 88 C I
[pc] Equipos de cómputo

para gestión de sistema 50 C I
Contable

para gestión de sistema 50 C I
Contable

36 C I
para academia

36 C I
para academia

46 C I
alámbrico

46 C I
alámbrico
[ipphone] Teléfonos Ip 10 B M
[firewall] Cortafuegos cisco

50 C I
ASA 5500
[firewall] Cortafuegos cisco

50 C I
ASA 5500

para registro y control 50 C I
académico
académico
académico
48 C I
2960

48 C I
2960
[wap] puntos de acceso 46 C I
[wap] puntos de acceso 46 C I
[email] correo electrónico

32 C I
institucional

42 C I
institucional

42 C I
institucional

32 C I
institucional

42 C I
institucional
[sub] Campus virtual 63 C I
[sub] Campus virtual 63 C I
[os] Windows 10 15 A I
[sub] Biblioteca virtual 36 C I
[sub] Biblioteca virtual 36 C I

125 C I
control académico

125 C I
control académico
75 C I
control académico

125 C I
control académico

125 C I
control académico

50 C I
control académico

50 C I
control académico
[ext] videoconferencia 17 I I
[ext] videoconferencia 22 C I
[ext] videoconferencia 22 C I
[std] Apache 44 C I
[std]PHP 5.6.30 44 C I
[std]PHP 5.6.30 110 C I
[std]MySQL 5.7 66 C I
[std]MySQL 5.7 44 C I
[std]PHPmyAdmin 44 C I
[std] Antivirus 32 C I
[prov] Empresa Godaddy 69 C I

63 C I
estudios superiores
[site] campus universitario 80 C I
[site] campus universitario 60 C I

72 C I
control académico
[site] sala de profesores 60 C I
[site]Departamento antiguo
88 C I
de sistemas
[site]Departamento antiguo
66 C I
de sistemas
[site] sala de sistemas 75 C I
[site] sala de internet 63 C I
[site] Departamento de
69 C I
sistemas
110 C I
55 C I
110 C I
55 C I
66 C I

43 C I
Biblioteca
85 C I
Biblioteca

51 C I
Biblioteca

43 C I
Biblioteca

34 C I
Biblioteca
[files] Base de datos registro

63 C I
y control

125 C I
y control

75 C I
y control

100 C I
y control

100 C I
y control

63 C I
y control

50 C I
y control

50 C I
y control
[op]técnico soporte de redes 38 C I

32 C I
contraseñas

105 C I
contraseñas

42 C I
contraseñas
53 C I
contraseñas

42 C I
contraseñas
[ui]Docentes 38 C I
[des] Desarrolladores 48 C I
18 I I
LaserJet Enterprise serie 600
18 I I
18 I I
[com] Canal ancho de banda 32 C I
[com] Canal ancho de banda 32 C I

32 C I
MultiXpress M4370LX

32 C I
MultiXpress M4370LX

32 C I
MultiXpress M4370LX

32 C I
Servidores

64 C I
Servidores
Los niveles de aceptación del riesgo identificado una vez realizada la clasificación
Niveles de Aceptación del Riesgo
1%
Inaceptable
Moderado
99%
Ahora bien, teniendo en cuenta que en la fase 2 se definió que se debe hacer tratamiento de
riesgo para nivel inaceptable y se aceptan riesgos admisibles y moderados.
7. Mapa de Calor
8. controles a aplicar
Control a aplicar Descripción de la aplicación del control
información
A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
[Host] Servidor de impresión
suministros planta electrica que de alimnetacion a los equipo de computo criticos
Controles de acceso Implmentar controles de acceso en las areas donde se ubican los servidores, de forma
[Host] servidor FTP
A.11.1.2 fisico que se asegure el acceso a personal autorizado previemente bien identificados
[Host] servidor FTP
Proteccion contra
[Host] servidor FTP amenzas externas y Implementar sistema de medicion y alarma de las condiciones ambientales del lugar
A.11.1.4 ambientales donde se encuentra ubicado el servidor
Proteccion contra Se deben implementar controles de deteccion, de prevencion y de recuperacion, combinados
[sub] Pagina Web
A.12.2 codigos maliciosos con la toma de conciencia apropiada de los usuarios
[Host] servidor de registro y Controles de acceso Implmentar controles de acceso en las areas donde se ubican los servidores, de forma
control academico A.11.1.2 fisico que se asegure el acceso a personal autorizado previemente bien identificados
[Host] servidor de registro y A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
control academico suministros planta electrica que de alimnetacion a los equipo de computo criticos
Proteccion contra
amenzas externas y Implementar sistema de medicion y alarma de las condiciones ambientales del lugar
control academico
Controles de acceso Implmentar controles de acceso en las areas donde se ubican los servidores, de forma
[Host] Servidor DHCP
A.11.1.2 fisico que se asegure el acceso a personal autorizado previemente bien identificados
[Host] Servidor DHCP
Proteccion contra
[Host] Servidor DHCP amenzas externas y Implementar sistema de medicion y alarma de las condiciones ambientales del lugar
[pc] Equipos de computo para A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
academia suministros planta electrica que de alimnetacion a los equipo de computo criticos
[hub] puntos de acceso A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
alambrico suministros planta electrica que de alimnetacion a los equipo de computo criticos
[ipphone] Telefonos Ip
Gestion de
seguridad de las identificar los mecanismos de seguridad, los niveles de servicio y los requisitos de gestion de
ASA 5500
A.13.1 redes todos los servicios de red
[firewall] Cortafuesgos cisco A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
ASA 5500 suministros planta electrica que de alimnetacion a los equipo de computo criticos
Gestion de
seguridad de las identificar los mecanismos de seguridad, los niveles de servicio y los requisitos de gestion de
2960
[switch] Switch cisco catalyst A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
2960 suministros planta electrica que de alimnetacion a los equipo de computo criticos
Gestion de
[wap] puntos de acceso seguridad de las identificar los mecanismos de seguridad, los niveles de servicio y los requisitos de gestion de
Gestion de
[wap] puntos de acceso seguridad de las
A.13.1 redes
Seguridad en los
procesos de Establcer politica con reglas claras de desarrollo, que permitan llevar un control adecuado
[sub] Campus virtual
desarrollo y de de cambios, establcer prinicipios para la construccion de sitema seguris y establcer un
A.14.2 soporte ambiente de desarrollo con un apropiado gestion de cambios.
Seguridad en los
[os] windows 10
Seguridad en los
[sub] Biblioteca virtual
Control a aplicar Descripción de la aplicación del control
información
[prp] sistema de registro y Proteccion contra Se deben implementar controles de deteccion, de prevencion y de recuperacion, combinados
control academico A.12.2 codigos maliciosos con la toma de conciencia apropiada de los usuarios
Seguridad en los
[prp] sistema de registro y procesos de Establcer politica con reglas claras de desarrollo, que permitan llevar un control adecuado
control academico desarrollo y de de cambios, establcer prinicipios para la construccion de sitema seguris y establcer un
Instalación de
[std] Apache
software en Se debe implementar un procedimiento para instalar y mantener actualizado las versiones
A.12.5.1 sistemas operativos de sistema operativo de forma adecuada
Instalación de
[std]PHP 5.6.30
Instalación de
[std]PHP 5.6.30
[site]Departamento antiguo de Controles de acceso Implmentar controles de acceso en las areas donde se ubican los servidores, de forma
sistemas A.11.1.2 fisico que se asegure el acceso a personal autorizado previemente bien identificados
[password] Contraseñas de Politica de control Se debe establecer, documentar y revisar una politica de control de acceso con base en los
acceso a campus virtual A.9.1.1 de acceso requisitos del negocio t de seguridad de la informacion
[password] Contraseñas de Proteccion contra Se deben implementar controles de deteccion, de prevencion y de recuperacion, combinados
acceso a campus virtual A.12.2 codigos maliciosos con la toma de conciencia apropiada de los usuarios
[password] Contraseñas de Sistema de gestion Implementar un sistema de gestion de contraseñas, que permita asegurar la utilizacion de
acceso a campus virtual A.9.4.3 de contraseñas contraseñas Fuertes
[files] Base de datos Proteccion contra Se deben implementar controles de deteccion, de prevencion y de recuperacion, combinados
Biblioteca A.12.2 codigos maliciosos con la toma de conciencia apropiada de los usuarios
Se debe implementar proceso para asegurar: el debido registro, cancelacion de accesos y
Gestion de acceso a validacion apropiada de la asignacion de permisos. Revision periodica de los permisos
Biblioteca
A.9.2 Usuarios asignados y cambios de rol o de responsabilidades vs los permisos asignados
[files] Base de datos registro y Proteccion contra Se deben implementar controles de deteccion, de prevencion y de recuperacion, combinados
control A.12.2 codigos maliciosos con la toma de conciencia apropiada de los usuarios
control
contraseñas
[print] Impresora HP LaserJet A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
Enterprise serie 600 suministros planta electrica que de alimnetacion a los equipo de computo criticos
[print] Impresora SMART A11.2.2 Servicios de implementar dispositivos para control de cambios de voltaje, revisar la instalacion de
MultiXpress M4370LX suministros planta electrica que de alimnetacion a los equipo de computo criticos
[std] Sistemas operativos Instalación de

Servidores software en Se debe implementar un procedimiento para instalar y mantener actualizado las versiones
A.12.5.1 sistemas operativos de sistema operativo de forma adecuada -
En la siguiente tabla se presenta el resumen de los controles requeridos para los riesgos a
mitigar.
Control %
Servicios de suministros 29.27
Protección contra códigos maliciosos 12.20
Seguridad en los procesos de desarrollo y de soporte 9.76
Controles de acceso físico 9.76
Instalación de software en sistemas operativos 9.76
Gestión de seguridad de las redes 7.32
Gestión de acceso a Usuarios 7.32
Protección contra amenazas externas y ambientales 7.32
Sistema de gestión de contraseñas 2.44
Tratamiento de la seguridad dentro de los acuerdos con proveedores 2.44
Política de control de acceso 2.44
9. Tratamiento de Riesgos
Una vez realizado la clasificación de tratamiento de riesgos se identifica la siguiente
participación, donde se cuenta con 35% de riesgos a mitigar y 65% de riesgos a Transferir.
Tratamiento de Riesgos
35%
Tranferir
65%
Mitigar
Distribución de tratamiento de riesgos por

Categoria de activo
30
25
20
15
10 Mitigar
5 Transefir
0
La mayor concentracion de riesgos que pueden se solucionados a partir de su transferencia
corresponden a los asociados a los sitios fisicos, ya sea mediante la adiquiicion de polizas
que cubran siniestros ocoasionados por desastres industriales (corriente debil), fenomenos
naturales o Robo, seguido con un 155 de participación de los riesgos que se puede transferir
mediente la utilizacion de Datacenters tercerizados para dar cobertura los riesgos asociados con
Servidores, tanto en us daño fisico, como en las fallas generadas por deficiencia en el monitoreo
de los mismos.
Transefir
Datos
Equipos
11% host
36%
18% Pc
provedores
14% Recurso humano
15% 5%1%
redes
site
soft estandar
Software
En cuanto a los riesgos a mitigar el 24 % corresponde Activos de Host (Servidores), seguidos
con el 14% en Datos, Redes y software como los más representativos.
Mitigar
Datos
Equipos
2% 14%
14% host
7% Pc
12%
3% provedores
24%
14% Recurso humano
3% 7%
redes
site
soft estandar
Software
Niveles de aceptación
aceptable (A), 6 a 15
moderado (M), 16 a
Vulnerabilidades
26 inaceptable(I))
del riesgo (1 a 5
Transefir
Aceptar
Mitigar
[Host] Servidor de [i.6] Corte de suministro No disponible por falta fluido
I x
impresión Electrico electrico
[Host] Servidor de [A.26] Ataque Ubicado en zona del edificio

I
impresión Destructivo cercana al Exterior que puede
exponer el servidor a un ataque x
Daños causados por Cableado,

[Host] Servidor de
[I.1] fuego tomas electricas en mal estado I
impresión
por uso no adecuado que
genere sobrecarga electrica x

[Host] Servidor de
[N.1]Fuego tomas electricas en mal estado I
impresión
[A11] Acceso no No se cuenta con control de

[Host] servidor FTP I
autorizado acceso biometrico o monitoreo
permitiendo posible acceso x
El servidor no cuenta con
redundancia en la red, si el Hub
[E.24] Caida del sistema
1 falla, el servidor queda
[Host] servidor FTP por agotamiento de I
aislado y los usuarios no
recursos
pueden acceder a la
información. x

[Host] servidor FTP [I.1] fuego tomas electricas en mal estado I
Caida por falta de fluido
[i.6] Corte de suministro
[Host] servidor FTP electrico no se cuenta con I x
Electrico
respaldo electrico
[i.7]Condiciones Se encuentra ubicado en un
[Host] servidor FTP inandecuadas de espacio sin condiciones de I
temperatura o humedad climatizacion optima x

[Host] servidor FTP [N.1]Fuego tomas electricas en mal estado I
Niveles de aceptación del riesgo
Vulnerabilidades
(1 a 5 aceptable (A), 6 a 15
moderado (M), 16 a 26
inaceptable(I))
Transefir
Aceptar
Mitigar
Fugas de agua causadas por
area de restaurante cercano a
[Host] servidor FTP [N.2]Daños por agua la instalacion por deficiencia I
en control de entorno o
barreras fisicas adecuadas x
[A.18] Destruccion de perdida de informacion por
[sub] Pagina Web I
informacion accion de Malware x
[Host] servidor de
[A11] Acceso no
registro y control No se cuenta con control de I
autorizado
academico acceso biometrico o monitoreo x
[Host] servidor de Daños por fugas o daños en
[I.*] Desastres
registro y control area aledaña de restaurante y I
Industriales
academico cocina x
[Host] servidor de Daños causados por Cableado,

registro y control [I.1] fuego tomas electricas en mal estado I
academico por uso no adecuado que
[Host] servidor de Caida por falta de fluido
registro y control electrico no se cuenta con I x
Electrico
academico respaldo electrico
[Host] servidor de [i.7]Condiciones Se encuentra ubicado en un
registro y control inandecuadas de espacio sin condiciones de I
academico temperatura o humedad climatizacion optima x
[Host] servidor de Daños causados por Cableado,

registro y control [N.1]Fuego tomas electricas en mal estado I
[Host] servidor de area de restaurante cercano a
registro y control [N.2]Daños por agua la instalacion por deficiencia I
academico en control de entorno o
[A11] Acceso no
[Host] Servidor DHCP No se cuenta con control de I
autorizado
acceso biometrico o monitoreo x
Niveles de aceptación del riesgo
Vulnerabilidades
(1 a 5 aceptable (A), 6 a 15
moderado (M), 16 a 26
inaceptable(I))
Transefir
Aceptar
Mitigar
[Host] Servidor DHCP [I.1] fuego tomas electricas en mal estado I
[Host] Servidor DHCP electrico no se cuenta con I x
Electrico
respaldo electrico
[i.7]Condiciones Se encuentra ubicado en un
[Host] Servidor DHCP inandecuadas de espacio sin condiciones de I
temperatura o humedad climatizacion optima x

[Host] Servidor DHCP [N.1]Fuego tomas electricas en mal estado I
[Host] Servidor DHCP [N.2]Daños por agua la instalacion por deficiencia I
[pc] Equipos de [E.23] Errores de
computo para mantenimiento/Actualiz
I
gestion de sistema acion de equipos falta de mantenimiento
Contable (Hardware) preventivo de equipos x
[pc] Equipos de
computo para
gestion de sistema
Contable
[pc] Equipos de
computo para [i.6] Corte de suministro Caida por falta de fluido
I x
gestion de sistema Electrico electrico no se cuenta con
Contable respaldo electrico
[pc] Equipos de
computo para
gestion de sistema
Contable
Ausencia de personal que
[pc] Equipos de
[A.28] Indisponibilidad realiza el mantenimiento por
computo para I
de personal enfermedad, vacaciones o
academia
actividadees personales x
riesgo (1 a 5 aceptable (A), 6 a
Niveles de aceptación del
15 moderado (M), 16 a 26
Vulnerabilidades
inaceptable(I))
Transefir
Aceptar
Mitigar
[E.23] Errores de
[pc] Equipos de
mantenimiento/Actualiz
computo para I
acion de equipos falta de mantenimiento
academia
(Hardware) preventivo de equipos x
[pc] Equipos de
[E.28] Indisponibilidad realiza el mantenimiento por
computo para I
de personal enfermedad, vacaciones o
academia
[pc] Equipos de Daños causados por Cableado,

computo para [I.1] fuego tomas electricas en mal estado I
academia por uso no adecuado que
[pc] Equipos de Caida por falta de fluido
computo para electrico no se cuenta con I x
Electrico
academia respaldo electrico
[pc] Equipos de Daños causados por Cableado,

computo para [N.1]Fuego tomas electricas en mal estado I
academia por uso no adecuado que
[op] tecnicos de [A.28] Indisponibilidad realiza el mantenimiento por
I
Mantenimiento de personal enfermedad, vacaciones o
[E.23] Errores de
[hub] puntos de mantenimiento/Actualiz
I
acceso alambrico acion de equipos falta de mantenimiento

[hub] puntos de
acceso alambrico
[hub] puntos de [i.6] Corte de suministro
electrico no se cuenta con I x
acceso alambrico Electrico
respaldo electrico

[hub] puntos de
acceso alambrico
aceptación del riesgo
(1 a 5 aceptable (A),
6 a 15 moderado
Vulnerabilidades
inaceptable(I))
(M), 16 a 26
Niveles de
Transefir
Aceptar
Mitigar
[firewall]
[A.24] Denegacion de
Cortafuesgos cisco I x
servicio
ASA 5500 Falla por malware
[E.23] Errores de
[firewall]
mantenimiento/Actualiz
Cortafuesgos cisco I
acion de equipos falta de mantenimiento
ASA 5500
[firewall] Daños causados por Cableado,

Cortafuesgos cisco [I.1] fuego tomas electricas en mal estado I
ASA 5500 por uso no adecuado que
[firewall] Caida por falta de fluido
Cortafuesgos cisco electrico no se cuenta con I x
Electrico
ASA 5500 respaldo electrico
[firewall] Daños causados por Cableado,

Cortafuesgos cisco [N.1]Fuego tomas electricas en mal estado I
ASA 5500 por uso no adecuado que
[pc] Equipos de [E.23] Errores de
computo para mantenimiento/Actualiz
I
registro y control acion de equipos falta de mantenimiento
academico (Hardware) preventivo de equipos x
[pc] Equipos de
computo para
registro y control
academico
[pc] Equipos de
computo para [i.6] Corte de suministro Caida por falta de fluido
I x
registro y control Electrico electrico no se cuenta con
academico respaldo electrico
[pc] Equipos de
computo para
registro y control
academico
[switch] Switch [A.24] Denegacion de
I x
cisco catalyst 2960 servicio Falla por malware
6 a 15 moderado
Vulnerabilidades
inaceptable(I))
(M), 16 a 26
Niveles de
Transefir
Aceptar
Mitigar
[E.23] Errores de
[switch] Switch mantenimiento/Actualiz
I
cisco catalyst 2960 acion de equipos falta de mantenimiento

[switch] Switch
cisco catalyst 2960
[switch] Switch [i.6] Corte de suministro
electrico no se cuenta con I x
cisco catalyst 2960 Electrico
respaldo electrico

[switch] Switch
cisco catalyst 2960
[wap] puntos de [A.24] Denegacion de
I x
acceso servicio Falla por malware
[E.23] Errores de
[wap] puntos de mantenimiento/Actualiz
I
acceso acion de equipos falta de mantenimiento

[wap] puntos de
acceso

[wap] puntos de
acceso
[E.21] Errores de liberacion de versione de
[sub] Campus virtual mantenimiento/Actualiz aplicativos con errores por I
acion de porgramas deficiencia en pruebas x
[E.21] Errores de
[os] windows 10 mantenimiento/Actualiz Falta de actualizaciones de I
acion de porgramas sistema operativo x
6 a 15 moderado
Vulnerabilidades
inaceptable(I))
(M), 16 a 26
Niveles de
Transefir
Aceptar
Mitigar
[E.21] Errores de liberacion de versione de
[sub] Biblioteca
mantenimiento/Actualiz aplicativos con errores por I
virtual
acion de porgramas deficiencia en pruebas x
[prp] sistema de
[A.18] Destruccion de
registro y control perdida de informacion por I
informacion
academico accion de Malware x
[prp] sistema de [E.21] Errores de
registro y control mantenimiento/Actualiz Falta de actualizaciones de I
academico acion de porgramas sistema operativo x
manejo no adecuado de
[E.19] Fugas de
[std] Apache informacion por clasificacion I
informacion
deficiente x
manejo no adecuado de
[E.19] Fugas de
[std]PHP 5.6.30 informacion por clasificacion I
informacion
deficiente x
[E.21] Errores de Version de Php 5.6 ya no
[std]PHP 5.6.30 mantenimiento/Actualiz cuenta con soporte desde nov I
acion de porgramas de 2018 x
acceso a informacion
[prov] Empresa [E.19] Fugas de priviligiada para porder
I
Godaddy informacion desarrollar actividad para la
que es contratada. x
[buildibg] edificio Daños causados por Cableado,

centro de estudios [I.1] fuego tomas electricas en mal estado I
superiores por uso no adecuado que
[buildibg] edificio
centro de estudios [N*]Desastres Naturales analisis a la estructura si es I
superiores antisismica x
[buildibg] edificio Daños causados por Cableado,

centro de estudios [N.1]Fuego tomas electricas en mal estado I
superiores por uso no adecuado que
[site] campus [I.*] Desastres Daños por fugas o daños en
I
universitario Industriales area de restaurante y cocina x
[site] campus tomas electricas en mal estado
[I.1] fuego I
universitario por uso no adecuado que
6 a 15 moderado
Vulnerabilidades
inaceptable(I))
(M), 16 a 26
Niveles de
Transefir
Aceptar
Mitigar
[site] campus analisis a la estructura si es
[N*]Desastres Naturales I
universitario antisismica x

[site] campus tomas electricas en mal estado
[N.1]Fuego I
universitario por uso no adecuado que
[site] oficina de Daños causados por Cableado,

registro y control [I.1] fuego tomas electricas en mal estado I
[site] oficina de
registro y control [N*]Desastres Naturales analisis a la estructura si es I
academico antisismica x
[site] oficina de
tomas electricas en mal estado
registro y control [N.1]Fuego I
academico
[site] sala de tomas electricas en mal estado
[I.1] fuego I
profesores por uso no adecuado que
[site] sala de analisis a la estructura si es
profesores antisismica x
[N.1]Fuego I
profesores por uso no adecuado que
[site]Departamento [A.11] Acceso no no se cuenta con control de
I
antiguo de sistemas autorizado acceso x
[site]Departamento tomas electricas en mal estado
[I.1] fuego I
antiguo de sistemas por uso no adecuado que
[site]Departamento analisis a la estructura si es
antiguo de sistemas antisismica x
[site]Departamento tomas electricas en mal estado
[N.1]Fuego I
antiguo de sistemas por uso no adecuado que
[I.1] fuego I
sistemas por uso no adecuado que
[site] sala de analisis a la estructura si es
sistemas antisismica x
6 a 15 moderado
Vulnerabilidades
inaceptable(I))
(M), 16 a 26
Niveles de
Transefir
Aceptar
Mitigar
[site] sala de
sistemas
[site] sala de
[N.2]Daños por agua la instalacion por deficiencia I
sistemas

[site] sala de internet [I.1] fuego tomas electricas en mal estado I
analisis a la estructura si es
[site] sala de internet [N*]Desastres Naturales I
antisismica x
[site] sala de internet [N.1]Fuego tomas electricas en mal estado I
Daños por fugas o daños en
[site] Departamento [I.*] Desastres
area aledaña de restaurante y I
de sistemas Industriales
cocina x
[site] Departamento tomas electricas en mal estado
[I.1] fuego I
de sistemas por uso no adecuado que
[site] Departamento analisis a la estructura si es
de sistemas antisismica x
[site] Departamento tomas electricas en mal estado
[N.1]Fuego I
de sistemas por uso no adecuado que
[site] Departamento
[N.2]Daños por agua la instalacion por deficiencia I
de sistemas
[password]
Contraseñas de [A.11] Acceso no
I
acceso a campus autorizado perdida de informacion por
virtual accion de Malware x
6 a 15 moderado
Vulnerabilidades
inaceptable(I))
(M), 16 a 26
Niveles de
Transefir
Aceptar
Mitigar
[password]
Contraseñas de [A.18] Destruccion de
I
acceso a campus informacion Perdida de datos por infeccion
virtual de virus x
[password] Acceso informacion
Contraseñas de [A.19] Divulgacion de privilegiada desdeacceso
I
acceso a campus informacion inalambrico del campus, RED
virtual no segmentada x
[files] Base de datos [A.18] Destruccion de Perdida de datos por infeccion
I
Biblioteca informacion de virus x
Acceso informacion
[files] Base de datos [A.19] Divulgacion de privilegiada desde acceso
I
Biblioteca informacion inalambrico del campus, RED
no segmentada x
[files] Base de datos [A.18] Destruccion de Perdida de datos por infeccion
I
registro y control informacion de virus x
Acceso informacion
[files] Base de datos [A.19] Divulgacion de privilegiada desdeacceso
I
registro y control informacion inalambrico del campus, RED
no segmentada x
[op]tecnico soporte [A.28] Indisponibilidad realiza el mantenimiento por
I
de redes de personal enfermedad, vacaciones o
Acceso informacion
[ipm] Gestion de
[A.19] Divulgacion de privilegiada desdeacceso
usuarios y I
informacion inalambrico del campus, RED
contraseñas
no segmentada x
realiza el Desarrollo o
[des] [A.28] Indisponibilidad
mantenimiento al softwre por I
Desarrolladores de personal
enfermedad, vacaciones o
sustraccion de equipos por
falta de barreras perimetrales
LaserJet Enterprise [A.25] Robo I
adecuadas entre el centro de
serie 600
estudios y el exterior x
LaserJet Enterprise [I.1] fuego I
serie 600
[print] Impresora HP Caida por falta de fluido
LaserJet Enterprise electrico no se cuenta con I x
Electrico
serie 600 respaldo electrico
6 a 15 moderado
Vulnerabilidades
inaceptable(I))
(M), 16 a 26
Niveles de
Transefir
Aceptar
Mitigar
LaserJet Enterprise [N.1]Fuego I
serie 600
Ausencia de personal
[ui] usuarios [A.28] Indisponibilidad administrativo por enfermedad,
I
Administrativos de personal vacaciones o actividadees
personales x
sustraccion de equipos por
[print] Impresora
falta de barreras perimetrales
SMART MultiXpress [A.25] Robo I
adecuadas entre el centro de
M4370LX
estudios y el exterior x
[print] Impresora
SMART MultiXpress [I.1] fuego I
M4370LX
[print] Impresora Caida por falta de fluido
SMART MultiXpress electrico no se cuenta con I x
Electrico
M4370LX respaldo electrico
[print] Impresora
SMART MultiXpress [N.1]Fuego I
M4370LX
[std] Sistemas
[E.2] Errores del Sistema operativo con
operativos I
Administrador actualizaciones pendientes x
Servidores
Recomendaciones y Conclusiones
A través del ejercicio desarrollado se evidencia que en la práctica es muy importante la
entrevista, verificación de documentación y demás evidencias que faciliten la identificación de
Amenazas y vulnerabilidades.
En cuanto a la identificación de los atributos de los activos, ciertamente es una apreciación
cualitativa que para un mismo activo en distintas organizaciones pueden ser diferentes, es decir
en cada contexto un mismo activo puede tener usos distintos y por lo tanto su nivel de impacto
Cambia.
MAGERIT es una metodología que permite evidenciar los riesgos que poseen los activos
dentro de una organización, así como sus las posibles vulnerabilidades con el fin de evitarlos o
mitigarlos mediante un tratamiento de riegos.
MARGERIT tiene tres objetivos los cuales son permite analizar y gestionar los riegos de una
organización:
 Sensibilizar a las organizaciones que existen riesgos y que se deben gestionar.
 Tener un método sistemático que analice los riegos que se derivan del uso de las TIC.
 Descubrir y planificar el tratamiento para mantener los riegos bajo control.
 Preparar a una organización ante una evaluación o auditoria.
Para finalizar el ejercicio el determinar que riesgos se mitigan y cuales se transfieren nos lleva
a deducir que no siempre es posible mitigar los riesgos con los recursos que se tienen y en
ocasiones es mejor contratar servicios y utilizar proveedores pueden ofrecer soluciones con
menor costo que desarrollar alguna implementación, por economía de escala o por la experiencia
que han ganado con la prestación de servicio a otros clientes.

En resumen, las recomendaciones en este escenario son:
1. Transferir los riesgos relacionados con Robo, daño de equipos e instalaciones mediante
la contratación de pólizas de seguro.
2. Para los riesgos relacionados con servidores transferir el riesgo mediante contratación de
servicio de hosting o cloud según la modalidad que se ajuste a la necesidad de la
organización.
3. Implementar los procedimientos y políticas necesarias para asegurar que se mantienen
actualizadas las versiones de software de sistema operativo y antivirus, así como la
revisión periódica de su configuración para ser ajustada de forma preventiva para evitar
riesgos por desactualización.
4. Establecer procedimientos que incluyan prácticas seguras en el desarrollo y
mantenimiento de software.
5. Implementar controles de acceso físico apropiado que permita el registro para posterior
auditoria de los accesos a zonas restringidas.
6. El impacto generado que puede causarse a la empresa por los problemas de seguridad y la
frecuencia en las que se produce frente a las debilidades del sistema se expresa en
afectación a la continuidad del negocio.
7. Al existir análisis y gestión del riesgo, los activos que componen la empresa procesos,
personas, tecnología y conocimiento), se minimizan las dificultades que enfrentan los
responsables al momento de tomar decisiones.
8. Entre las diferentes amenazas reales que se pueden presentar están las fallas de energía
eléctrica, una inundación, un incendio o un robo, las cuales deben ser tratadas de forma
preventiva para evitar, en caso de que éstas sucedan, que las pérdidas sean tan graves que
afecten a la viabilidad del negocio, muchas organizaciones independientemente de su tamaño,
fracasan o incluso desaparecen por la falta de procesos, mecanismos y técnicas que mitiguen
los riesgos a los que están expuestas y garanticen una alta disponibilidad en las operaciones de
su negocio. De este modo, es necesario que las organizaciones establezcan una serie de
medidas técnicas, organizativas y procedimentales que garanticen la continuidad de las
actividades o procesos de negocio en caso de tener que afrontar una contingencia grave.
Referencias
Gobierno de españa, Ministerio de Hacienda y administraciones Publicas. (2012). MAGERIT-

Version 3.0, Metodologia de analisis y Gestion de riesgos del sistema de
información,LIbro II catalogo de elementos. Madrid: Ministerio de Hacienda y
administraciones Publicas, Centro de publicacioes.
TECNICAS., I. C. (2017.). Tecnología de la información. Técnicas de seguridad de la
información (SGSI). Visión general y vocabulario. Bogotá D.C.: ICONTEC, NTC-
ISO/IEC 27000:2016.

Apoyo Matriz

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Apoyo Matriz

Cargado por

Copyright:

Formatos disponibles

Contenido

En este documento se consolida el resultado de las actividades individuales desarrolladas

la evaluación, Identificación de activos, Las amenazas según libro II de la metodología

MAGERIT, las vulnerabilidades de los activos, identificación de riesgos, determinar los

controles y establecer para cada riesgo si es viable Mitigarlo, Transferirlo o aceptarlo.

amenazas, la revisión de la norma ISO 27001 .

Nombre de la organización: El Centro de estudios Superiores Informáticos de Colombia

Realizar la identificación, análisis y evaluación de los activos y

Infraestructura Desarrollo Soporte

Como resultado de la aplicación del instrumento propuesto en la guía se obtienen 48 activos,

distribuidos en los siguientes grupos, con un total de 28 % Hardware, 21 %Software, 17%

instalaciones ,15% Personal, 9% Datos, 6 % servicios

A continuación, se representa gráficamente este resultado.

% PARTICIPACION DE ACTIVOS IDENTIFICADOS

A continuación, se presenta cuadro de identificación de activos detallada y cuadro con los

instrumento propuesto basado en Metodología MAGERIT.

[Media] SOPORTE DE INFORMACIÓN

[AUX] EQUIPAMENTO AUXILIAR

[Media] SOPORTE DE INFORMACIÓN

[AUX] EQUIPAMENTO AUXILIAR

¿Activo de información que debe ser

Activo de información que puede ser

Activo de información que debe ser

crítico para las operaciones internas

Activo de información que es muy

alterado o comprometido para

crítico para el servicio hacia

1 [Host] Servidor de impresión no si si si si no x x

35 [site] sala de internet no no si si si si x x

¿Activo de información que debe ser

Activo de información que puede ser

Activo de información que debe ser

Activo de información que es muy

Activo de información que es muy

alterado o comprometido para

crítico para el servicio hacia

[I6] Corte del suministro eléctrico

[E.24] Caida del sistema por agotamiento de recursos

[E.24] Caida del sistema por agotamiento de recursos

Nombre del activo de Amenazas

pero no efectivo, 3 efectivo pero no documentado, 4

Calificación de Gestión(1 control no existe, 2 existe

Calculo del riesgo neto(Valoracion del riesgo *

[i.7]Condiciones inandecuadas de temperatura o No existe un cuarto técnico

Criticidad neta(1 a 4 despreciable (d), 5 a 9 baja

Calificación de Gestión(1 control no existe, 2

documentado, 4 efectivo y documentado)

[email] correo Antivirus, que no es

Calificación de Gestión(1 control no existe, 2

documentado, 4 efectivo y documentado)

baja (B), 10 a 15 apreciable (a), 16 a 20

21 [E.19] Fugas de informacion 2 42 C 1

9 [E.19] Fugas de informacion 2 18 I 1

9 [i.6] Corte de suministro Electrico 2 18 I 1

16 [E.19] Fugas de informacion 2 32 C 1

16 [i.6] Corte de suministro Electrico 2 32 C 1

16 [E.2] Errores del Administrador 64 C 1

Sistema operativo con actualizaciones pendientes 4

La calificación de la gestión se concentra principalmente en: Control no existe y existe, pero no

Niveles de aceptación del riesgo (1 a 5 aceptable (A),

6 a 15 moderado (M), 16 a 26 inaceptable(I))

[Host] Servidor de impresión 26 C I

[Host] Servidor de impresión 26 C I

[Host] Servidor de impresión 26 C I