Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Copia de Matriz de Riesgos-SOA - Diligenciada
Copia de Matriz de Riesgos-SOA - Diligenciada
Objetivo : Definir y ev
ANAL
Confidencialidad
Disponibilidad
CONTROLE
DESCRIPCION DEL RIESGO /
Nro. S SERVICIO / PROCESO IDENTIFICACION DE AMENAZAS
VULNERABILIDAD
ANEXO A
PROCESOS
Ausencia o insuficiencia de
perdida de los dispositivos que pone en
Procesos misionales y procedimientos de monitoreo de los
8 riesgo la informacion de que se X X
de apoyo recursos (hardware) de procesamiento
encuentre almacenada en el pc.
de información,
Pérdida, robo o daño en la información
confidencial.
Incumplimientos contractuales
Ausencia de controles y verificaciones
Procesos misionales y Demandas civiles o penales,
9 en los procesos de selección y X X
de apoyo Desviaciones en: selección de personal,
contratación de personal
terminos y condiciones del contrato,
ejecución del empleo, y terminación del
mismo
Ausencia o insuficiencia de
Procesos misionales y mantenimento preventivo y correctivo
19 Falla a nivel de Hardware. X
de apoyo sobre los dispositivos de la
infraestructura de TI.
Ausencia o insuficiencia de
actualizaciones de Software y
Intrución a los sistemas por
Procesos misionales y Hardware.
20 vulnerabilidades a nivel de sistema X X
de apoyo No se realiza actualizaciones de
opertaivo, aplicación, y fireware
parches indicada avalada y
recomendada por los fabricantes
Ausencia o insuficiencia de
Procesos misionales y carencia de control de acceso a la red y la
21 mecanismos de identificación o X X
de apoyo las instalciones de la compañía
autenticación
PROYECTOS (CONTRATOS?????)
Desconocimiento de los
Incumplimiento de los procedimientos
procedimientos, directrices y politicas
determinados por el cliente.
establecidos por el cliente o negocio
1 Gestión de Proyectos específicos respecto al proceso de X
Penalizaciones
Gestión de Seguridad de la Información
y de los acuerdos contractuales
Incidentes sobre la información
pactados.
Servidores no cuentan
Los servidores no cuentan con antivirus Exposición, perdida, filtrado y daño en la
10 con antivirus X X
corportaivo información
corporativo
La compañía no
cuenta con protección
no cuenta con una solución de
contra las amenazas
antivirus robusta ya que se está usando La compañía se encuentra vulnerable a
17 actuales ni X
una versión gratuita de Microsoft amenzasas y ataques.
actualizaciones para
llamada “Microsoft Essentials”
el mantenimiento de la
plataforma
Se realiza un escaneo de
vulnerabilidades sobre la plataforma de
Vulnerabilidades en la Se ven comprometidos los servicios y la
servidores y se detectan
18 plataforma de información corporativa que se soporta X
vulnerabilidades críticas como la falta
servidores alli
de mantenimiento preventivo tranto de
hardware como de software
No se realiza periodocamente la
Intrución a los sistemas por
Aplicación de parches actualización de parches indicada
21 vulnerabilidades a nivel de sistema X
SO avalada y recomendada por el
opertaivo, aplicación, y fireware
fabricante.
Inadecuadas prácticas de
Demoras y claridad de busqueda al
administración de medios. ( Rotulado,
46 Backups momento de una recuperación de caida X
almacenamiento, formateo, rotación y
de un sistema.
destrucción)
•Fallos de organización
Actualizaciones de Perdida de funcionalidades y/o •Fallos humanos
71 X
sistema interrupción de actividades o procesos •Fallos técnicos
•Actos malintencionados
•Fallos de organización
Autorizaciones al Acceso no autorizado o permisos mal •Fallos humanos
72 X X
sistema asignados •Fallos técnicos
•Actos malintencionados
Gestión de la
Perdida de Confidencialidad, Integridad Carencia de clasificación de la
80 Seguridad de la X X
y disponibilidad de la Información información
Información
Gestión de la
Perdida de Confidencialidad, Integridad Carencia de controles en cuanto a la
81 Seguridad de la X X
y disponibilidad de la Información clasificación de la información
Información
Gestión de la
Daño en la infraestructura y activos de la
91 seguridad de la Acceso físico no autorizado X X
compañia.
información
Carencia de Responsabilidades,
Gestión de la Materialización de amenazas producto
procedimientos, reporte de eventos,
98 Seguridad de la de incidentes de seguridad de la X
evaluación, respuesta y recolección de
Información información
evidencia
Pérdida en la continuidad de la
Gestión de la
seguridad de la información ante un No incluir la seguridad de la información
99 Seguridad de la X
evento de fuerza mayor o desastre en el plan de continuidad del negocio
Información
natural
Nombre Responsable:
Definir y evaluar los riesgos asociados a los servicios y/o procesos realizados por ; especificando
rentabilidad
Integridad
Idoneidad
VALORACION
PROPIETARIO DEL DEL RIESGO
PROBABILIDAD IMPACTO
RIESGO (Probabilidad x
Impacto)
BAJA 1 MODERADO 3 3
X MEDIA 3 MODERADO 3 9
X SM BAJA 1 CRITICO 5 5
Gestor de
X MEDIA 3 MODERADO 3 9
proveedores
Gestor de
#N/A #N/A #N/A
proveedores
Gestor de
X #N/A #N/A #N/A
proveedores
Datacenter /
Comunicaciones / MEDIA 3 MODERADO 3 9
Seguridad
X Datacenter BAJA 1 CRITICO 5 5
BAJA 1 MODERADO 3 3
Datacenter /
Comunicaciones / MEDIA 3 MODERADO 3 9
Seguridad
Seguridad / Oficial
MEDIA 3 CRITICO 5 15
de seguridad
Seguridad / Oficial
X MEDIA 3 MODERADO 3 9
de seguridad
Seguridad / Oficial
X BAJA 1 MODERADO 3 3
de seguridad
Seguridad / Oficial
X ALTA 5 CRITICO 5 25
de seguridad
NIVEL 1
NIVEL 1
NIVEL 1
NIVEL 1
CONTROL (ES)
Se cuenta con la política uso de controles y llaves
criptográficos (PO_SI_XX).
Falta realizar divulgación y asignación de espacio por
medio de una herramienta
operación interna de la compañía.
OBJETIVO DE CONTROL
A. 10 CRIPTOGRAFIA
A 17.2 REDUNDANCIAS
A. 18 CUMPLIMIENTO
Producir la Declaración de Aplicabilidad (SOA) por ; que contenga los controles necesarios producto de la Matriz de R
controles del Anexo A de la norma
APLICABILIDAD
CONTROLES EXCLUSIONES
SI NO
MACIÓN
A INFORMACIÓN
A 6.2.2 TELETRABAJO X
OS
A 7.1.1 SELECCIÓN
X
IMIENTO DE SISTEMAS
A 16.1.1 RESPONSABILIDADES Y
X
PROCEDIMIENTOS
A 16.1.2 REPORTE DE EVENTOS DE SEGURIDAD
X
DE LA INFORMACIÓN
A 16.1.3 REPORTE DE DEBILIDADES DE
SEGURIDAD DE LA INFORMACIÓN X
JUSTIFICACION
tiene definido un Plan de Gestión de seguridad de la información ademas de las politicas de seguridad:
Sí, se lleva a cabo la revisión de politicas por parte del comité de seguridad. Control de cambios
Se realiza capacitación a los recursos sobre el manejo de atención al cliente (evolution) , ademas se
define con Recursos Humanos el perfil que se requiere para la operación a fin de que se ajuste a las
necesidades del cliente y se evite la rotación de personal.
SAD (ccna)
Se cuenta con el procedimiento de Comunicación Incidentes de Seguridad PR-SGSI-01 el cual contiene
las actividades a seguir en caso de presentarse un incidente mayor de seguridad relacionado con robo,
daño o pérdida de la información confidencial. Se indica la relación con las autoridades y los grupos de
interés en nuestro caso los clientes.
En el marco del SGC de ISO 9001 se cuenta con los procedimientos: Selección de personal directo de y
por temporal (PR-RH-01), Procedimiento de contratación directa (PR-RH-02), y Procedimiento de
contratación por la temporal (PR-RH-03)
En los contratos o términos contractuales con los empleados y contratistas se incluye una clausula
donde se indican las responsabildiades en cuanto a la seguridad de la información y se hace mención a
la aplicación de todas las políticas de . (RRHH)
La dirección exige a todos los empleados y contratistas la aplicación de las medidas de seguridad
existentes, el cumplimiento de los procedimientos y las políticas. (Comunicados, Getranet)
Se cuenta con un plan de capacitación anual, el cual incluye entre otros, temas relacionados con
seguridad de la información.
Se cuenta con el procedimiento de Inducción de empleados nuevos (PR-RH-06) y el Procedimiento
solicitud de cursos o entrenamiento (PR-RH-04)
Actualmente la devolucion de los activos (PC) se realiza de la siguiente manera: el usuario realiza la
entrega del pc a su jefe inmediato, el jefe realiza la solicitud al helpdesk para ejecutar el Backup o
Formateo, ademas de realizar la reasignación o el alistamiento para un nuevo recurso.
En el manual SGSI, (item 4.1.1) Se tiene la clasificación de la información como Uso publico, uso interno
y uso confidencial.
En el manual SGSI, (item 4.1.2) Se tienen los aspectos relacionados con el etiquetado de la información
de acuerdo a la clasificación de la información. Adicionalmente se indica la forma como se controla el
uso de este etiquetado.
PO-SGSI-05 Política Seguridad de la Información - Acceso a la red, Seguridad en la red y Acceso remoto
37: Eliminación de la base de datos los privilegios dados por defecto. Lista de bases de datos y de
usuarios locales creados para las mismas
39: Creación de una politica de seguridad para que los usuarios administradores de bases de datos (sa,
sysdba, systemy sys), no sean utilizados para ninguna configuración que no sea totalmente necesario.
Se instala y se activa en todos los equipos propiedad de la empresa el firewall personal, acorde con la
tecnología del equipo. Creando los respectivas reglas para una administración correcta y segura,
adicional no todos los usuarios son administradores de sus PC, para ser administrador se requiere
autorización del oficial de seguridad.
24:Se independizó el usuario que integraba el Call Manager de la infraestructura de y Compensar, para
esto se creo un usuario con las mismas característica del usuario actual pero con diferente nombre.
PO-SGSI-05 Política Seguridad de la Información - Acceso a la red, Seguridad en la red y Acceso remoto
Se define los parametros de creación de usuarios, autenticación y Password para acceso de usuarios.
Se realiza depuración de usuarios no autorizados en los grupos actualmente creados y se valida los
permisos y privilegios de cada uno dependiendo la necesidad y perfil.
27: Solicitud a recursos humanos un reporte periodico de los usuarios que se retiran de la compañía.
PO-SGSI-05 Política Seguridad de la Información - Acceso a la red, Seguridad en la red y Acceso remoto
Se define los parametros de creación de usuarios, autenticación y Password para acceso de usuarios.
14. Se retiró la publicación de reconocimiento a empleados del portal WEB, se generaron
recomendaciones a nivel de seguridad y se confirma que las recomendaciones hayan sido
implementadas antes de poner el portal en producción nuevamente. Igualmente se define un checklist
de paso a producción el cual deben pasar todos los servicios ( Escaneos de vulnerabilidades) antes de
ser puestos en producción para evitar abrir brechas de seguridad mediante aplicaciones o servicios
publicados sin control.
PO-SGSI-05 Política Seguridad de la Información - Acceso a la red, Seguridad en la red y Acceso remoto
Se cuenta con la política uso de controles y llaves criptográficos PO-SGSI-10 Política Seguridad de la
Información - Uso de Llaves Criptográficas.
asigno un espacio para el almacenamiento de información de todas las areas con el fin de no tener
información sencible en el pec si no directamente en SOLCOBO101.
tiene definida una politica de control de acceso, el edificio controla los accesos pór medio del registro de
la Huella digital.
PO-SGSI-04 Política Seguridad de la Información - Seguridad Física Ubicación y Protección Equipos
- Soportes de Mantenimiento para cada uno de los elementos de acuerdo con la frecuencia definida.
- Reportes con los indicadores entregados al Comité de Tecnología (sistema de detección y extinción de
incendios)
se cuenta con el Documento Política de seguridad física, ubicación y protección de equipos, ítem 5 que
presenta las políticas de áreas seguras. Además, tiene los siguientes controles:
PO-SGSI-04 Política Seguridad de la Información - Seguridad Física Ubicación y Protección Equipos
1, Habilitación de puertas de acuerdo a la necesidad del usuario por medio del Biometrico.
2. Circuito cerrado de televisión CCTV.
La infraestructura física que la organziación utiliza para el desarrollo de las actividades no cuenta con
áreas de carga o despacho, el edificio sólo tiene una entrada principal con su respectiva recepción, por
tal razón no es necesario establecer controles de seguridad para proteger las áreas de despacho o
carga.
Se cuenta con políticas de seguridad física PO-SGSI-04 Política Seguridad de la Información -
Seguridad Física Ubicación y Protección Equipos que incluye los temas relacionados con la
ubicación, protección de los equipos y los servicios de suministro.
cuenta con respaldo electrico tanto en las oficinas como en el edificio WTC.
- UPS Ubicadas en las oficinas de
- Planta electrica del edificio.
Se esta realizando revisión periodica a los Switches de repuesto y el cableado. Julieth Aldana
44: Todos los dispositivos de la infraestructura de TI que son administrados directamente por la
compañía deben contar con programas de mantenimiento preventivo y con soporte vigente.
56:se esta realizando el cambio de las aplicaciones por nuevas versiones con contratos de soporte y
actualizaciones permanentes, Se esta trabajando en la implementación de CA, con el fin de retirar las
aplicaciones que no cuentan con soporte de fabricante.
65:Migración de las aplicaciones a sistemas operativos mas modernos con soporte del fabricante que
permitan contar con la seguridad y estabilidad necesaria, Analisis de estabilidad de las aplicaciones en
sistemas operativos diferentes al de origen.
Politica de almacenamiento
PO-SGSI-03 Política Seguridad de la Información - Almacenamiento de Información
Se realiza backup de información de los equipos que van hacer reasignados, se realiza el respectivo
formateo y alistamiento con el nuevo perfil cuando se requiera por medio de HelpDesk. NUBIA
Contamos con la Configuración de pantalla de bloqueo para todos los usuarios luego de cierto tiempo de
inactividad.
Se cuenta con la política de escritorio limpio y pantalla limpia PO-SGSI-08 Política Seguridad de la
Información - Escritorio y pantalla limpia
A la luz de los sistemas de gestión de caldiad y de servicios se cuenta con diferentes procedimientos de
operación documentados y actualizados
tiene definido un plan de gestión de cambios:
78: Se debe programar una sesión de trabajo con las areas responsbles para definir el manejo que se
debe dar respecto a la fuga de información cuando se realixa un soporte en sitio o remoto que oblique a
usar dispositivos USB, Definir las herraientas de trabajo para los soportes en sitio y remoto para
HelpDesk
23: Se validó espacio, para almacenar los Logs por un periodo de 30 dias.
28: Guardar y almacenar los logs con los datos de los accesos con dispositivos de Seguridad,
Implementacion de Forward and Collect Events.
Para las funciones de registro de información en los aplicativos considerados criticos, y para el registro
de eventos de los operadores y administradores, se cuenta con control de acceso y clave, toda actividad
en dichos aplicativos se registra y se le realzia seguimiento.
Se sincronizá cada 5 minutos los servidores con el server NTP
Se realiza revisión periodica a los Switches de repuesto, Monitoreo Diario, Asegurar la conexión de cada
servidor y dispositivo a cada switch Core exista.Validar que las conexiones sean simetricas, Monitoreo
7x24, control de consumo de Ancho de Banda CONECTIVIDAD
Se deshabilitó la función de Split-Tunneling con el fin que todo el tráfico sea inspeccionado por las
palataformas de seguridad corporativas mientras el usuario se encuentra conectado por VPN.
Se realiza revisión periodica a los Switches de repuesto, Monitoreo Diario, Asegurar la conexión de cada
servidor y dispositivo a cada switch Core exista.Validar que las conexiones sean simetricas, Monitoreo
7x24, control de consumo de Ancho de Banda CONECTIVIDAD
En el marco del SGS de ISO 20000, se cuenta con el procedimiento de Diseño y Transcición de
Servicios Nuevos o Modificados (XX-XX-XX), en el cual se incluye el tratamiento de estos aspectos. Para
todo proyecto nuevo de TI o de prestación de servicios se deben contar con un plan de proyecto y un
diseño del mismo, con sus caracteristicas tecnicas y de seguridad, MANUEL
Se realiza el parchado a los dispositivos de seguridad de acuerdo con la última actualización avalada por
el fabricante
Se mantiene las úlimas versiones y con los patchs requeridos el software de base de datos. YANETH
En el marco del SGS de ISO 20000, se cuenta con el plan de gestión de proveedores (PL-SI-16) el cual
permite gestionar y establecer los lineamientos y actividades para el control de los proveedores críticos.
Se cuenta con la matriz de la legislación aplicable (XX-XX-XX). Se incluye las leyes sobre derechos de
propiedad intelectual, protección de registros y protección de información de datos personales, según
sea su aplicabilidad.
Se cuenta con el procedimiento de Auditorias Internas SIG (PR-SIG-06) para las auditorias que se
realizan con personal interno o a nombre de .
En cuanto a la revisión independiente o auditorias externas por parte de e nuestros clientes, estas
siempre se deben solicitar formalmente a fin de establecer su viabilidad, fechas y alcance. incluyen
revisión de políticas, procedimientos, cumplimiento tecnico y cumplimiento contractual de los niveles de
seguridad establecidos.
Se cuenta con el procedimiento de Auditorias Internas SIG (PR-SIG-06) para las auditorias que se
realizan con personal interno o a nombre de .
En cuanto a la revisión independiente o auditorias externas por parte de e nuestros clientes, estas
siempre se deben solicitar formalmente a fin de establecer su viabilidad, fechas y alcance. incluyen
revisión de políticas, procedimientos, cumplimiento tecnico y cumplimiento contractual de los niveles de
seguridad establecidos.
VALORACION DEL RIESGO = (PROBABILIDAD X IMPACTO)
IMPACTO
CRITICO (5) 5 15
MODERADO (3) 3 9
INSIGNIFICANTE (1) 1 3
BAJA (1) MEDIA (3)
PROBABILIDAD
X IMPACTO)
25
15
5
ALTA (5)
ABILIDAD
PROBABILIDAD: de una amenaza se puede entender como la ocurrencia o frecuenci
que tiene esta para presentarse. Este aspecto está enmarcado en:
5 ALTA
3 MEDIA
1 BAJA
ALTA 5
MEDIA 3
BAJA 1
BILIDAD: de una amenaza se puede entender como la ocurrencia o frecuencia
ne esta para presentarse. Este aspecto está enmarcado en:
Ha ocurrido varias veces durante el último año.
ECONOMICO
CRITICO 5 Se tiene penalización por no
cumplir SLAs.
CRITICO 5
MODERADO 3
INSIGNIFICANTE 1
s consecuencias que se generarían en el caso
erabilidad. Este aspecto se evaluará desde el
s clientes. Este aspecto está enmarcado en:
CLIENTES
Afecta a más de 1 cliente o más de
20 usuarios
Pondere los controles siguiendo la siguiente tabla, teniendo en cuenta las respuestas a las
preguntas anteriormente formuladas (los controles se encuentran documentados, se aplican
y son efectivos).
CRITERIO
el riesgo?
CONTROL EFECTIVO
CONTROL NO EFECTIVO
CARENCIA DE CONTROL
GESTION DEL RIESGO
NIVEL PRIORIZACION
NIVEL 1 Alta (A) y Media (M)
CONTROL ACCIONES
Carencia de Control Preventivas Inmediatas
EVITAR EL RIESGO
MITIGAR EL RIESGO
ASUMIR EL RIESGO
RESPUESTA AL RIESGO
· Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. Es siempre la prim
considerar, se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, redis
resultado de unos adecuados controles y acciones emprendidas. Un ejemplo de esto puede ser el control de c
los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.
· Mitigar el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de pr
impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económic
debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los p
implementación de controles.
· Compartir o transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otras organiza
caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con
en los contratos a riesgo compartido. Es así como por ejemplo, la información de gran importancia se puede du
en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar.
· Asumir el riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual q
este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de co
manejo.