Copia de Matriz de Riesgos-SOA - Diligenciada

Compañía: POR DEFINIR
Objetivo : Definir y ev
ANAL
Confidencialidad
Disponibilidad
CONTROLE
DESCRIPCION DEL RIESGO /
Nro. S SERVICIO / PROCESO IDENTIFICACION DE AMENAZAS
VULNERABILIDAD
ANEXO A
PROCESOS
La compañía no cuenta con protección Vulnerabilidades

Procesos misionales y contra las amenazas actuales, ni Bug
1 X
de apoyo actualizaciones para el mantenimiento La compañía se encuentra vulnerable a
de la plataforma amenzasas y ataques.
Acceso a la información sensitiva por

Perdida de información corporativa.
Procesos misionales y usuarios no autorizados, dejando
2 Uso de la información de forma X
de apoyo expuesta la información almacenada
inadecuada,
en la base de datos.
violaciones o intentos de violación a la

información.
Ausencia o insuficiencia de políticas,
Procesos misionales y Intrusos en la red.
3 procedimientos y directrices de X X
de apoyo Exposición de información confidencial
seguridad
Perdida de los respaldos de información

Procesos misionales y Inadecuadas o inexistentes prácticas de en caso de desastres sobre el DataCenter
4 X
de apoyo externalización de copias de respaldo. o daños de cinta por almacenamiento
inadecuado.
Instalación de Software no autorizado. Ejecutar acciones que pueden incurrir en

No contar con una herramienta de multas y/o sanciones.
Procesos misionales y
5 monitoreo. X X
de apoyo
Desconocimiento de acuerdos de Afectación de la imagen y afectación
licenciamiento de las aplicaciones. financiera de la compañía.
Adquirir un software que no cumpla los

6 requerimientos y las necesidades Inadecuada adquisición de software X X
de apoyo
internas o del cliente.
Perdida, robo o alteración de la

No contar con un inventario de los activos
Procesos misionales y información.
7 que puedan afectar la seguridad de la X X
de apoyo Perdida o robo de los PC
información
Ausencia o insuficiencia de
perdida de los dispositivos que pone en
Procesos misionales y procedimientos de monitoreo de los
8 riesgo la informacion de que se X X
de apoyo recursos (hardware) de procesamiento
encuentre almacenada en el pc.
de información,
Pérdida, robo o daño en la información
confidencial.
Incumplimientos contractuales
Ausencia de controles y verificaciones
Procesos misionales y Demandas civiles o penales,
9 en los procesos de selección y X X
de apoyo Desviaciones en: selección de personal,
contratación de personal
terminos y condiciones del contrato,
ejecución del empleo, y terminación del
mismo
Ausencia de monitotreo a las

Posibilidad que terceros entre de forma
Procesos misionales y actividades de los funcionarios y/o de
10 indebida o fraudulenta a las aplicaciones, X X
de apoyo terceros, vulnerabilidad en el sistema
para alterar, hurtar o dañar la información.
de información
Ausencia o insuficiencia de cláusulas

contractuales y/o acuerdos de Desviaciones en: selección de personal,
Procesos misionales y confidencialidad, Pérdida, robo o daño terminos y condiciones del contrato,
11 X X
de apoyo en la información confidencial. ejecución del empleo, y terminación del
Incumplimientos contractuales mismo
Demandas civiles o penales
Ausencia o insuficiencia en la definición

Procesos misionales y Inadecuada detección, prevención y
12 y formalización de roles, funciones y X X
de apoyo gestión de asignaciones
responsabilidades
Carencia de gestión y atención de

Procesos misionales y Dependencia de personal clave, solicitudes por aucencia del recurso,
13 X
de apoyo ausentismo o personal insuficiente desconocimiento de los servicios
contratados con .
Procesos misionales y Desconocimiento, incumplimiento de Incumplimiento de los requisitos legales,

14 X
de apoyo las leyes, contractuales o regulatorias reglamentarias o contractuales
Desconocimiento por parte de los

15 poveedores de políticas y Afectación financiera de la compañía. X
de apoyo
procedimientos de .
Carencia de un plan de inducción,

Insuficiente entrenamiento,
Procesos misionales y reinducción y formación complementaria
16 capacitación o sensibilización a los X X
de apoyo en temas relacionados con seguridad de
colaboradores de
la información
Ausencia o insuficiencia de controles de

acceso a las instalaciones,.
Procesos misionales y Inadecuados o inexistentes controles Acceso de personal no autorizado que
17 X
de apoyo de acceso físico a los centros de pueda alterar o manipular la información.
cómputo, centros de equípos y centros
de cableado.
Indisponibilidad de los servicios

contratados por los clientes.
Procesos misionales y Falla en los servicios esenciales
18 Incumplimiento de SLAs X
de apoyo (internet, teléfonos, energia, agua ,etc )
Procesos misionales y mantenimento preventivo y correctivo
19 Falla a nivel de Hardware. X
de apoyo sobre los dispositivos de la
infraestructura de TI.
actualizaciones de Software y
Intrución a los sistemas por
Procesos misionales y Hardware.
20 vulnerabilidades a nivel de sistema X X
de apoyo No se realiza actualizaciones de
opertaivo, aplicación, y fireware
parches indicada avalada y
recomendada por los fabricantes
Procesos misionales y carencia de control de acceso a la red y la
21 mecanismos de identificación o X X
de apoyo las instalciones de la compañía
autenticación
Pérdida, fuga y/o divulgación de

información confidencial debido a la
extracción de información de los usuarios
Procesos misionales y Puertos de servicios activos no
22 (USB, disco duros, dispositivos móviles). X X
de apoyo requeridos
Afectación de la imagen y afectación
financiera de la compañía.
Fallas de energía e interrupciones

23 Cortes de energia no programados causadas por fallas en los servicios de X
de apoyo
suministro de energía
Indisponibilidad de los servicios
contratados por los clientes.
24 A 11.2.2 Falla en la UPS de respaldo Incumplimiento de SLAs X
de apoyo
Perdida de información por virus

informáticos.
Ataques y/o amenazas que afecten el
Procesos misionales y Perdida, robo o daños de información.
25 A12.2.1. funcionamiento de los sistemas X X
de apoyo Daño del sistema operativo.
operativos windows server, e
infecciones de archivos ubicados en los
servidores.
PROYECTOS (CONTRATOS?????)
Desconocimiento de los
Incumplimiento de los procedimientos
procedimientos, directrices y politicas
determinados por el cliente.
establecidos por el cliente o negocio
1 Gestión de Proyectos específicos respecto al proceso de X
Penalizaciones
Gestión de Seguridad de la Información
y de los acuerdos contractuales
Incidentes sobre la información
pactados.
Pérdida, robo o daño en la información No incluir los aspectos de seguridad de la

2 Gestión de Proyectos confidencial. información en los proyectos de TI X X
Incumplimientos contractuales relacionados con el catálogo de servicios
Fuga y/o perdida de información
Exposición de información sensible del

Manipulación inadecuada de la
3 Gestión de Proyectos cliente o negocio X
información del cliente o negocio.
Atentar contra la integridad de la
información
No se cuenta con el diseño de una

Política de Seguridad, correctamente
carencia de control en la operación del
alineada con las necesidades del
4 Gestión de Proyectos cliente, permitiendo acciones irregulares X X
cliente o negocio, ni se dan a conocer a
que atenten contra la información.
los funcionarios, clientes o proveedores
directrices asociadas.
Se desconocerá el nivel de vulnerabilidad

El cliente o negocio no realiza
de todos los servicios, infraestructura e
5 Gestión de proyectos identificación de los riesgos de cara al
infomación del cliente o negocio,
servicio que presta.
dificultando la mitigación.
Mala gestión de los proveedores que

Gestión de Pérdida, robo o modificación de la
6 tienen acceso a los activos con X
Proveedores información
información confidencial
La gestión de la información manejada
entre y sus proveedores debe ser
planeada y autorizada por el dueño del
Gestión de contrato, identificando los riesgos Uso no autorizado de la inforación y
7 X X
Proveedores asociados con respecto al acceso a la disposiciones incorrectas de la misma
información. La confidencialidad de la
información debe ser incorporada en
los acuerdos contractuales.
No ser personal idóneo
Gestión de No cumplir con las expectativas del

8 Elección del proveedor
Proveedores servicio hacia el cliente o negoco,
dejando en duda el nombre de Getroncs y
sus polÍticas de seguridad
SERVICIOS Y/O ACTIVOS DEL SERVICIO
Se detecta que algunos usuarios estan Facilidad de conexión .

haciendo uso de la aplicación Acceso a la información y transferencia
Acceso a la aplicación
1 TeamViewer para realizar soporte a de datos X X
Team Viewer ()
clientes. Esta herramienta nno debe Instalación de software no autorizado
utilizarse para propositos corporativos Software free
cuenta con un archivo donde se

Repositorios Digitales Esta documentación se encuentra
2 encuentran documentos fisicos, X X
() expuesta a daños, perdida o Robo
juridicos, legales entre otros,
Se evidencia que en los repositorios

Acceso Carpetas creados para cada unas de las lineas o se está atentando contra la
3 X
Compartidas () áreas de , se tienen incluidos usuarios confidencialidad de la Información.
que no deben contar con el acceso
Se evidencia que los usuarios utilizan

Uso de herramientas herramientas como DropBox para
Exposición de los datos e información al
4 de almacenamiento almacenamiento de información,
realizar almacenamiento en la nube.
públicas en la nube () exponiendo la integridad de la
información
La configuración de los equipos para

Bloqueo de Pantalla que se realice el bloqueo de pantalla perdida o robo de información.
5 X X
PC () después de un tiempo determinado de Suplantación de usuario
inactividad no se esta aplicando
Seguridad para PC PerdIda de los dispositivos que pone en

6 dentro y fuera de las Perdida o robo de los PC riesgo la informacion de que se X X
instalaciones encuentre almacenada en el pc.
Servicio de No se está generando la solicitud de

Se esta atentando contra los principios
7 Autenticación de cambio de password de dominio en un X X
basicos de la Seguridad de la Informaciòn
Usuarios () tiempo determinado (60 días)
Configurar los teléfonos IP de tal forma

Configuración de que no sea posible que un usuario Consulta de configuración IP para
8 X
telefonos IP pueda consultar la configuración IP del replicarla en un teléfono IP no asignado.
teléfono
visualizar información de configuración
Visualización de y direccionamiento de los telefonos, la
configuración y cual podria ser usada por un atacante El acceso a la red, interceptación, desvio
9 X
direccionamiento en para ganar acceso a la red e incluso o grabación de llamadas
los telefonos IP mediante herramientas de hacking ,
interceptar, desviar o grabar llamadas
Servidores no cuentan
Los servidores no cuentan con antivirus Exposición, perdida, filtrado y daño en la
10 con antivirus X X
corportaivo información
corporativo
La conexión VPN cliente, se encuentra

configurada con Split-Tunneling lo cual
Conexión VPN permite
puede permitir que una persona virus o Malware que se puede obtener
11 salida a internet sin X X
navegue en Internet sin ningún control y por la navegación en internet sin control
control
pueda introducir algún tipo de virus o
malware a través de la VPN
La Wireless de invitados se encuentra

la Wireless de configurada con una clave genérica
Accwso a paginas restringidas y
invitados esta WPA2, la cual ya es conocida por varios
12 bloqueadas por las políticas de seguridad X X
configurada con una usuarios y usada para navegar a
de .
clave generica páginas bloqueadas por las políticas
corporativas.
Tras el continuo robo y pérdida de

celulares, se detecta como riesgo de
Robo y perdida de seguridad la pérdida de información perdida , divulgación y/o manipulación de
13 X
celulares corporativa que los usuarios puedan informacion corporativa
tener en sus equipos como contactos,
correos e incluso documentos
Aplicación corporativa se ha publicado

Aplicación corporativa a Internet sin autenticación. La
(estrella ) publicada en aplicación permite enviar Exposición de la base de datos de
14 X X
internet sin solicitud de reconocimientos a cualquier empleado loscolaboradores de sin control
autenticación. revelando la base de datos de los
colaboradores
Los equipos corporativos no cuentan

la informacion se encuentra expuesta a
Robo y perdida de con una solución de cifrado de disco, lo
15 robo y/o perdida ya que los equipos no X X
información cual deja expuesta la información en
cuentancon cifrado de disco
caso de robo o pérdida
Las contraseñas asignadas para

acceder a la RED de visitantes son de
fácil recordación ya que siempre la
mesa de ayuda asigna el mismo
16 Usuario y Password Acceso a la red de Visitantes sin control. X
usuario alfanumérico, permitiendo a los
usuarios intentar las veces que sean
necesario acceder hasta lograr la
conexión
La compañía no
cuenta con protección
no cuenta con una solución de
contra las amenazas
antivirus robusta ya que se está usando La compañía se encuentra vulnerable a
17 actuales ni X
una versión gratuita de Microsoft amenzasas y ataques.
actualizaciones para
llamada “Microsoft Essentials”
el mantenimiento de la
plataforma
Se realiza un escaneo de
vulnerabilidades sobre la plataforma de
Vulnerabilidades en la Se ven comprometidos los servicios y la
servidores y se detectan
18 plataforma de información corporativa que se soporta X
vulnerabilidades críticas como la falta
servidores alli
de mantenimiento preventivo tranto de
hardware como de software
Depuración de Se ha identificado que en el DA existen

No se esta realizando la depuración de
19 usuarios en el DA, usuarios registrados que ya no se X
usuarios periódica en el Directorio Activo
Biometrico, correo, etc encuentran en la compañía .
Integridad y disponibilidad de los logs de

los Logs a nivel de Firewall no se estan
eventos para los dispositivos de
20 Detección de logs almacenando correctamente en el X
seguridad por falta de control en el aceso
servidor FTP
a estos archivos
No se realiza periodocamente la
Intrución a los sistemas por
Aplicación de parches actualización de parches indicada
21 vulnerabilidades a nivel de sistema X
SO avalada y recomendada por el
opertaivo, aplicación, y fireware
fabricante.
Se ha detectado que los

administradores están haciendo uso de
Uso de usuarios usuarios genericos que evitan Manipulación y ejecución de procesoso
22 X X
Genericos identificar a los responsables de los sin identificar responsable
cambios, procedimiento y ejecución de
tareas.
Se ha identificado que las distintas Perdida de integridad y disponibilidad de

Activación de Logs en
23 plataformas centrales no cuentan con los logs de eventos, por falta de control X
plataformas centrales
un servidor de logs. en el aceso.
Se ha evidenciado bloqueos continuos

Bloqueos continuos del usuario UCADMIN que genera Indisponibilidad en Jabber y otras
24 X
del usuario UCADMIN indisponibilidad de las herramientas herramientas
unificadas como Jabber, CCX entre otra
validación perfiles, niveles de accesos, Permitir acceso y manipulación de las

Usuarios permisos otrorgados a los diferentes plataformas a usuarios sin privilegios, que
25 X
Administradores administadores y realizar la depuración pueden causar indisponibilidad y
periodicamente. afectación en los servicios.
Se presentó un incidente en el cual fue

Se evidencia que algunas camaras de necesario revisar las camara,
26 Camaras de seguridad X
seguridad estan presentando fallas. evidenciando que los dispositivos no
estan realizando la filmación.
Se ha identifcado que la depuración de

Depuración Biometrico usuarios de que ya no hacen parte de El acceso de personas no autorizadas a
27 X X
WTC torre A y C la compañía, no se solicita realizar la las instalaciones de
depruración de accesos en el WTC
Perdir la trazabilidad de los eventos de

No obtener evidencia de lo sucedido y no
los dispositivos de seguridad en caso
28 Servidores tener la certeza de que el impase vuelva X
de ser necesarios para una
a ocurrir.
investigación.
Acceso no autorizado a información de

La información sea utilizada en contra de
29 Servidores los equipos de la compañía y/o pérdida X
la compañía.
de la misma
Intrusión a los sistemas de seguridad

Los servidores puedan ser hackeados,
30 Servidores por vulnerabilidades a nivel de sistema X X
ocasionando robo de información.
operativo, aplicación y/o firmware
No tener el control sobre los grupos y Envío de correos masivos dañinos de

31 Servidores X
listas de distribución de correo. funcionarios no autorizados.
No se tiene control de los usuarios con
Información no segura o mal manejada
32 Servidores acceso autorizado a las bases de X X
por cualquier funcionario.
datos.
Desincronizacion en la hora de los Registros de transacciones erroneas. Al

33 Servidores servidores críticos causando afectación visualizar su estado no concuerda con lo
en el seguimiento de las transacciones. real.
El fabricante no dara soporte a las

soluciones, si el dispositivo no se
encuentra en la última versión
certificada.
34 Bases de Datos Se deben aplicar los patchs que genera Fallas a nivel de Hardware X
el fabricante para impedir problemas de
seguridad. Usuarios mal intencionados
pueden explotar las debilidades del
producto.
No contar con todas las evidencias y/o No obtener evidencia de lo sucedido y no

35 Bases de Datos registros para seguimiento forense y/o tener la certeza de que el impase no X
seguimiento a incidentes presentados. vuelva a ocurrir.
El performance de las aplicaciones se

debilita por saturación de la red por Falla en el servicio, bloqueo en
36 Bases de Datos X
algunos usuarios de las bases de aplicación.
datos.
Acceso a la información sensitiva por

usuarios no autorizados, evitando
Uso de información de forma inadecuada,
37 Bases de Datos garantizar la confidencialidad y X
perdida de información.
confiablidad de la información
almacenada.
Permitir que el usuario utilice

herramientas no autorizadas para Uso de información de forma inadecuada,
38 Bases de Datos X
consultar la información ó extraer perdida de información.
información para uso indebido.
Entregar credenciales del sysdba,

system y sys a usuarios que no sean Uso de información de forma inadecuada,
39 Bases de Datos X
dueños de las bases de datos y mucho perdida de información.
menos que no sean dba.
Ataques y/o amenazas que afecten el

funcionamiento de los sistemas
Perdida, robo o daños de información.
40 Antivirus-Server operativos windows server, e X X
Daño del sistema operativo.
infecciones de archivos ubicados en los
servidores.
Infección de virus nuevo, ocasionando

Falla de análisis en los servidores por
41 Antivirus-Server perdida, robo o daños de información. X
falta de parches en cliente de Antivirus.
Daño del sistema operativo.
Falta de monitoreo de estadísticas y

tendencias de los incidentes para No detectar a tiempo las fallas del
42 Administración X
identificar la causa raíz de los sistema para poder mitigarlas a tiempo.
problemas y eliminarlos o corregirlos.
Falta de programas de mantenimiento

43 Administración preventivo y correctivo sobre los Falla a nivel de Hardware. X
dispositivos de la infraestructura de TI.
Inexistente o inadecuada definición de
44 Backups políticas respaldo de información de la Perdida de información de la compañía. X X
compañía.
Infraestructura obsoleta o inadecuada

para la programación y obtención de Respaldos de información inconsistente.
45 Backups X
respaldos. (Incluye Hardware, Software, Daños de información al ser respaldada.
Medios e Integración)
Inadecuadas prácticas de
Demoras y claridad de busqueda al
administración de medios. ( Rotulado,
46 Backups momento de una recuperación de caida X
almacenamiento, formateo, rotación y
de un sistema.
destrucción)
Información importante no respaldada,

No tener conocimiento de los respaldos
tomando cierta criticidad en la compañía y
47 Backups de la compañía ni su utilización de X
siendo vulnerable a su perdida tanto en
medios.
datos como costos significativos.
Inadecuados o inexistentes planes y

programación de pruebas de Respaldos de información inconsistente.
48 Backups X
restauración de respaldos de Daños de información al ser respaldada.
información.
Inadecuados o inexistentes controles

Acceso a personal no autorizado que
de acceso físico a los centros de
49 DataCenter pueda acceder a la información y no tener X
cómputo, centros de equípos y centros
un uso adecuado de la misma.
de cableado.
Inadecuados o inexistentes medidas de Fallas a nivel de componentes por falta

protección contra factores ambientales de mantenimiento al centro de computo.
50 DataCenter X
en los centros de cómputo, centros de Deficienca capacidad de los equipos para
equípos y centros de cableado. soportar la gestión de los servicios
Adquirir un software que no cumpla los

51 Aplicaciones Inadecuada adquisicion de software requerimientos y las necesidades internas X X
o del cliente.
Posibilidad de que se acceda, manipule

y/o divulgue sin autorización la
52 Aplicaciones Uso indebido de la información X X
información privilegiada que las
aplicaciones continenen.
Posibilidad que terceros entre de forma

Vulnerabilidad del sistema de
53 Aplicaciones indebida o fraudulenta a las aplicaciones, X X
información
para alterar, hurtar o dañar la información.
Fallas de la aplicación que no pueden ser

Mantener aplicaciones comerciales en solucionadas, afectando la disponibilidad
54 Aplicaciones X
produccion sin contratos de soporte y posibles acuerdos de servicio con los
diferentes clientes.
No contar con los Backup necesarios en
caso de falla de la aplicación o el servidor
Fallas en los procesos de Backup de
55 Aplicaciones donde se encuentra instalado, generando X
las aplicaciones y sus bases de datos
perdida de informacion o aumento en los
tiempos de restauracion.
Que se lleven a cabo cambios en las

Realizar cambios no controlados en las
56 Aplicaciones aplicaciones que afecten su estabilidad y
aplicaciones
generen indisponibilidad de servicio.
No contar con el personal capacitado No poder brindar el soporte adecuado,

57 Aplicaciones para brindar soporte a las las con los tiempos de respuesta esperados X
aplicaciones en produccion o comprometidos con el cliente.
Posibilidad de afectar el servicio por la

Afectacion del servicio por renovacion falta de controles en el licencimiento,
58 Aplicaciones X
de licencimiento contratos de soporte, fechas de
cumplimiento.
Posibles demandas por el uso de

59 Aplicaciones Utilización de licencias no autorizadas X
licencias no autorizadas.
Generar riesgos de seguridad asociados

a la publicacion de la aplicación por
Riesgos de seguridad en el momento
medio de internet con los puertos
60 Aplicaciones de publicar las aplicaciones hacia X X
solicitados, por no realizar el respectivo
internet
escaneo de vulnerabilidades antes de
realizar la publicación.
No tener la documentacion minima

Falta de documentacion de las requerida antes de sacar un aplicativo a
61 Aplicaciones X X
aplicaciones desarrolladas in house produccion, documentos de diseño,
integracion, usuario y administracion.
No contar con la infraestructura a nivel de

Infraestrcutura obsoleta o inestable que servidores y enlaces de comunicaciones
62 Aplicaciones X
afecte las aplicaciones que permitan el correcto funcionamiento
de las aplicaciones
Tener aplicaciones que por sus

Administrar aplicaciones en sistemas requerimientos funcionales se encuentran
63 Aplicaciones X
operativos sin soporte en sistemas operativos sin soporte
Windows 2000
Conectividad LAN usuarios - Bogotá Desconexión de la red y servicios de de

64 Conectividad Switches de Acceso. Seguridad en el Bogotá X
cableado Interferencia, pinchado o daño
Conectividad LAN usuarios Medellin - Desconexión de la red y servicios de de

65 Conectividad Switches de Acceso. Seguridad en el Medellin X
cableado Interferencia, pinchado o daño
Conectividad LAN Servidores y
No se tenga Redundancia desde los
66 Conectividad Servicios - X
servidores o aplicaciones criticas
Switches Core
67 Conectividad Enlace de Intenet Proveedor Level 3 Saturación del enlace Backup X
68 Conectividad Enlace de Intenet Proveedor ETB Saturación del enlace Principal X
•Amenazas de fuerza mayor

•Fallos de organización
Vulnerabilidad del sistema a factores •Fallos humanos
69 Servidores externos los cuales pueden casuar •Fallos técnicos X X
daños, perdidas o robos •Actos malintencionados
•Separación de ambientes producción,
pruebas y desarrollo
Como consecuencia de fallos técnicos •Fallos humanos
Perdida de
70 y/o errores de usuario que pueden •Fallos técnicos X
información
borrar de forma no deseada datos •Actos malintencionados
Actualizaciones de Perdida de funcionalidades y/o •Fallos humanos
71 X
sistema interrupción de actividades o procesos •Fallos técnicos
•Actos malintencionados
Autorizaciones al Acceso no autorizado o permisos mal •Fallos humanos
72 X X
sistema asignados •Fallos técnicos
•Actos malintencionados
Se evidencia que usuarios estan

accediendo a carpetas de otras areas sin
73 DataCenter Acceso a solcobo101 sin autorización autorización; donde se encuentra X X
información confidencial de las distintas
areas de trabajo
Al generar export de solicitudes o

requerimientos desde Service Desk se
está trayendo la información de todos afectado la confidencialidad de la
74 Aplicaciones X
los clientes que tenemos en este información de nuestros clientes.
servidor.

No existen controles ni políticas en los
extracción de información de los usuarios
Gestión de procesos de soporte definidas.
75 (USB, disco duros, dispositivos móviles). X X
información (backups)
Habilitación puertos de conexión.
No existen controles ni políticas en los Pérdida, fuga y/o divulgación de

procesos de cambios y/o desbloqueos información confidencial debido a la
de contraseñas, accesos a las manipulación de las cuentas de acceso
diferentes plataformas de TI (carpetas de los clientes ya que ellos por facilidad
compartidas). dejan sus datos escritos mientras se
76 Gestión de accesos X
presta el soporte.
Manejo de cuentas con privilegios
administrativos personal de soporte. Instalación software no autorizado.
Afectación de la imagen y afectació n
Manejo de Cuentas genéricas. financiera de la compañía.

Sistemas de control remoto sin extracción de información de los usuarios.
77 Soporte remoto X
autorización del usuario.
No continuidad e inhabilidad para prestar

el servicio en la operación.
Procesos de soporte Conocimiento concentrado en un solo
78 X X
críticos recurso.
Gestión de la Carencia o desactualización de Politicas,

Perdida de Confidencialidad, Integridad
79 Seguridad de la procesos y procedimientos y de X X
y disponibilidad de la Información
Información Seguridad de la Información
Gestión de la
Perdida de Confidencialidad, Integridad Carencia de clasificación de la
80 Seguridad de la X X
y disponibilidad de la Información información
Información
Gestión de la
Perdida de Confidencialidad, Integridad Carencia de controles en cuanto a la
81 Seguridad de la X X
y disponibilidad de la Información clasificación de la información
Información
Perdida de registos de las actividades Carencia de logs por desactivación, por

82 Gestión de Capacidad en plataformas criticas de la espacio de almacenamientoo por X
organización. borrado.
Perdida de Confidencialidad, Integridad

Gestión de la y disponibilidad de la Información que Carencia de control de la Información que
83 Seguridad de la se maneja por usuarios autorizados se maneja por usuarios autorizados fuera X
Información fuera de las instalacones de de las instalacones de .
(Teletrabajo).
Gestión de la Utilización no autorizada de medios

84 Seguridad de la removibles en los proyectos que Perdida, robo o fuga de información X
Información contractualmente se prohiban.
Gestión de la Carencia de procedimiento.

Desinfomación en la atención de
85 Seguridad de la Desconocimiento del procedimiento. X
incidentes de seguridad
Información Definición de roles y resposnabilidades
Gestión de la Pérdida, robo o daño en la información No incluir los aspectos de seguridad de la

86 Seguridad de la confidencial. información en los proyectos de TI X X
Información Incumplimientos contractuales relacionados con el catálogo de servicios
Pérdida, robo o daño en la información Carencia de un plan de inducción,

confidencial. reinducción y formación complementaria
87 Talento Humano X X
Incumplimientos contractuales en temas relacionados con seguridad de
Demandas civiles o penales la información
Perdida, robo o alteración de la Desconocimiento del uso aceptable de los

información. activos y no contar con actividades para
88 Gestión de Servicios X X
Pérdida de la seguridad de la la devolución de los mismos.
información Ubicación y Protección de los equipos
Gestión de la Medios removibles desechados, medios

Divulgación, retiro o comercialización
89 Seguridad de la en desuso, transferencia de medios X
de información sin autorización
Información físicos con los clientes y proveedores.
Modificación de la información sin

Gestión de la autorización, Presentación de Alteración de los programas utilizados en
90 Seguridad de la resultados erróneos. Pérdidas el procesamiento de información X X
información económicas. Imcumplimiento de los confidencial
acuerdos contractuales
Gestión de la
Daño en la infraestructura y activos de la
91 seguridad de la Acceso físico no autorizado X X
compañia.
información
Disposición no segura o reutilziación de

Divulgación, retiro o comercialización
92 Gestión de Servicios los equipos que contienen información X X
de información sin autorización
confidencial
Equipos desatendidos.
Gestión de Seguridad Pérdida, robo o modificación de la Escritorio de pc con información
93 X X
de la información información confidencial.
Protectores de pantalla no activados
Gestión de Seguridad Pérdida, robo o modificación de la Información confidencial en medio físico o

94 X
de la información información electrónico sin las debidas protecciones
deficiencia en el registro de la información

Procesos de soporte Pérdida, robo o modificación de la cofnidencial.
95 X
críticos (CA) información Actividades de operadores y
administradores sin revisión
Ejecución de auditorias no planeadas,

Gestión de Seguridad Interrupciones en los procesos de
96 requisitos de auditoria que pueden afectar X
de la información negocio y la prestación de los servicios
los procesos y los servicios
Carencia de politicas y procedimientos

No contar con acuerdos de mensajería
Errores en la transferencia de
97 Gestión de Servicios electrónica X
información
No contar con acuerdos de
confidencialidad
Carencia de Responsabilidades,
Gestión de la Materialización de amenazas producto
procedimientos, reporte de eventos,
98 Seguridad de la de incidentes de seguridad de la X
evaluación, respuesta y recolección de
Información información
evidencia
Pérdida en la continuidad de la
Gestión de la
seguridad de la información ante un No incluir la seguridad de la información
99 Seguridad de la X
evento de fuerza mayor o desastre en el plan de continuidad del negocio
Información
natural
No contar con procedimiento de

auditorias internas
Incumplimiento de politicas y
Gestión de Seguridad Deficiente implementación y operación
100 procedimientos de seguridad X
de la información de la seguridad de la información
No contar con alertas tempranas para
detectar desviaciones en los controles
establecidos
MATRI
Nombre Responsable:
Definir y evaluar los riesgos asociados a los servicios y/o procesos realizados por ; especificando
ANALISIS Y VALORACION DE RIESGOS

Satisfacción
rentabilidad
Integridad
Idoneidad
VALORACION
PROPIETARIO DEL DEL RIESGO
PROBABILIDAD IMPACTO
RIESGO (Probabilidad x
Impacto)
X Seguridad ALTA 5 MODERADO 3 15
Oficial de seguridad MEDIA 3 MODERADO 3 9
X seguridad ALTA 5 MODERADO 3 15
X Datecenter ALTA 5 CRITICO 5 25
X Datecenter ALTA 5 CRITICO 5 25
Oficial de seguridad BAJA 1 MODERADO 3 3
X Oficial de seguridad ALTA 5 CRITICO 5 25
X Oficial de seguridad MEDIA 3 CRITICO 5 15

X Recursos Humanos BAJA 1 CRITICO 5 5
X Seguridad BAJA 1 MODERADO 3 25
X Recursos Humanos ALTA 5 CRITICO 5 25
Datecenter MEDIA 3 MODERADO 3 9
X Legal MEDIA 3 CRITICO 5 15
X Legal ALTA 5 CRITICO 5 25
BAJA 1 MODERADO 3 3
X MEDIA 3 MODERADO 3 9

X Seguridad ALTA 5 CRITICO 5 25
Datecenter MEDIA 3 CRITICO 5 15
Datecenter MEDIA 3 CRITICO 5 15
SM #N/A #N/A #N/A
X SM BAJA 1 CRITICO 5 5
X SM #N/A #N/A #N/A
X SM #N/A #N/A #N/A
SM #N/A #N/A #N/A
Gestor de
proveedores
Gestor de
#N/A #N/A #N/A
proveedores
Gestor de
X #N/A #N/A #N/A
proveedores
X Seguridad MEDIA 3 CRITICO 5 15
X Datacenter MEDIA 3 MODERADO 3 9
Datacenter MEDIA 3 MODERADO 3 9
X Datacenter ALTA 5 MODERADO 3 15
Comunicaciones BAJA 1 MODERADO 3 3

Comunicaciones ALTA 5 MODERADO 3 15
X Datacenter MEDIA 3 CRITICO 5 15
X Comunicaciones ALTA 5 MODERADO 3 15
Oficial de seguridad ALTA 5 MODERADO 3 15
X Datacenter BAJA 1 MODERADO 3 3
X Oficial de seguridad ALTA 5 MODERADO 3 15
HelpDesk ALTA 5 MODERADO 3 15

Datacenter ALTA 5 CRITICO 5 25
X Seguridad ALTA 5 CRITICO 5 25
X Datacenter ALTA 5 CRITICO 5 25
Datacenter MEDIA 3 CRITICO 5 15
Datacenter ALTA 5 MODERADO 3 15
X Datacenter BAJA 1 CRITICO 5 5
Datacenter BAJA 1 MODERADO 3 3

Datacenter /
Comunicaciones / MEDIA 3 MODERADO 3 9
Seguridad
Datacenter BAJA 1 CRITICO 5 5
X Aplicaciones BAJA 1 MODERADO 3 3
X Aplicaciones BAJA 1 CRITICO 5 5
Aplicaciones MEDIA 3 MODERADO 3 9

Aplicaciones BAJA 1 MODERADO 3 3
X Aplicaciones BAJA 1 INSIGNIFICANTE 1 1
Comunicaciones BAJA 1 CRITICO 5 5
Comunicaciones BAJA 1 CRITICO 5 5
Comunicaciones MEDIA 3 CRITICO 5 15
Comunicaciones MEDIA 3 INSIGNIFICANTE 1 3

Comunicaciones MEDIA 3 INSIGNIFICANTE 1 3

X Oficial de seguridad BAJA 1 CRITICO 5 5
BAJA 1 MODERADO 3 3
Aplicaciones ALTA 5 CRITICO 5 25
X Seguridad MEDIA 3 MODERADO 3 9
Datacenter /
Comunicaciones / MEDIA 3 MODERADO 3 9
Seguridad

Datacenter ALTA 5 CRITICO 5 25
X Recursos humanos BAJA 1 CRITICO 5 5
X HelpDesk MEDIA 3 MODERADO 3 9
Seguridad / Oficial
MEDIA 3 CRITICO 5 15
de seguridad
Seguridad / Oficial
de seguridad
X Aplicaciones MEDIA 3 CRITICO 5 15
Seguridad / Oficial
X BAJA 1 MODERADO 3 3
de seguridad
Seguridad / Oficial
X ALTA 5 CRITICO 5 25
de seguridad
Oficial de seguridad ALTA 5 CRITICO 5 25

MATRIZ DE RIESGOS
Nombre Responsable: POR DEFINIR Fecha elaboración o actualización

ealizados por ; especificando para cada uno, los riesgos que pueden afectar el servicio prestado y/o la oper
NIVEL VALORACION DEL

REVISION DEL ESTADO RESPUESTA /
DE RIESGO RIESGO /
DEL(os) CONTROL(es) GESTION DEL RIESGO
RESIDUAL ACCIONES
CONTROL EFECTIVO NIVEL 3 No Considerar Acciones
CONTROL NO EFECTIVO NIVEL 2 Preventivas MITIGAR EL RIESGO
CONTROL EFECTIVO NIVEL 3 No Considerar Acciones
CONTROL EFECTIVO NIVEL 3 No Considerar Acciones MITIGAR EL RIESGO

CONTROL EFECTIVO NIVEL 3 Preventivas MITIGAR EL RIESGO
CARENCIA DE CONTROL NIVEL 1 Preventivas Inmediatas MITIGAR EL RIESGO

CONTROL EFECTIVO NIVEL 3 Preventivas Inmediatas MITIGAR EL RIESGO
CONTROL EFECTIVO NIVEL 3
NIVEL 1
NIVEL 1
NIVEL 1

NIVEL 1
NIVEL 1

CONTROL EFECTIVO NIVEL 3 No Considerar Acciones EVITAR EL RIESGO


CONTROL EFECTIVO NIVEL 3 No Considerar Acciones ASUMIR EL RIESGO

CARENCIA DE CONTROL NIVEL 1 Preventivas Inmediatas ASUMIR EL RIESGO
CARENCIA DE CONTROL NIVEL 1 Preventivas Inmediatas ASUMIR EL RIESGO

CONTROL EFECTIVO NIVEL 3 No Considerar Acciones EVITAR EL RIESGO
CONTROL NO EFECTIVO NIVEL 2 Preventivas EVITAR EL RIESGO
CONTROL NO EFECTIVO NIVEL 2 Preventivas ASUMIR EL RIESGO

CONTROL NO EFECTIVO NIVEL 2 Preventivas ASUMIR EL RIESGO

CONTROL NO EFECTIVO NIVEL 2 Preventivas EVITAR EL RIESGO



Fecha elaboración o actualización :
n afectar el servicio prestado y/o la operación interna de la compañía.
CONTROL (ES)
Se cuenta con la política uso de controles y llaves
criptográficos (PO_SI_XX).
Falta realizar divulgación y asignación de espacio por
medio de una herramienta
operación interna de la compañía.
PLAN DE GESTION DE RIESGOS Y CONTROLES
ACTIVIDADES DE IMPLEMENTACIÓN / COMENTARIOS FECHA DE INICIO

ESTADO DE
FECHA DE FINALIZACIÓN AREA O PERSONA RESPONSABLE AVANCE
EJECUCIÓN
FECHA DE FINALIZACION
Cuándo el riesgo fue mitigado?
Objetivo
OBJETIVO DE CONTROL
A.5 POLITICAS DE SEGURIDAD DE LA INFORMACIÓN
A 5.1 ORIENTACIÓN DE LA DIRECCIÓN PARA LA

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
A 6.1 ORGANIZACIÓN INTERNA

A 6.2 DISPOSITIVOS MÓVILES Y TELETRABAJO
A.7 SEGURIDAD DE LOS RECURSOS HUMANOS
A 7.1 ANTES DE ASUMIR EL EMPLEO
A 7.2 DURANTE LA EJECUCIÓN DEL EMPLEO
A 7.3 TERMINACIÓN Y CAMBIO DE EMPLEO
A.8 GESTION DE ACTIVOS
A 8.1 RESPONSABILIDAD POR LOS ACTIVOS

A 8.2 CLASIFICACIÓN DE LA INFORMACIÓN
A 8.3 MANEJO DE MEDIOS
A.9 CONTROL DE ACCESO

A 9.2 GESTIÓN DE ACCESO DE USUARIOS
A 9.3 RESPONSABILIDADES DE LOS USUARIOS

A 9.4 CONTROL DE ACCESO A SISTEMAS Y
APLICACIONES
A. 10 CRIPTOGRAFIA
A 10.1 CONTROLES CRIPTOGRAFICOS
A. 11 SEGURIDAD FISICA Y DEL ENTORNO
A 11.1 AREAS SEGURAS

A 11.2 EQUIPOS
A. 12 SEGURIDAD DE LAS OPERACIONES
A 12.1 PROCEDIMIENTOS OPERACIONALES Y

RESPONSABILIDADES
A 12.2 PROTECCION CONTRA CODIGOS MALICIOSOS
A 12.3 COPIAS DE RESPALDO
A 12.4 REGISTRO Y SEGUIMIENTO

A 12.5 CONTROL DE SOFTWARE OPERACIONAL
A 12.6 GESTION DE LA VULNERABILIDAD TÉCNICA
A 12.7 CONTROLES DE AUDITORIAS DE SISTEMAS DE

INFORMACIÓN
A. 13 SEGURIDAD DE LAS COMUNICACIONES
A 13.1 GESTIÓN DE LA SEGURIDAD DE LAS REDES
A 13.2 TRANSFERENCIA DE INFORMACIÓN

A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
A 14.1 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS

DE INFORMACIÓN
A 14.2 CONTROL DE ACCESO AL SISTEMA OPERATIVO

A 14.3 DATOS DE PRUEBA
A.15 RELACIONES CON LOS PROVEEDORES
A. 15.1 RELACIONES CON LOSPROVEEDORES
A 15.2 GESTIÓN DE LA PRESENTACIÓN DE SERVICIOS

DE PROVEEDORES
A.16 GESTION DE INCIDENTES DE SEGURIDAD DE LA

INFORMACION
A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACION DE LA GESTION DE CONTINUIDAD DE NEGOCIO

A 17.1 CONTINUIDAD EN SEGURIDAD DE LA
INFORMACIÓN
A 17.2 REDUNDANCIAS
A. 18 CUMPLIMIENTO
A 18.1 CUMPLIMIENTO DE REQUISITOS LEGALES Y

CONTRACTUALES
A 18.2 REVISIONES DE SEGURIDAD DE LA

INFORMACIÓN
DECLARACION DE APLICABILIDAD (SOA) COLOMBIA
Producir la Declaración de Aplicabilidad (SOA) por ; que contenga los controles necesarios producto de la Matriz de R
controles del Anexo A de la norma
APLICABILIDAD
CONTROLES EXCLUSIONES
SI NO
MACIÓN
A 5.1.1 POLÍTICAS PARA LA SEGURIDAD DE LA

INFORMACIÓN X
A 5.1.2 REVISIÓN DE LAS POLITICAS PARA LA

SEGURIDAD DE LA INFORMACIÓN X
A INFORMACIÓN
A 6.1.1 ROLES Y RESPONSABILIDADES PARA LA

A 6.1.2 SEPARACIÓN DE DEBERES X

A 6.1.3 CONTACTO CON LAS AUTORIDADES
X
A 6.1.4 CONTACTO CON GRUPOS DE

INTERÉS ESPECIAL X
A 6.1.5 SEGURIDAD DE LA INFORMACIÓN EN LA

X
GESTIÓN DE PROYECTOS.
A 6.2.1 POLÍTICA PARA DISPOSITIVOS MÓVILES X
A 6.2.2 TELETRABAJO X
OS
A 7.1.1 SELECCIÓN
X
A 7.1.2 TÉRMINOS Y CONDICIONES DEL EMPLEO

X
A 7.2.1 RESPONSABILIDAD DE LA DIRECCIÓN X
A 7.2.2 TOMA DE CONCIENCIA, EDUCACIÓN, Y

FORMACIÓN EN S.I. X
A.7.2.3 PROCESO DISCIPLINARIO X
A 7.3.1 TERMINACIÓN O CAMBIO DE

RESPONSABILIDADES DE EMPLEO X
A 8.1.1 INVENTARIO DE ACTIVOS

X
A 8.1.2 PROPIEDAD DE LOS ACTIVOS
X
A 8.1.3 USO ACEPTABLE DE LOS ACTIVOS
X
A 8.1.4 DEVOLUCIÓN DE LOS ACTIVOS

X
A 8.2.1 CLASIFICACIÓN DE LA INFORMACIÓN X
A 8.2.2 ETIQUETADO DE LA INFORMACIÓN

X
A 8.2.3 MANEJO DE ACTIVOS

X
A 8.3.1 GESTIÓN DE MEDIOS REMOVIBLES

X
A 8.3.2 DISPOSICIÓN DE LOS MEDIOS

X
A 8.3.3 TRANSFERENCIA DE MEDIOS FÍSICOS X
A 9.1.2 ACCESO A REDES Y A SERVICIOS EN

RED X
A 9.2.1 REGISTRO Y CANCELACIÓN DEL
REGISTRO DE USUARIOS X
A 9.2.2 SUMINSITRO DE ACCESO DE

USUARIOS X
A 9.2.3 GESTIÓN DE DERECHOS DE ACCESO

PRIVILEGIADO X
A 9.2.4 GESTIÓN DE LA INF. DE AUTENTICACIÓN

SECRETA DE USUARIOS X
A 9.2.5 REVISIÓN DE LOS DERECHOS DE

ACCESO DE USUARIOS X
A 9.2.6 RETIRO O AJUSTE DE LOS DERECHOS

DE ACCESO. X
A 9.3.1 USO DE INFORMACIÓN DE

AUTENTICACIÓN SECRETA X
A 9.4.1 RESTRICCIÓN DE ACCESO A LA
INFORMACIÓN X
A 9.4.2 PROCEDIMIENTO DE INGRESO SEGURO X
A 9.4.3 SISTEMA DE GESTIÓN DE

CONTRASEÑAS X
A 9.4.4 USO DE PROGRAMAS UTILITARIOS

PRIVILEGIADOS X
A 9.4.5 CONTROL DE ACCESO A CODIGOS

FUENTE DE PROGRAMAS. X
A 10.1.1 POLÍTICA SOBRE USO DE CONTROLES

CRIPTOGRÁFICOS X
A 10.1.2 GESTIÓN DE LLAVES

X
A 11.1.1 PERÍMETRO DE SEGURIDAD FÍSICA

X
A 11.1.2 CONTROLES DE ACCESO FÍSICOS

X
A 11.1.3 SEGURIDAD DE OFICINAS, RECINTOS E

INSTALACIONES X
A 11.1.4 PROTECCIÓN CONTRA AMENAZAS
EXTERNAS Y AMBIENTALES X
A 11.1.5 TRABAJO EN ÁREAS SEGURAS

X
A 11.1.6 ÁREAS DE DESPACHO Y CARGA

X
A 11.2.1 UBICACIÓN Y PROTECCION DE LOS

EQUIPOS X
A 11.2.2 SERVICIOS DE SUMINISTRO

X
A 11.2.3 SEGURIDAD EN EL CABLEADO

X
A 11.2.4 MANTENIMIENTO DE EQUIPOS X
A 11.2.5 RETIRO DE ACTIVOS

X
A 11.2.6 SEGURIDAD DE EQUIPOS Y ACTIVOS

FUERA DE LAS INSTALACIONES X
A 11.2.7 DISPOSICIÓN SEGURA O

REUTILIZACIÓN DE EQUIPOS X
A 11.2.8 EQUIPOS DE USUARIO DESATENDIDO
X
A 11.2.9 POLÍTICA DE ESCRITORIO LIMPIO Y

PANTALLA LIMPIA. X
A 12.1.1 PROCEDIMIENTOS DE OPERACIÓN

X
DOCUMENTADOS
A 12.1.2 GESTIÓN DE CAMBIOS X
A 12.1.3 GESTIÓN DE CAPACIDAD X
A 12.1.4. SEPARACIÓN DE LOS AMBIENTES DE

X
DESARROLLO, PRUEBAS Y OPERACIÓN
A.12.2.1 CONTROLES CONTRA CÓDIGOS

MALICIOSOS X
A 12.3.1 RESPALDO DE LA INFORMACIÓN

X
A12.4.1 REGISTRO DE EVENTOS

X
A12.4.2 PROTECCIÓN DE LA INFORMACIÓN

DE REGISTRO X
A12.4.3 REGISTROS DEL ADMINSITRADOR Y DEL

OPERADOR X
A12.4.4 SINCRONIZACIÓN DE RELOJES X
A 12.5.1 INSTALACIÓN DE SOFTWARE EN

SISTEMAS OPERATIVOS X
A 12.6.1 GESTIÓN DE LAS VULNERABILIDADES

TÉCNICAS X
A 12.6.2 RESTRICCIÓN SOBRE LA INSTALACION

X
DE SOFWARE
A 12.7.1 CONTROLES DE AUDITORIAS DE

SISTEMAS DE INFORMACIÓN X
A 13.1.1 CONTROLES DE REDES

X
A 13.1.2 SEGURIDAD DE LOS SERVICIOS DE

RED X
A 13.1.3 SEPARACIÓN EN LAS REDES

X
A 13.2.1 POLÍTICAS Y PROCEDIMIENTOS DE

TRANSFERENCIA DE INFORMACIÓN X
A 13.2.2 ACUERDOS SOBRE TRASNFERENCIA
DE INFORMACIÓN X
A 13.2.3 MENSAJERIA ELECTRÓNICA

X
A 13.2.4 ACUERDOS DE CONFIDENCIALIDAD O

DE NO DIVULGACIÓN X
IMIENTO DE SISTEMAS
A 14.1.1 ÁNALISIS Y ESPECIFICACIÓN DE

REQUISITOS DE SI X
A 14.1.2 SEGURIDAD DE SERVICIOS DE LAS

APLICACIONES EN REDES PÚBLICAS X
A 14.1.3 PROTECCIÓN DE TRANSACCIONES

DE LOS SERVICIOS DE LAS APLICACIONES X
A 14.2.1 POLÍTICA DE DESARROLLO SEGURO

X
A 14.2.2 PROCEDIMIENTO DE CONTROL DE

CAMBIOS EN SISTEMAS X
A 14.2.3 REVISIÓN TÉCNICAS DE LAS

APLICACIONES DESPUES DE CAMBIOS EN LA
X
PLATAFORMA DE OPERACIÓN
A 14.2.4 RESTRICCIONES EN LOS CAMBIOS A

LOS PAQUETES DE SOFTWARE X
A 14.2.5 PRINCIPIOS DE CONSTRUCCIÓN DE

LOS SISTEMAS SEGUROS X
A 14.2.6 AMBIENTE DE DESARROLLO SEGURO

X
A 14.2.7 DESARROLLO CONTRATADO

EXTERNAMENTE X
A 14.2.8 PRUEBAS DE SEGURIDAD DE

SISTEMAS X
A 14.2.9 PRUEBAS DE ACEPTACIÓN DE
SISTEMAS X
A 14.3 DATOS DE PRUEBA

X
A 15.1.1 SEGURIDAD DE LA INFORMACIÓN EN

X
LAS RELACIONES CON LOS PROVEEDORES
A 15.1.2 TRATAMIENTO DE LA SEGURIDAD

DENTRO DE LOS ACUERDOS CON X
PROVEEDORES
A 15.1.3 CADENA DE SUMINISTRO DE
TECNOLOGÍA DE INFORMACIÓN Y
X
COMUNICACIÓN
A 15.2.1 SEGUIMIENTO Y REVISIÓN DE LOS

SERVICIOS DE LOS PROVEEDORES X
A 15.2.2 GESTIÓN DE CAMBIOS EN LOS

SERVICIOS DE LOS PROVEEDORES X
A 16.1.1 RESPONSABILIDADES Y
X
PROCEDIMIENTOS
A 16.1.2 REPORTE DE EVENTOS DE SEGURIDAD
X
DE LA INFORMACIÓN
A 16.1.3 REPORTE DE DEBILIDADES DE
A 16.1.4 EVALUACIÓN DE EVENTOS DE

SEGURIDAD DE LA INFORMACIÓN Y X
DECISIONES SOBRE ELLOS
A 16.1.5 RESPUESTA A INCIDENTES DE

X
SEGUIRIDAD DE LA INFORMACIÓN
A 16.1.6 APRENDIZAJE OBTENIDO DE LOS
INCIDENTES DE SEGURIDAD DE LA X
INFORMACIÓN
A 16.1.7 RECOLECCIÓN DE EVIDENCIA X
RMACION DE LA GESTION DE CONTINUIDAD DE NEGOCIO

A 17.1.1 PLANIFICACIÓN DE LA CONTINUIDAD
X
DE LA SEGURIDAD DE LA INFORMACIÓN
A 17.1.2 IMPLEMENTACIÓN DE LA CONTINUIDAD

X
DE LA SI
A 17.1.3 VERIFICACIÓN, REVISIÓN Y

X
EVALUACIÓN DE LA CONTINUIDAD DE LA SI
A 17.2.1 DISPONIBILIDAD DE INSTALACIONES DE

X
PROCESAMIENTO DE INFORMACIÓN
A 18.1.1 IDENTIFICACIÓN DE LA LEGISLACIÓN

APLICABLE Y DE LOS REQUISITOS
X
CONTRACTUALES
A 18.1.2 DERECHOS DE PROPIEDAD

INTELECTUAL X
A 18.1.3 PROTECCIÓN DE REGISTROS

X
A 18.1.4 PRIVACIDAD Y PROTECCIÓN DE

INFORMACIÓN DE DATOS PERSONALES X
A 18.1.5 REGLAMENTACIÓN DE CONTROLES

CRIPTOGRÁFICOS X
A 18.2.1 REVISIÓN INDEPENDIENTE DE LA

A 18.2.2. CUMPLIMIENTO CON LAS POLÍTICAS Y
NORMAS DE SEGURIDAD X
A 18.2.3 REVISIÓN DEL CUMPLIMIENTO TÉCNICO

X
N DE APLICABILIDAD (SOA) COLOMBIA LTDA
s necesarios producto de la Matriz de Riesgos establecida y la justificación de las exclusiones de los
JUSTIFICACION
tiene definido un Plan de Gestión de seguridad de la información ademas de las politicas de seguridad:
- PL-SGSI-01 Plan de Gestión de la Seguridad de la Informacion Colombia

- PO-SGSI-01 Política Seguridad de la Información - Antivirus
- PO-SGSI-02 Política Seguridad de la Información - Navegación, Internet y correo electrónico
- PO-SGSI-03 Política Seguridad de la Información - Seguridad Física Ubicación y Protección Equipos
- PO-SGSI-04 Política Seguridad de la Información - Acceso a la red, Seguridad en la red y Acceso
remoto
- PO-SGSI-05 Política Seguridad de la Información - Uso de Activos y Servidores
- PO-SGSI-06 Política Seguridad de la Información - Escritorio y pantalla limpia
- PO-SGSI-07 Política Seguridad de la Información - Uso de equipos móviles y teletrabajo
- PO-SGSI-08 Política Seguridad de la Información - Uso de Llaves Criptográficas
- PO-SGSI-09 Política Seguridad de la Información - Desarrollo Interno Seguro
- PO-SGSI-10 Política Seguridad de la Información - Medios Removibles
- PO-SGSI-11 Pendiente
Sí, se lleva a cabo la revisión de politicas por parte del comité de seguridad. Control de cambios
En el manual del SGSI (PR-GI-01) se incluye este aspecto
Se realiza capacitación a los recursos sobre el manejo de atención al cliente (evolution) , ademas se
define con Recursos Humanos el perfil que se requiere para la operación a fin de que se ajuste a las
necesidades del cliente y se evite la rotación de personal.
SAD (ccna)
Se cuenta con el procedimiento de Comunicación Incidentes de Seguridad PR-SGSI-01 el cual contiene
las actividades a seguir en caso de presentarse un incidente mayor de seguridad relacionado con robo,
daño o pérdida de la información confidencial. Se indica la relación con las autoridades y los grupos de
interés en nuestro caso los clientes.
Se tiene definido un espacio de Almacenamiento donde se archiva toda la documentación e información

de los clientes y los proyectos.
Se cuenta con el documento de Politica para dispositivos moviles (PO-SGSI-09 )
Se cuenta con el documento de Politica para dispositivos moviles (PO-SGSI-09 )
En el marco del SGC de ISO 9001 se cuenta con los procedimientos: Selección de personal directo de y
por temporal (PR-RH-01), Procedimiento de contratación directa (PR-RH-02), y Procedimiento de
contratación por la temporal (PR-RH-03)
En los contratos o términos contractuales con los empleados y contratistas se incluye una clausula
donde se indican las responsabildiades en cuanto a la seguridad de la información y se hace mención a
la aplicación de todas las políticas de . (RRHH)
La dirección exige a todos los empleados y contratistas la aplicación de las medidas de seguridad
existentes, el cumplimiento de los procedimientos y las políticas. (Comunicados, Getranet)
\\solcobo101\SEGURIDAD\1- OFICIAL DE SEGURIDAD\Proyecto 27001\Divulgativos, comunicados

y fondo de pantalla
Se cuenta con un plan de capacitación anual, el cual incluye entre otros, temas relacionados con
seguridad de la información.
Se cuenta con el procedimiento de Inducción de empleados nuevos (PR-RH-06) y el Procedimiento
solicitud de cursos o entrenamiento (PR-RH-04)
Se cuenta con el procedimiento de Proceso Disciplinario (PR-RH-XX)
Se cuenta con el procedimiento de XXXXXX (PR-RH-XX)

Se cuenta con políticas para el uso de activos y servidores (PO-SGSI-06 ).
Actualmente la devolucion de los activos (PC) se realiza de la siguiente manera: el usuario realiza la
entrega del pc a su jefe inmediato, el jefe realiza la solicitud al helpdesk para ejecutar el Backup o
Formateo, ademas de realizar la reasignación o el alistamiento para un nuevo recurso.
En el manual SGSI, (item 4.1.1) Se tiene la clasificación de la información como Uso publico, uso interno
y uso confidencial.
En el manual SGSI, (item 4.1.2) Se tienen los aspectos relacionados con el etiquetado de la información
de acuerdo a la clasificación de la información. Adicionalmente se indica la forma como se controla el
uso de este etiquetado.
Se cuenta con políticas para el uso aceptable de los activos (PO-SGSI-06).

realizo el desarrollo de la herramienta GUF.
Una aplicación para el almacenamiento de la información, se realizó el despliegue y la divulgación de la
aplicación en la compañía y se procedio a bloquear las diferentes herramientas de almacenamiento a
nivel de filtrado WEB.
Se cuenta con la Politica de uso de medios removibles, eliminación y destrucción (PO-SI-XX)

Todos los medios de compañía durante el almacenamiento en sitio son resguardados en zonas seguras
que impiden el acceso no autorizado a las cintas y evitan su deterioro; a través de estantería con acceso
restrigido exclusivamente al personal de TI y en áreas con controles ambientales (extinsión de incendio,
control de humedad, temperatura) apropiados para el almacenamiento de los medios.
tiene definidas polititicas para el acceso a la red:
PO-SGSI-04 Política Seguridad de la Información - Seguridad Física Ubicación y Protección Equipos
79: Se inició el proceso de identificacion y depruración de dichos usuarios genericos, verificación

periodica de los usuarios
tiene definido el procedimiento para eliminación de cuentas de usuario y correo.
PR-HD-GE-05 Eliminación de cuentas y correo ”
Ademas de la politica de acceso a la red
PO-SGSI-05 Política Seguridad de la Información - Acceso a la red, Seguridad en la red y Acceso remoto
37: Eliminación de la base de datos los privilegios dados por defecto. Lista de bases de datos y de
usuarios locales creados para las mismas
39: Creación de una politica de seguridad para que los usuarios administradores de bases de datos (sa,
sysdba, systemy sys), no sean utilizados para ninguna configuración que no sea totalmente necesario.
Se instala y se activa en todos los equipos propiedad de la empresa el firewall personal, acorde con la
tecnología del equipo. Creando los respectivas reglas para una administración correcta y segura,
adicional no todos los usuarios son administradores de sus PC, para ser administrador se requiere
autorización del oficial de seguridad.
22: Se inició el proceso de identificacion y depruración de usuarios genericos.
24:Se independizó el usuario que integraba el Call Manager de la infraestructura de y Compensar, para
esto se creo un usuario con las mismas característica del usuario actual pero con diferente nombre.
tiene definida la politica de seguridad de acceso a la red.
Se define los parametros de creación de usuarios, autenticación y Password para acceso de usuarios.
Se realiza depuración de usuarios no autorizados en los grupos actualmente creados y se valida los
permisos y privilegios de cada uno dependiendo la necesidad y perfil.
19: Se realiza una validación y depuración periodica de usuarios retirados de la compañía.
27: Solicitud a recursos humanos un reporte periodico de los usuarios que se retiran de la compañía.
Se define los parametros de creación de usuarios, autenticación y Password para acceso de usuarios.
14. Se retiró la publicación de reconocimiento a empleados del portal WEB, se generaron
recomendaciones a nivel de seguridad y se confirma que las recomendaciones hayan sido
implementadas antes de poner el portal en producción nuevamente. Igualmente se define un checklist
de paso a producción el cual deben pasar todos los servicios ( Escaneos de vulnerabilidades) antes de
ser puestos en producción para evitar abrir brechas de seguridad mediante aplicaciones o servicios
publicados sin control.
\\solcobo101\SEGURIDAD\4- ESCANEO VULNERABILIDADES SERVIDORES INTERNOS
tiene definidas politicas de seguridad fisica y acceso a la red:

Se define los parametros para creación y cambio de Contraseñas.
Se realiza validaciones a nivel de Ironport (Filtrado de contenido), Control periodico de software

instalado en servidores - privilegios, Validación del tipo de herramienta de conexión a la base de datos e
impedir el acceso a través del trigger de conexión.
Para los aplicativos que manejan información confidencial, no se cuenta con el manejo de códigos fuente
de los programas. Se realiza su mantenimiento o actualización por medio del procedimeinto de Gestión
de Cambios (PR-XX-XX)
PO-SGSI-12 Política Seguridad de la Información - Desarrollo Interno Seguro YANETH
Se cuenta con la política uso de controles y llaves criptográficos
PO-SGSI-10 Política Seguridad de la Información - Uso de Llaves Criptográficas
Se cuenta con la política uso de controles y llaves criptográficos PO-SGSI-10 Política Seguridad de la
Información - Uso de Llaves Criptográficas.
asigno un espacio para el almacenamiento de información de todas las areas con el fin de no tener
información sencible en el pec si no directamente en SOLCOBO101.
Se cuenta con la Politica de Seguridad - PO-SGSI-04 Política Seguridad de la Información -

Seguridad Física Ubicación y Protección Equipos
tiene definida una politica de control de acceso, el edificio controla los accesos pór medio del registro de
la Huella digital.
2: Se solicitó la apertura de espacio de almacenamiento pero aún no se finalizado el proceso de

designación por parte del área de Data Center.
tiene definidos los siguientes controles y mantenimientos:
- Soportes de Mantenimiento para cada uno de los elementos de acuerdo con la frecuencia definida.
- Reportes con los indicadores entregados al Comité de Tecnología (sistema de detección y extinción de
incendios)
se cuenta con el Documento Política de seguridad física, ubicación y protección de equipos, ítem 5 que
presenta las políticas de áreas seguras. Además, tiene los siguientes controles:
1, Habilitación de puertas de acuerdo a la necesidad del usuario por medio del Biometrico.
2. Circuito cerrado de televisión CCTV.
La infraestructura física que la organziación utiliza para el desarrollo de las actividades no cuenta con
áreas de carga o despacho, el edificio sólo tiene una entrada principal con su respectiva recepción, por
tal razón no es necesario establecer controles de seguridad para proteger las áreas de despacho o
carga.
Se cuenta con políticas de seguridad física PO-SGSI-04 Política Seguridad de la Información -
Seguridad Física Ubicación y Protección Equipos que incluye los temas relacionados con la
ubicación, protección de los equipos y los servicios de suministro.
cuenta con respaldo electrico tanto en las oficinas como en el edificio WTC.
- UPS Ubicadas en las oficinas de
- Planta electrica del edificio.
Se esta realizando revisión periodica a los Switches de repuesto y el cableado. Julieth Aldana
44: Todos los dispositivos de la infraestructura de TI que son administrados directamente por la
compañía deben contar con programas de mantenimiento preventivo y con soporte vigente.
Evidencia de cronogramas de mantenimiento y evidencias de la ejecucion del mismo (sistema de

detección y extinción de incendios) edwin Clavijo
56:se esta realizando el cambio de las aplicaciones por nuevas versiones con contratos de soporte y
actualizaciones permanentes, Se esta trabajando en la implementación de CA, con el fin de retirar las
aplicaciones que no cuentan con soporte de fabricante.
65:Migración de las aplicaciones a sistemas operativos mas modernos con soporte del fabricante que
permitan contar con la seguridad y estabilidad necesaria, Analisis de estabilidad de las aplicaciones en
sistemas operativos diferentes al de origen.
Se cuenta con la Politica de Seguridad - PO-SGSI-04 Política Seguridad de la Información - Seguridad

Física Ubicación y Protección Equipos
La vigilancia del edificio controla la salida de elementos y equipos de , mediante la revisión de la ORDEN
DE SALIDA, expedida y autorizada por un empleado de .
Al interior de la instalacioens se cuenta con Monitoreo Camaras de Seguridad y sistema Biometrico.

Para los equipos fuera de las instalaciones se cuenta con el almacenamiento de información en el
servidor Solcobo 101.
Politica de almacenamiento
PO-SGSI-03 Política Seguridad de la Información - Almacenamiento de Información
Se realiza backup de información de los equipos que van hacer reasignados, se realiza el respectivo
formateo y alistamiento con el nuevo perfil cuando se requiera por medio de HelpDesk. NUBIA
Contamos con la Configuración de pantalla de bloqueo para todos los usuarios luego de cierto tiempo de
inactividad.
Se cuenta con la política de escritorio limpio y pantalla limpia PO-SGSI-08 Política Seguridad de la
Información - Escritorio y pantalla limpia
A la luz de los sistemas de gestión de caldiad y de servicios se cuenta con diferentes procedimientos de
operación documentados y actualizados
tiene definido un plan de gestión de cambios:
- PL-SI-02 Plan de Gestión de Cambios Colombia

- Tratamiento de incidentes y requerimientos de usuarios
tiene definido plan de capacidad y plan estrategico de capacidad.

- PL-SI-03 Plan de Gestion de Capacidad Colombia
- BD-SI-06 Plan Estrategico Capacidad.
Se cuenta con ambientes de producción, pruebas y desarrollo separados.
Verificación de los informes periodicos de la Plataforma de Antivirus

Reporte de novedades y bitacora de DataCenter
Reporte de novedades y control mensual de la gestion antivirus
CRONOGRAMAS Y VERIFICACIONES DE PROCESOS
• Se elaboro un cronograma y procedimientos de instalación de actualizaciones liberadas por SAP:

support package, kernel y notas. Victor Bogota
78: Se debe programar una sesión de trabajo con las areas responsbles para definir el manejo que se
debe dar respecto a la fuga de información cuando se realixa un soporte en sitio o remoto que oblique a
usar dispositivos USB, Definir las herraientas de trabajo para los soportes en sitio y remoto para
HelpDesk
23: Se validó espacio, para almacenar los Logs por un periodo de 30 dias.
28: Guardar y almacenar los logs con los datos de los accesos con dispositivos de Seguridad,
Implementacion de Forward and Collect Events.
Ubicación de Logs - Escaneo de Vulnerabilidades
Para las funciones de registro de información en los aplicativos considerados criticos, y para el registro
de eventos de los operadores y administradores, se cuenta con control de acceso y clave, toda actividad
en dichos aplicativos se registra y se le realzia seguimiento.
Se sincronizá cada 5 minutos los servidores con el server NTP
Cuenta con el concepto aprobatorio de Softeare libre.

PO-SI- XX Concepto Aprobatorio Software Libre
Realizar un correcto analisis del software que se requiere adquirir acorde a las necesidadades de la
organización o los requerimiento de los cliente.
Divulgación y seguimiento puntual del proceso par aprobación del software que se requiera como
herramienta de trabajo; Documento “Concepto aprobatorio de software libre”documento elaborado para
que desde la línea de seguridad se realice el respectivo análisis del software se requiera instalar como
herramienta de trabajo con el fin de ser aprobado.
tiene definido un cronograma y un procedimiento para realizar escaneo de vulnerabilidades a los

servidores e infraestructura de la compañia:
- Procedimiento Escaneo de Vulnerabilidades
- Analisis de Vulnerabilidades 2015
Reportes y Seguimiento a Escaneo de Vulnerabilidades; se realizan 2 escaneos al año.
Aplicar buenas practicas en el desarrollo de sistemas de información seguros.
Se estan realizando migracion de aplicaciones de servidores fisicos a servidores virtuales.
Se cuenta con la política de seguridad- navegación PO-SGSI-02 Política Seguridad de la Información -

Navegación, Internet y correo electrónico
Controles mensuales del uso del licencimiento y revisiones periodicas para registrar su consumo,
tiempos de finalizacion y renovaciones de licencias en caso de ser necesario. YANETH
Se realizar escaneo de viulnerabilidades a los servidores antes de realizar su publicacion.
Se cuenta con el procedimiento de Auditorias Internas SIG (PR-SIG-06) para las auditorias que se
realizan con personal interno o a nombre de .
En cuanto a las auditorias externas o de nuestros clientes, estas siempre se deben solicitar formalmente
a fin de establecer su viabilidad, fechas y alcance. YANETH
Se realiza revisión periodica a los Switches de repuesto, Monitoreo Diario, Asegurar la conexión de cada
servidor y dispositivo a cada switch Core exista.Validar que las conexiones sean simetricas, Monitoreo
7x24, control de consumo de Ancho de Banda CONECTIVIDAD
Se deshabilitó la función de Split-Tunneling con el fin que todo el tráfico sea inspeccionado por las
palataformas de seguridad corporativas mientras el usuario se encuentra conectado por VPN.
Se realiza revisión periodica a los Switches de repuesto, Monitoreo Diario, Asegurar la conexión de cada
servidor y dispositivo a cada switch Core exista.Validar que las conexiones sean simetricas, Monitoreo
7x24, control de consumo de Ancho de Banda CONECTIVIDAD
Se cuenta con la politica de transferencia de información (PO-SI-09). Se cuenta además con

procedimientos, acuerdos de confidencialidad y manejo de la mensajería electrónica MANUEL
Se cuenta con la politica de transferencia de información (PO-SI-09). Se cuenta además con
procedimientos, acuerdos de confidencialidad y manejo de la mensajería electrónica MANUEL
En el marco del SGS de ISO 20000, se cuenta con el procedimiento de Diseño y Transcición de
Servicios Nuevos o Modificados (XX-XX-XX), en el cual se incluye el tratamiento de estos aspectos. Para
todo proyecto nuevo de TI o de prestación de servicios se deben contar con un plan de proyecto y un
diseño del mismo, con sus caracteristicas tecnicas y de seguridad, MANUEL
PO-SGSI-12 Política Seguridad de la Información - Desarrollo Interno Seguro
tiene definido un plan de Gestión de cambios:
PL-SI-02 Plan de Gestión de Cambios Colombia.
Se realiza escaneo de viulnerabilidades a los servidores antes de realizar su publicacion.
tiene definido un cronograma y un procedimiento para realizar escaneo de vulnerabilidades a los

servidores e infraestructura de la compañia:
- Procedimiento Escaneo de Vulnerabilidades

- Analisis de Vulnerabilidades 2015
Se realiza el parchado a los dispositivos de seguridad de acuerdo con la última actualización avalada por
el fabricante
Se mantiene las úlimas versiones y con los patchs requeridos el software de base de datos. YANETH
La organización no considera necesario estos controles para la protección de su información debido a

que no cuenta con desarrollo de sistemas contratado externamente.

En el marco del SGS de ISO 20000, se cuenta con el plan de gestión de proveedores (PL-SI-16) el cual
permite gestionar y establecer los lineamientos y actividades para el control de los proveedores críticos.
En el manual del SGSI (PR-GI-01) se incluye este aspecto
PR-SGSI-01 Manejo Incidentes de Seguridad de la información

tiene definido los siguientes planes:
PL-SI-05 Plan de Gestion de Continuidad Colombia
PL-SI-06 Plan de Continuidad de Negocio Colombia
Estos incluyen los aspectos relaconados con seguridad de la información, activos, metodología, pruebas,
entre otros.
evalúa y documenta por cada negocio los requisitios de continuidad mínimos para garantizar la
operación en contingencia los cuales están relacionados directamente con los requisitos de
disponibilidad establecidos. Producto de la Gestión de Cambios se verifican, ejecutan y controlan los
cambios autorizados y que afecten directamente el plan de continuidad.
Se cuenta con la matriz de la legislación aplicable (XX-XX-XX). Se incluye las leyes sobre derechos de
propiedad intelectual, protección de registros y protección de información de datos personales, según
sea su aplicabilidad.
En cuanto a la revisión independiente o auditorias externas por parte de e nuestros clientes, estas
siempre se deben solicitar formalmente a fin de establecer su viabilidad, fechas y alcance. incluyen
revisión de políticas, procedimientos, cumplimiento tecnico y cumplimiento contractual de los niveles de
seguridad establecidos.
En cuanto a la revisión independiente o auditorias externas por parte de e nuestros clientes, estas
siempre se deben solicitar formalmente a fin de establecer su viabilidad, fechas y alcance. incluyen
revisión de políticas, procedimientos, cumplimiento tecnico y cumplimiento contractual de los niveles de
seguridad establecidos.
VALORACION DEL RIESGO = (PROBABILIDAD X IMPACTO)
IMPACTO
CRITICO (5) 5 15
MODERADO (3) 3 9
INSIGNIFICANTE (1) 1 3
BAJA (1) MEDIA (3)
PROBABILIDAD
X IMPACTO)
25
15
5
ALTA (5)
ABILIDAD
PROBABILIDAD: de una amenaza se puede entender como la ocurrencia o frecuenci
que tiene esta para presentarse. Este aspecto está enmarcado en:
5 ALTA
3 MEDIA
1 BAJA
ALTA 5
MEDIA 3
BAJA 1
BILIDAD: de una amenaza se puede entender como la ocurrencia o frecuencia
ne esta para presentarse. Este aspecto está enmarcado en:
Ha ocurrido varias veces durante el último año.
Ha ocurrido en el último año.
No ha ocurrido o hace más de 1 año.

IMPACTO: es la estimación del daño o las consecuencias que se generarían
de que una amenaza aproveche una vulnerabilidad. Este aspecto se evaluar
impacto económico y/o impacto en nuestros clientes. Este aspecto está enmar
ECONOMICO
CRITICO 5 Se tiene penalización por no
cumplir SLAs.
MODERADO 3 Se tiene penalización por no

cumplir SLAs.
INSIGNIFICANTE 1 No implica pérdidas económicas

significativas.
CRITICO 5
MODERADO 3
INSIGNIFICANTE 1
s consecuencias que se generarían en el caso
erabilidad. Este aspecto se evaluará desde el
s clientes. Este aspecto está enmarcado en:
CLIENTES
Afecta a más de 1 cliente o más de
20 usuarios
Afecta a 1 cliente o entre 10 y 20

usuarios
Afecta a menos de 10 usuarios

Para adelantar la validación de los controles existentes es necesario describirlos
estableciendo las respuestas a las siguientes preguntas:
1. ¿Los controles están documentados?
2. ¿Se están aplicando en la actualidad?
3. ¿Son efectivos para minimizar el riesgo?
Pondere los controles siguiendo la siguiente tabla, teniendo en cuenta las respuestas a las
preguntas anteriormente formuladas (los controles se encuentran documentados, se aplican
y son efectivos).
CRITERIO
Respuesta afirmativa a las 3 preguntas
Respuesta afirmativa a 2 o 1 pregunta
Respuesta negativa a las 3 preguntas

s controles existentes es necesario describirlos
s siguientes preguntas:
el riesgo?
a siguiente tabla, teniendo en cuenta las respuestas a las

adas (los controles se encuentran documentados, se aplican
ESTADO DEL CONTROL
CONTROL EFECTIVO
CONTROL NO EFECTIVO
CARENCIA DE CONTROL
GESTION DEL RIESGO
NIVEL PRIORIZACION
NIVEL 1 Alta (A) y Media (M)
NIVEL 2 Alta (A) y Media (M)
NIVEL 3 Alta (A), Media (M) y Baja (B)

GESTION DEL RIESGO
CONTROL ACCIONES
Carencia de Control Preventivas Inmediatas
Control No Efectivo Preventivas
Control Efectivo Seguimiento

RESPUESTA AL RIESGO
EVITAR EL RIESGO
MITIGAR EL RIESGO
COMPARTIR O TRANSFERIR EL RIESGO
ASUMIR EL RIESGO
RESPUESTA AL RIESGO
· Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. Es siempre la prim
considerar, se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, redis
resultado de unos adecuados controles y acciones emprendidas. Un ejemplo de esto puede ser el control de c
los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.
· Mitigar el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de pr
impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económic
debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los p
implementación de controles.
· Compartir o transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otras organiza
caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con
en los contratos a riesgo compartido. Es así como por ejemplo, la información de gran importancia se puede du
en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar.
· Asumir el riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual q
este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de co
manejo.

Copia de Matriz de Riesgos-SOA - Diligenciada

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Copia de Matriz de Riesgos-SOA - Diligenciada

Cargado por

Copyright:

Formatos disponibles

Compañía: POR DEFINIR

La compañía no cuenta con protección Vulnerabilidades

Acceso a la información sensitiva por

violaciones o intentos de violación a la

Perdida de los respaldos de información

Instalación de Software no autorizado. Ejecutar acciones que pueden incurrir en

Adquirir un software que no cumpla los

Perdida, robo o alteración de la

Ausencia de monitotreo a las

Ausencia o insuficiencia de cláusulas

Ausencia o insuficiencia en la definición

Carencia de gestión y atención de

Procesos misionales y Desconocimiento, incumplimiento de Incumplimiento de los requisitos legales,

Desconocimiento por parte de los

Carencia de un plan de inducción,

Ausencia o insuficiencia de controles de

Indisponibilidad de los servicios

Pérdida, fuga y/o divulgación de

Fallas de energía e interrupciones

Perdida de información por virus

Pérdida, robo o daño en la información No incluir los aspectos de seguridad de la

Fuga y/o perdida de información

Exposición de información sensible del

No se cuenta con el diseño de una

Se desconocerá el nivel de vulnerabilidad

Mala gestión de los proveedores que

No ser personal idóneo

Gestión de No cumplir con las expectativas del

SERVICIOS Y/O ACTIVOS DEL SERVICIO

Se detecta que algunos usuarios estan Facilidad de conexión .

cuenta con un archivo donde se

Se evidencia que en los repositorios

Se evidencia que los usuarios utilizan

La configuración de los equipos para

Seguridad para PC PerdIda de los dispositivos que pone en

Servicio de No se está generando la solicitud de

Configurar los teléfonos IP de tal forma

La conexión VPN cliente, se encuentra

La Wireless de invitados se encuentra

Tras el continuo robo y pérdida de

Aplicación corporativa se ha publicado

Los equipos corporativos no cuentan

Las contraseñas asignadas para

Depuración de Se ha identificado que en el DA existen

Integridad y disponibilidad de los logs de

Se ha detectado que los

Se ha identificado que las distintas Perdida de integridad y disponibilidad de

Se ha evidenciado bloqueos continuos

validación perfiles, niveles de accesos, Permitir acceso y manipulación de las

Se presentó un incidente en el cual fue

Se ha identifcado que la depuración de

Perdir la trazabilidad de los eventos de

Acceso no autorizado a información de

Intrusión a los sistemas de seguridad

No tener el control sobre los grupos y Envío de correos masivos dañinos de

Desincronizacion en la hora de los Registros de transacciones erroneas. Al

El fabricante no dara soporte a las

No contar con todas las evidencias y/o No obtener evidencia de lo sucedido y no

El performance de las aplicaciones se

Acceso a la información sensitiva por

Permitir que el usuario utilice

Entregar credenciales del sysdba,

Ataques y/o amenazas que afecten el