Formato

PLAN DE TRATAMIENTO DE RIESGOS SUPERSALUD

FECHA DE REVISION:

Fecha Máxima de
N° Riesgos encontrados Vulnerabilidades Tratamiento Control Actividad Responsable Recursos Adicionales
implementación
No se exige el uso de contraseñas seguras para los accesos a Definir e implementar política de contraseñas seguras para Oficial de Seguridad de la
Mitigar CNTRL01 NA 30-Jun-2014
los sistemas de información el acceso a los sistemas de información Información
Pérdida o modificación de la
información No se han implementado políticas o procedimientos para la Definir, documentar e implementar procedimiento o política
Oficial de Seguridad de la
asignación, modificación, eliminación y revisión de privilegios Mitigar CNTRL03 para asignación, revisión, modificación y eliminación de NA 30-Jun-2014
Información
en los Sistemas de Información. privilegios de acceso a los Sistemas de Información

No se exige el uso de contraseñas seguras para los accesos a Definir e implementar política de contraseñas seguras para Oficial de Seguridad de la
Mitigar CNTRL01 NA 30-Jun-2014
los sistemas de información el acceso a los sistemas de información Información

Establecer y/o activar cifrado en el servidor de correo de la

Canales no cifrados en el servicio de correo electrónico Mitigar CNTRL02 Líder de Infraestructura 30-Jun-2014
entidad

No se han implementado políticas o procedimientos para la Definir, documentar e implementar procedimiento o política
Oficial de Seguridad de la
asignación, modificación, eliminación y revisión de privilegios Mitigar CNTRL03 para asignación, revisión, modificación y eliminación de NA 30-Jun-2014
Información
en los Sistemas de Información. privilegios de acceso a los Sistemas de Información

Definir e implementar tiempos para el bloqueo automático

No se cuenta con bloqueos automáticos o políticas de bloqueo de las pantallas y una política para que todos los usuarios Oficial de Seguridad de la
Mitigar CNTRL05 NA 30-Jun-2014
manual para la pantalla bloqueen de forma manual al abandonar de forma Información
permanente el lugar de trabajo.

Definir, documentar e implementar procedimiento o política

No se cuenta con registros de los privilegios asignados a los Oficial de Seguridad de la
Mitigar CNTRL03 para asignación, revisión, modificación y eliminación de NA 30-Jun-2014
funcionarios y contratistas Información
Fuga de Información privilegios de acceso a los Sistemas de Información

Definir, documentar, Difundir e implementar un

No se tiene definido un procedimiento de respuesta a eventos Oficial de Seguridad de la
Mitigar CNTRL08 procedimiento de gestión de incidentes de seguridad de la NA 30-Jun-2014
e incidentes de seguridad Información
información en la entidad
Realizar aseguramiento al servidor FTP, deshabilitar la
Configuración por defecto del servicio FTP Mitigar CNTRL09 Líder de Infraestructura NA 30-Jun-2014
autenticación por defecto.
No se cuenta con cifrado en las comunicaciones del servidio Establecer una comunicación segura para el servidor FTP,
Mitigar CNTRL10 Líder de Infraestructura NA 30-Jun-2014
FTP por medio de migración a protocolos seguros.

Realizar la renovación del certificado de seguridad del

No se han actualizado el certificado SSL del servidor Lotus Mitigar CNTRL12 Líder de Infraestructura 30-Jun-2014
servidor Lotus, y realizar revisión de los demás servidores

Debilidad en RDP para ataques de hombre en el medio. NA 30-Jun-2014

Generar y aplicar Estandares de Seguridad para las Líder de Infraestructura, Oficial de
Mitigar CNTRL06
plataformas tecnologicas Seguridad de la Información
Se permite autenticación de sesiones nulas 30-Jun-2014

Definir, documentar, difundir e implementar politicas de

No se han implementado políticas para evitar el consumo de
Daño total o parcial del equipo Mitigar CNTRL04 consumo de alimentos cerca a los equipos de cómputo o NA 30-Jun-2014
liquidos y alimentos cerca a los equipos
en los Data Center
Definir, documentar, Difundir e implementar un Plan de
No se cuenta con plan de continuidad en la Entidad Mitigar CNTRL07 Líderes de Proceso 30-Jun-2014
Continuidad de Negocio para la entidad.
Definir, documentar, Difundir e implementar un
No se tiene definido un procedimiento de respuesta a eventos Oficial de Seguridad de la
Mitigar CNTRL08 procedimiento de gestión de incidentes de seguridad de la NA 30-Jun-2014
e incidentes de seguridad Información
información en la entidad
No disponibilidad de los sistemas
de información Afinamiento de las reglas del Firewall, de tal manera que Oficial de Seguridad de la
No se encuentran bien afinadas las reglas en el Firewall Mitigar CNTRL13 NA 30-Jun-2014
no existan reglas con ANY ANY Información
Definir, documentar, difundir e implementar un
procedimiento de gestión de vulnerabilidades técnicas o Oficial de Seguridad de la
No se cuenta con actualización del software, aplicaciones. Mitigar CNTRL11 NA 30-Jun-2014
establecer este tipo de proceso en el procedimiento de Información
gestión de incidentes de seguridad de la información.
 Definir, documentar, difundir e implementar un
procedimiento de gestión de vulnerabilidades técnicas o Oficial de Seguridad de la
Perdida de confidencialidad de la No se cuenta con actualización del software, aplicaciones. Mitigar CNTRL11 establecer este tipo de proceso en el procedimiento de Información
30-Jun-2014
gestión de incidentes de seguridad de la información. NA
Mitigar
Transferir
Evitar
Aceptar
 Observaciones

Ya esta definido dentro de las Politicas de

Seguridad

Procedimiento de Gestión de Usuarios

Preguntar a Admin Correo si la comunición

entre el clente y el servidor la información va
cifrada

Ya esta defnida la politica, validar con el AD

timeout para bloqueo de pantallas

Ya esta definido

Validarlo

Validarlo

Validar con Admin de Correo

Proceso de Gestión de Vulnerabilidades