Análisis y Evaluacion de Riesgos Según Magerit Final

s
ANÁ LISIS Y EVALUACION DE

RIESGOS SEGÚ N MAGERIT AL
PROCESO GESTION DE
REQUERIMIENTOS
SEGURIDAD Y AUDITORIA DE
SISTEMAS
DANNY ALEXIS PEREZ BURGOS

MARIA CAMILA HOYOS ORTEGA
UNICOMFACAUCA
ANÁLISIS Y EVALUACION DE RIESGOS SEGÚN MAGERIT AL PROCESO DE
GEESTION DE REQUERIMIENTOS DE LA EMPRESA SITIS S.A
INTROODUCCION.
Sin lugar a duda podemos observar en la actualizada como la tecnología, las comunicaciones,
la informática y el internet, se ha convertido en una necesidad, poco a poco se han ido
ganado terreno siendo hoy en día una parte fundamental desde toda perspectiva, haciendo
énfasis en el sector institucional y/ o empresarial.
Vemos como para adelantar la mayoría de las funciones de la informática y todo lo que
implica tecnología, En ese orden de ideas cada herramienta hardware o software implica un
sistema de gestión de Calidad para su óptimo rendimiento y funcionalidad, Para lo cual se
realizó un sistema de gestión de Calidad basándonos en la norma ISO 27001:2013 aplicando la
metodologia Magerit en la empresa SITIS S.A.
SITIS S.A.S fundada hace ya 13 años, se perfila como una de las mejores casas de software a
nivel Regional con presencia de sus productos en varios departamentos del territorio
Colombiano.
Debido a la información que maneja y procesa, esta se convierte uno de los activos más
importantes tanto para la compañía como para sus clientes, volviéndose un aspecto crítico
que requiere asegurar la integridad, disponibilidad y confidencialidad de la misma.
Para lograr lo anterior se realizará un análisis del estado actual específicamente del proceso
Gestión de Requerimientos de la organización en relación a la gestión de la seguridad de la
información, el resultado de este análisis servirá como insumo para la propuesta de
implementación de al menos un control para el SGSI basado en la norma ISO 27001:2013.
ALCANCE.
Mediante la auditoría realizada a la empresa Sitis S.A se logró concluir

que la empresa no cuenta con un Sistema de gestión de seguridad, en el
cual se determina realizar el análisis y evaluación de riesgos a el proceso
de gestión de requerimiento, aplicando el estándar ISO 27001:2013
mediante la metodología Magerit.
1. INVENTARIO DE ACTIVOS DE PROCESO GESTION DE REQUERIMIENTOS
ACTIVO DESCRIPCION
Conceptos Generales Definen de manera general el alcance funcional y
normativo
Alcance funcional Detalle de la aplicación que tendrá el resultado del
proyecto, en el cual es una información
supremamente importante para la empresa
Prototipos (mockups) Una herramienta de diseño y promoción con gran
importancia que nos permite exhibir o probar un
diseño
Conjunto Mínimo de datos básicos Es un conjunto de información mínima y básica
sobre cada episodio asistencial de cada paciente.
Historias de usuario Son descripciones, siempre muy cortas y
esquemáticas, que resumen la necesidad concreta
del usuario al utilizar un producto, así como la
solución que la satisface.
Criterios de aceptación Definen los requisitos del Product Owner sobre
cómo debe comportarse la aplicación para que una
determinada acción se pueda llevar a cabo.
reglas de negocio Describe las políticas, normas, operaciones,
definiciones y restricciones presentes en una
organización
casos de uso Es información elaborada entre colaboración por
los analistas de requisitos y los clientes
Roadmap Es una planificación del desarrollo de un software
con los objetivos a corto y largo plazo.
Plan de Liberación Documento importante en donde se define todo el
plan de liberación de la gestión de requerimientos
Laptop 1 Este computador se encuentra ubicado en el área
de Producto en el cual es utilizado por el
coordinador.
Laptop 2 Este computador se encuentra ubicado en el área
de Producto en el cual es utilizado por el analista
funcional
Sistema operativo W10 Este sistema es el que se encuentra instalado en
ambos computadores
Ofimática Técnicas y aplicaciones que se utilizan para
facilitar, optimizar, mejorar y automatizar las
tareas referentes a la oficina, en el cual se tiene
instalado en paquete de Microsoft Office
KIMAI Aplicación que permite el funcionamiento de las
actividades de los funcionarios
MANTIZ Aplicación que permite el funcionamiento de las
BIZAGI Aplicación que permite el funcionamiento de las
Manejador de BD Aplicación que permite el funcionamiento de las
LAN Red LAN es utilizada para el uso de la comunicación
entre los computadores de la empresa
Router Dispositivo de hardware que permite la
interconexión de los computadores en red.
Coordinador Producto Persona encargada del área de producto
Analista Funcional Persona encargada en analizar la parte funcional
del proceso
Experto de dominio Persona experta en el proceso de gestión de
requerimientos
Oficina Es un salón destinado al trabajo. En donde se
2. CLASIFICACION DE ACTIVOS APARTIR DE MAGERIT
La tipificación de los activos según la metodología Magerit, permite distinguir la importancia
de cada activo de información que tiene la empresa SITIS S.A en su proceso Gestión de
Requerimientos, para así poder tener un criterio de identificación de las vulnerabilidades,
amenazas y salvaguardas que puede tener cada uno, este desarrollo se realiza bajo
metodología Magerit V03 Libro II, se denomina como Catalogo de Elementos. (Tabla
1.Inventario de Activos).
3. Tabla 1.Inventario de Activos
Tipo de Activo Activo Ubicación

Datos / Información [D] Conceptos Generales Servidor
[D] Alcance funcional Servidor
[D] Prototipos (mockups) Servidor
[D] Conjunto Mínimo de datos Servidor
básicos
[D] Historias de usuario Servidor
[D] Criterios de aceptación Servidor
[D] reglas de negocio Servidor
[D] casos de uso Servidor
[D] Roadmap Servidor
[D] Plan de Liberación Servidor
Software - Aplicaciones [SW] Sistema operativo W10 Área de producto
informáticas [SW] Ofimática Área de producto
[SW] KIMAI Servidor
[SW] MANTIZ Servidor
[SW] BIZAGI PC
[SW] Manejador de BD PC
Hardware - Equipamiento [HW] Laptop Área de producto
Informático [HW] Laptop Área de producto
[HW] Router Área de producto
Redes de comunicaciones [COM] LAN Infraestructura
Instalaciones [L] Oficina Empresa
[L] Energía Eléctrica Empresa
[L] Infraestructura Empresa
Personal [P] Coordinador Producto Área de producto
[P] Analista Funcional Área de producto
[P] Experto de dominio Área de producto
3. IDENTIFICACION DE AMENAZAS
Se realiza la identificación de amenazas según lo expresado por el libro II del catálogo

de amenazas posibles de la metodología MAGERIT.
Amenazas
[N] De origen industrial Errores y fallos no [A] Ataques

Desastres [I] intencionados [E] intencionados
ACTIVO
naturales
[A.5] Suplantación de
la identidad del
usuario
[E.1] Errores de los
usuarios [A.6] Abuso de
privilegios de acceso
[E.2] Errores del
administrador [A.11] Acceso no
autorizado
[E.15] Alteración
accidental de la [A.15] Modificación
Conceptos
información deliberada de la
Generales información
[E.18] Destrucción de
información [A.18] Destrucción de
información
[E.19] Fugas de
información [A.19] Divulgación
de información
la identidad del
usuario
[E.1] Errores de los [A.6] Abuso de

usuarios privilegios de acceso
[E.2] Errores del [A.11] Acceso no

administrador autorizado
[E.15] Alteración [A.15] Modificación

Alcance funcional accidental de la deliberada de la
información información
[E.18] Destrucción de [A.18] Destrucción de

[E.19] Fugas de [A.19] Divulgación

información de información
la identidad del
usuario


Prototipos [E.15] Alteración [A.15] Modificación

accidental de la deliberada de la
(mockups)


la identidad del
usuario


Conjunto Mínimo [E.15] Alteración [A.15] Modificación

de datos básicos


la identidad del
usuario


Historias de [E.15] Alteración [A.15] Modificación

usuario


la identidad del
usuario


Criterios de [E.15] Alteración [A.15] Modificación

aceptación


la identidad del
usuario



Reglas de negocio accidental de la deliberada de la


la identidad del
usuario



Casos de uso accidental de la deliberada de la


la identidad del
usuario



Roadmap accidental de la deliberada de la


la identidad del
usuario



Plan de Liberación accidental de la deliberada de la


[E.1] Errores de los [A.5] Suplantación de

usuarios la identidad del
usuario
[E.2] Errores del
administrador [A.6] Abuso de
[E.8] Difusión de
software dañino [A.7] Uso no previsto
[E.9] Errores de [A.8] Difusión de

[re-]encaminamiento software dañino
[I.5] Avería de origen físico
Sistema Operativo o lógico [E.10] Errores de [A.9]
W10 secuencia [Re-]encaminamiento
de mensajes
[E.20] Vulnerabilidades
de los programas [A.10] Alteración de
(software) secuencia
[E.21] Errores de [A.11] Acceso no

mantenimiento / autorizado
actualización de
programas (software) [A.22] Manipulación
de programas
Ofimática [I.5] Avería de origen físico [E.1] Errores de los [A.5] Suplantación de
o lógico usuarios la identidad del
usuario
[E.2] Errores del
[E.8] Difusión de

[E.10] Errores de [A.9]

secuencia [Re-]encaminamiento
[E.20] Vulnerabilidades de mensajes
de los programas
(software) [A.10] Alteración de
secuencia
[E.21] Errores de
mantenimiento / [A.11] Acceso no
actualización de autorizado
de programas

usuario
[E.2] Errores del
[E.8] Difusión de

KIMAI o lógico [E.10] Errores de [A.9]
de mensajes

actualización de
de programas

usuario
[E.2] Errores del
[E.8] Difusión de

MANTIZ o lógico [E.10] Errores de [A.9]
de mensajes

actualización de
de programas
usuario
[E.2] Errores del
[E.8] Difusión de

BIZAGI o lógico [E.10] Errores de [A.9]
de mensajes

actualización de
de programas

usuario
[E.2] Errores del
[E.8] Difusión de

Manejador de BD o lógico [E.10] Errores de [A.9]
de mensajes

actualización de
de programas
Laptop 1 [N.1] Fuego [I.1] Fuego [E.2] Errores del [A.6] Abuso de
administrador privilegios de acceso
[N.2] Daños por agua [I.2] Daños por agua
[E.23] Errores de [A.7] Uso no previsto
[N.*] Desastres [I.*] Desastres industriales mantenimiento /
naturales actualización de [A.11] Acceso no
[I.3] Contaminación autorizado
mecánica equipos (hardware)
[E.24] Caída del sistema [A.24] Denegación de

[I.4] Contaminación servicio
electromagnética por agotamiento de
recursos [A.25] Robo
o lógico [A.26] Ataque
destructivo
[I.6] Corte del suministro
eléctrico
[I.7] Condiciones [E.25] Pérdida de

inadecuadas de equipos
temperatura o humedad
[I.11] Emanaciones
electromagnéticas
[I.1] Fuego [A.6] Abuso de

[I.2] Daños por agua
[A.7] Uso no previsto
[I.*] Desastres industriales
[I.3] Contaminación administrador autorizado
mecánica
[E.23] Errores de [A.24] Denegación de
[N.1] Fuego [I.4] Contaminación mantenimiento / servicio
electromagnética actualización de
[N.2] Daños por agua equipos (hardware) [A.25] Robo
Laptop 2 [N.*] Desastres o lógico [A.26] Ataque
[E.24] Caída del sistema
naturales por agotamiento de destructivo
recursos
eléctrico
[E.25] Pérdida de
[I.7] Condiciones
equipos
inadecuadas de
[I.11] Emanaciones
electromagnéticas
Router [N.1] Fuego [I.1] Fuego [E.2] Errores del [A.6] Abuso de
administrador privilegios de acceso
[N.2] Daños por agua [I.2] Daños por agua
[E.23] Errores de [A.7] Uso no previsto
[N.*] Desastres [I.*] Desastres industriales mantenimiento /
naturales actualización de [A.11] Acceso no
[I.3] Contaminación autorizado
mecánica equipos (hardware)
[E.24] Caída del sistema [A.24] Denegación de

[I.4] Contaminación servicio
electromagnética por agotamiento de
recursos [A.25] Robo
o lógico [E.25] Pérdida de [A.26] Ataque
equipos destructivo
eléctrico
[I.7] Condiciones
inadecuadas de
[I.11] Emanaciones
electromagnéticas
la identidad del
usuario
[A.6] Abuso de
[E.2] Errores del [A.7] Uso no previsto

administrador
[A.9]
[E.9] Errores de [Re-]encaminamiento
[re-]encaminamiento de mensajes
[I.8] Fallo de servicios de
comunicaciones [E.10] Errores de [A.10] Alteración de
LAN
secuencia secuencia
[E.24] Caída del sistema [A.11] Acceso no

por agotamiento de autorizado
recursos
[A.12] Análisis de
tráfico
[A.14] Interceptación
de información
(escucha)
[A.24] Denegación de
servicio
[A.11] Acceso no
autorizado
[I.1] Fuego accidental de la
[N.1] Fuego deliberada de la
[I.2] Daños por agua información información
[N.2] Daños por agua
[I.*] Desastres industriales [E.18] Destrucción de [A.18] Destrucción de
Oficina [N.*] Desastres información información
naturales [I.11] Emanaciones
electromagnéticas [E.19] Fugas de [A.19] Divulgación de
[A.26] Ataque
destructivo
[A.27] Ocupación
enemiga
[A.11] Acceso no
autorizado
Energía Eléctrica [N.*] Desastres información información
[A.26] Ataque
destructivo
[A.27] Ocupación
enemiga
[A.11] Acceso no
autorizado
Infraestructura [N.*] Desastres información información
[A.26] Ataque
destructivo
[A.27] Ocupación
enemiga
[E.7] Deficiencias en la
organización [A.28] Indisponibilidad
[E.19] Fugas de del personal
Coordinador información [A.29] Extorsión
Producto
[E.28] Indisponibilidad [A.30] Ingeniería
del personal social (picaresca)
Analista Funcional información [A.29] Extorsión

Experto de dominio información [A.29] Extorsión

3. MATRIZ DE ANALISIS Y GESTION DE RIESGOS
TIPO ACTIVO DESCRIPCION VULNERABILIDAD AMENAZAS RIESGOS

Inserción de campos mal digilenciados al
igual que subidas de archivos con destino
[E.1] Interfaz de usuario complejo equivocados, o cuál genera problemas en la
[E.1] Errores de los usuarios
en el uso base de datos y ocasiona perdida de tiempo
al equipo de desarrollo o perdida de
información
[E.2] Falta de conocimiento en equivocados, o cuál genera problemas en la
[E.2] Errores del administrador
interfaz base de datos y ocasiona perdida de tiempo
información
[E.15] Carencia en el ingreso y [E.15] Alteración accidental de la equivocados, o cuál genera problemas en la
modificaciones en la información información base de datos y ocasiona perdida de tiempo
información
Información errónea y accidental lo cual
[E.18] Falta de herramientas lógicas puede ocasionar confusión y malos
para la protección de hardware y [E.18] Destrucción de información entendidos en la empresa, perdida de
software de la empresa confianza en los documentos y el equipo de
desarrollo de la empresa
Si es por parte del equipo de desarrollo

ocasionaría problemas en la empresa ya que
toda información es valiosa y más si no hay
un respaldo de la información en una base
[E.19] Inseguridad en la de datos, lo cual puede llevar a demandas
Definen de manera [E.19] Fugas de información
Datos / [D] Conceptos información con fácil acceso por parte de usuario o malos entendidos en
general el alcance
Información Generales la empresa con el equipo de desarrollo O un
funcional y normativo
virus puede destruir información valiosa y
generar discordia en la empresa con el
equipo de informática
Perdida de información
[A.5] Falta de control en la [A.5] Suplantación de la identidad
Extorsión por parte del atacante
asignacion de usuarios del usuario
Destrucción de documentos
Alteraciones en el interfaz
[A.6] Falta de control de los [A.6] Abuso de privilegios de Daños a la interfaz
privilegios otorgados acceso Destrucción de documentos
Borrado de usuarios
[A.11] Facil acceso , usuario sin Alteraciones en la interfaz
[A.11] Acceso no autorizado Destrucción de documentos
contraseña Extorsión por parte del atacante
Robos de información
[A.15] Informacion inseguridad con [A.15] Modificación deliberada de
facil acceso la información
Caída de la página o base de datos
Virus con fácil acceso
Perdida de información valiosa
Problemas en la empresa entre usuarios y
[A.18] Falta de backups en la trabajadores
[A.18] Destrucción de información
informacion Reproceso en la información
Perdida de tiempo en la recolección de la
información perdida
Destrucción de la información
[A.19] Información insegura con Perdida de la información
[A.19] Divulgación de información Extorsión por parte del atacante
fácil acceso
Robo de información
Inserción de campos mal digilenciados al igual que
subidas de archivos con destino equivocados, o cuál
[E.1] Interfaz de usuario
[E.1] Errores de los usuarios genera problemas en la base de datos y ocasiona
complejo en el uso
perdida de tiempo al equipo de desarrollo o perdida
de información
[E.2] Falta de conocimiento en
[E.2] Errores del administrador genera problemas en la base de datos y ocasiona
interfaz
de información
[E.15] Carencia en el ingreso y [E.15] Alteración accidental de la
genera problemas en la base de datos y ocasiona
modificaciones en la información información
de información
[E.18] Falta de herramientas Información errónea y accidental lo cual puede

lógicas para la protección de ocasionar confusión y malos entendidos en la
[E.18] Destrucción de información
hardware y software de la empresa, perdida de confianza en los documentos y
empresa el equipo de desarrollo de la empresa
Si es por parte del equipo de desarrollo ocasionaría

problemas en la empresa ya que toda información
es valiosa y más si no hay un respaldo de la
información en una base de datos, lo cual puede
[E.19] Inseguridad en la
Detalle de la aplicación [E.19] Fugas de información llevar a demandas por parte de usuario o malos
información con fácil acceso
que tendrá el resultado entendidos en la empresa con el equipo de
del proyecto, en el cual es desarrollo O un virus puede destruir información
Datos / [D] Alcance
una información valiosa y generar discordia en la empresa con el
Información Funcional
supremamente equipo de informática
importante para la Perdida de información
empresa Extorsión por parte del atacante
Borrado de usuarios
Alteraciones en la interfaz
[A.11] Facil acceso , usuario sin
contraseña
[A.15] Informacion inseguridad [A.15] Modificación deliberada de
con facil acceso la información
[A.19] Divulgación de información
fácil acceso Extorsión por parte del atacante
[E.1] Interfaz de usuario complejo en
el uso
de información
[E.2] Falta de conocimiento en interfaz [E.2] Errores del administrador genera problemas en la base de datos y ocasiona
de información
de información
Información errónea y accidental lo cual puede

[E.18] Falta de herramientas lógicas
ocasionar confusión y malos entendidos en la
para la protección de hardware y [E.18] Destrucción de información
empresa, perdida de confianza en los documentos y
software de la empresa
el equipo de desarrollo de la empresa

[E.19] Inseguridad en la información
[E.19] Fugas de información llevar a demandas por parte de usuario o malos
con fácil acceso
Una herramienta de entendidos en la empresa con el equipo de
diseño y promoción con desarrollo O un virus puede destruir información
Datos / [D] Prototipos valiosa y generar discordia en la empresa con el
gran importancia que nos
Información (mockups) equipo de informática
permite exhibir o probar
un diseño Perdida de información
[A.5] Falta de control en la asignacion [A.5] Suplantación de la identidad del
de usuarios usuario
[A.6] Falta de control de los privilegios Daños a la interfaz
[A.6] Abuso de privilegios de acceso
otorgados Destrucción de documentos
Borrado de usuarios
contraseña
[A.15] Informacion inseguridad con [A.15] Modificación deliberada de la
facil acceso información
[A.19] Información insegura con fácil Perdida de la información
acceso Extorsión por parte del atacante
[E.1] Interfaz de usuario complejo
en el uso
de información
interfaz
de información
de información

Es un conjunto de entendidos en la empresa con el equipo de
información mínima y desarrollo O un virus puede destruir información
Datos / [D] Conjunto minimo valiosa y generar discordia en la empresa con el
básica sobre cada
Información de datos basico equipo de informática
episodio asistencial de
cada paciente. Perdida de información
Borrado de usuarios
contraseña
[A.15] Informacion inseguridad con [A.15] Modificación deliberada de
facil acceso la información
[A.18] Falta de backups en la [A.18] Destrucción de trabajadores
informacion información Reproceso en la información
fácil acceso Extorsión por parte del atacante
el uso
de información
de información
de información
Son descripciones, [E.19] Fugas de información llevar a demandas por parte de usuario o malos
con fácil acceso
siempre muy cortas y entendidos en la empresa con el equipo de
esquemáticas, que desarrollo O un virus puede destruir información
Datos / [D] Historias de resumen la necesidad valiosa y generar discordia en la empresa con el
Información Usuario concreta del usuario al equipo de informática
utilizar un producto, así Perdida de información
[A.5] Falta de control en la asignacion [A.5] Suplantación de la identidad
como la solución que la Extorsión por parte del atacante
de usuarios del usuario
satisface. Destrucción de documentos
Borrado de usuarios
contraseña
[E.1] Interfaz de usuario complejo en el
uso
de información
de información
de información

Definen los requisitos del con fácil acceso
entendidos en la empresa con el equipo de
Product Owner sobre
desarrollo O un virus puede destruir información
Datos / [D] Criterios de cómo debe comportarse
valiosa y generar discordia en la empresa con el
Información aceptación la aplicación para que una
equipo de informática
determinada acción se
pueda llevar a cabo. [A.5] Falta de control en la asignacion [A.5] Suplantación de la identidad
de usuarios del usuario
Borrado de usuarios
contraseña
[E.1] Interfaz de usuario complejo
en el uso
de información
interfaz
de información
de información
lógicas para la protección de [E.18] Destrucción de ocasionar confusión y malos entendidos en la
hardware y software de la información empresa, perdida de confianza en los documentos y
Describe las políticas, desarrollo O un virus puede destruir información
normas, operaciones, valiosa y generar discordia en la empresa con el
Datos / [D] Reglas de
definiciones y equipo de informática
Información negocio
restricciones presentes en Perdida de información
[A.5] Falta de control en la [A.5] Suplantación de la
una organización Extorsión por parte del atacante
asignacion de usuarios identidad del usuario
Borrado de usuarios
contraseña
[A.15] Informacion inseguridad [A.15] Modificación deliberada
con facil acceso de la información
[A.19] Información insegura con [A.19] Divulgación de Perdida de la información
fácil acceso información Extorsión por parte del atacante
el uso
de información
interfaz
de información
de información
con fácil acceso
Es información elaborada
Datos / entre colaboración por los
[D] Casos de uso equipo de informática
Información analistas de requisitos y
los clientes [A.5] Falta de control en la asignacion [A.5] Suplantación de la identidad del
de usuarios usuario
Borrado de usuarios
contraseña
[E.1] Interfaz de usuario
complejo en el uso
de información
interfaz
de información
de información
lógicas para la protección de [E.18] Destrucción de ocasionar confusión y malos entendidos en la
hardware y software de la información empresa, perdida de confianza en los documentos y
Es una planificación del
Datos / desarrollo de un software
[D] Roadmap equipo de informática
Información con los objetivos a corto y
largo plazo. [A.5] Falta de control en la [A.5] Suplantación de la
asignacion de usuarios identidad del usuario
Borrado de usuarios
contraseña
[A.15] Informacion inseguridad [A.15] Modificación deliberada
con facil acceso de la información
[A.19] Información insegura con [A.19] Divulgación de Perdida de la información
fácil acceso información Extorsión por parte del atacante
el uso
de información
interfaz
de información
de información
con fácil acceso
Documento importante desarrollo O un virus puede destruir información
Datos / [D] Plan de en donde se define todo el valiosa y generar discordia en la empresa con el
Información liberacion plan de liberación de la equipo de informática
gestión de requerimientos Perdida de información
[A.6] Falta de control de los Daños a la interfaz
privilegios otorgados Destrucción de documentos
Borrado de usuarios
contraseña
Perdida en equipos
[I.5] Sensibilidad del equipo a los [I.5] Avería de origen físico o Si es en el servidor perdida de
cambios de voltaje. lógico información, caída en la red, voz,
sistemas operativos, software.
Información en campos mal

[E.1] Interfaz de usuario digilenciados, lo cuál genera reprocesos
complicada y perdida de tiempo al cambiar dicha
información
Abuso de privilegios a usuarios

[E.2] Carencia de atención por Destrucción de la información
parte del administrador
Falta de actualizaciones en programas
[E.8] Falta de protección contra Daño en equipos de cómputo
[E.8] Difusión de software dañino
virus y código malicioso Extorsión
Daño en equipos
[E.9] Falta de actualizaciones en [E.9] Errores de [re-
Perdida de tiempo por equipos
programas software ]encaminamiento
averiados por los programas software
Perdida de tiempo de trabajadores

[E.10] Falta de actualización del Perdida de tiempo del equipo de
[E.10] Errores de secuencia
SO o la versión es antigua informatica
Datos mal ingresados
Retrasos en equipos de computo
[E.20] Mala configuración del [E.20] Vulnerabilidades de los Perdida de tiempo del equipo de
equipo programas (software) informática
[E.21] Errores de mantenimiento Averías en equipos de computo
[E.21] Manipulación de los Perdida de Información
/ actualización de programas
equipos
(software) Daños en equipos de computo
Instalación de malware
Ingreso de usuario no registrados

Este sistema es el que se [A.5] Contraseñas [A.5] Suplantación de la identidad ciberdelincuencia
Sistema Operativo
Software encuentra instalado en predeterminadas no modificadas del usuario
W10 Extorsión
ambos computadores
Daños en interfaz de usuario

[A.6] Procedimientos Daños en bases de datos
[A.6] Abuso de privilegios de
inadecuados y de concentración
acceso Robo de información
al brindar privilegios de usuario
Ciberdelincuencia
Daños en el programa
[A.7] Falta de control en el
[A.7] Uso no previsto Perdida de información
acceso de los programas
Daños en la base de datos
[A.8] Falta de protección contra
[A.8] Difusión de software dañino Instalación de malware
virus y código malicioso
Ciberdelincuencia
Extorsión
Daños en base de datos
Daño en equipos
[A.9] [Re-]encaminamiento de [A.9] Falta de actualizaciones en
Atrasos en el trabajo por equipos
mensajes programas software.s
averiados
[A.10] Falta de actualización del Perdida de tiempo del equipo de
[A.10] Alteración de secuencia
SO o la versión es antigua informática
[A.11] Contraseñas
[A.11] Acceso no autorizado Instalación de malware
predeterminadas no modificadas
Ciberdelincuencia
Extorsión
Daños en bases de datos
[A.22] Falta de una bitacora en el [A.22] Manipulación de Usuarios realizando diferentes tipos de
uso de los programas programas errores en el software
Perdida en equipos
[I.5] Sensibilidad del equipo a [I.5] Avería de origen físico o Si es en el servidor perdida de
los cambios de voltaje. lógico información, caída en la red, voz,
[E.1] Interfaz de usuario digilenciados, lo cuál genera
complicada reprocesos y perdida de tiempo al
cambiar dicha información
[E.2] Carencia de atención por Destrucción de la información
parte del administrador Falta de actualizaciones en
programas
[E.8] Falta de protección [E.8] Difusión de software Daño en equipos de cómputo
contra virus y código malicioso dañino Extorsión
Daño en equipos
[E.9] Falta de actualizaciones [E.9] Errores de [re- Perdida de tiempo por equipos
en programas software ]encaminamiento averiados por los programas
software
[E.10] Falta de actualización
[E.10] Errores de secuencia Perdida de tiempo del equipo de
del SO o la versión es antigua
informatica
Perdida de tiempo del equipo de
[E.20] Mala configuración del [E.20] Vulnerabilidades de los
informática
equipo programas (software)
[E.21] Errores de Averías en equipos de computo
[E.21] Manipulación de los
Técnicas y aplicaciones que mantenimiento / actualización Perdida de Información
equipos
se utilizan para facilitar, de programas (software) Daños en equipos de computo
optimizar, mejorar y Instalación de malware
automatizar las tareas Ingreso de usuario no registrados
Software Ofimatica [A.5] Contraseñas
referentes a la oficina, en el [A.5] Suplantación de la ciberdelincuencia
predeterminadas no
cual se tiene instalado en identidad del usuario Extorsión
modificadas
paquete de Microsoft Robo de información
Office Perdida de información
[A.6] Procedimientos Daños en interfaz de usuario
inadecuados y de [A.6] Abuso de privilegios de Daños en bases de datos
concentración al brindar acceso Robo de información
privilegios de usuario Ciberdelincuencia
[A.8] Falta de protección [A.8] Difusión de software
contra virus y código malicioso dañino
Ciberdelincuencia
Extorsión
Daño en equipos
[A.9] [Re-]encaminamiento de [A.9] Falta de actualizaciones
mensajes en programas software.s
averiados
[A.10] Falta de actualización
[A.10] Alteración de secuencia Perdida de tiempo del equipo de
del SO o la versión es antigua
informática
[A.11] Contraseñas Perdida de información
predeterminadas no [A.11] Acceso no autorizado Instalación de malware
modificadas Ciberdelincuencia
Extorsión
[A.22] Falta de una bitacora en [A.22] Manipulación de Usuarios realizando diferentes tipos
el uso de los programas programas de errores en el software
Perdida en equipos
[E.1] Interfaz de usuario digilenciados, lo cuál genera reprocesos y
complicada perdida de tiempo al cambiar dicha
información
[E.2] Carencia de atención por [E.2] Errores del
parte del administrador administrador
Daño en equipos
[E.9] Falta de actualizaciones [E.9] Errores de [re-
Perdida de tiempo por equipos averiados
en programas software ]encaminamiento
por los programas software
[E.10] Falta de actualización Perdida de tiempo del equipo de
del SO o la versión es antigua informatica
[E.20] Mala configuración del [E.20] Vulnerabilidades de Perdida de tiempo del equipo de
equipo los programas (software) informática
mantenimiento / Perdida de Información
equipos
actualización de programas Daños en equipos de computo
Aplicación que permite el [A.5] Contraseñas
[A.5] Suplantación de la ciberdelincuencia
funcionamiento de las predeterminadas no
Software KIMAI identidad del usuario Extorsión
actividades de los modificadas
funcionarios
Ciberdelincuencia
Extorsión
Daño en equipos
averiados
[A.10] Falta de actualización [A.10] Alteración de Perdida de tiempo del equipo de
del SO o la versión es antigua secuencia informática
Extorsión
[A.22] Falta de una bitacora en [A.22] Manipulación de Usuarios realizando diferentes tipos de
el uso de los programas programas errores en el software
Perdida en equipos

[E.2] Carencia de atención por [E.2] Errores del Destrucción de la información
Daño en equipos
[E.20] Mala configuración del [E.20] Vulnerabilidades de los
informática
equipo programas (software)
mantenimiento / actualización Perdida de Información
equipos
de programas (software) Daños en equipos de computo
Aplicación que permite el
Software MANTIZ funcionamiento de las actividades de Ingreso de usuario no registrados
los funcionarios [A.5] Contraseñas
[A.5] Suplantación de la
predeterminadas no ciberdelincuencia
identidad del usuario
modificadas Extorsión
Ciberdelincuencia
Extorsión
Daño en equipos
averiados
[A.10] Falta de actualización Perdida de tiempo del equipo de
del SO o la versión es antigua informática
Extorsión
[A.22] Falta de una bitacora en Usuarios realizando diferentes tipos

[A.22] Manipulación de
el uso de los programas de errores en el software
programas
Perdida en equipos
[E.2] Carencia de atención por [E.2] Errores del Destrucción de la información
Daño en equipos
[E.20] Mala configuración del [E.20] Vulnerabilidades de los Perdida de tiempo del equipo de
equipo programas (software) informática
mantenimiento / actualización Perdida de Información
equipos
de programas (software) Daños en equipos de computo
Aplicación que permite el Ingreso de usuario no registrados
funcionamiento de las [A.5] Contraseñas
Software BIZAGI [A.5] Suplantación de la ciberdelincuencia
actividades de los predeterminadas no
identidad del usuario Extorsión
funcionarios modificadas
Ciberdelincuencia
Extorsión
Daño en equipos
averiados
[A.10] Falta de actualización Perdida de tiempo del equipo de
del SO o la versión es antigua informática
Extorsión
[A.22] Falta de una bitacora en [A.22] Manipulación de Usuarios realizando diferentes tipos
el uso de los programas programas de errores en el software
Perdida en equipos
[I.5] Sensibilidad del equipo [I.5] Avería de origen físico Si es en el servidor perdida de
a los cambios de voltaje. o lógico información, caída en la red, voz,

[E.1] Interfaz de usuario [E.1] Errores de los digilenciados, lo cuál genera
complicada usuarios reprocesos y perdida de tiempo al
[E.2] Carencia de atención [E.2] Errores del Destrucción de la información
por parte del administrador administrador
Falta de actualizaciones en
programas
[E.8] Falta de protección
[E.8] Difusión de software Daño en equipos de cómputo
contra virus y código
dañino Extorsión
malicioso
Daño en equipos
[E.9] Falta de actualizaciones [E.9] Errores de [re- Perdida de tiempo por equipos
en programas software ]encaminamiento averiados por los programas
software
[E.20] Mala configuración [E.20] Vulnerabilidades de
informática
del equipo los programas (software)
mantenimiento / Perdida de Información
equipos
actualización de programas Daños en equipos de computo
Aplicación que permite el Instalación de malware
funcionamiento de las
Software Manejador de BD Ingreso de usuario no registrados
actividades de los [A.5] Contraseñas
funcionarios [A.5] Suplantación de la
predeterminadas no ciberdelincuencia
identidad del usuario
modificadas Extorsión
inadecuados y de [A.6] Abuso de privilegios Daños en bases de datos
concentración al brindar de acceso Robo de información
[A.8] Falta de protección Perdida de información
[A.8] Difusión de software
contra virus y código Instalación de malware
dañino
malicioso Ciberdelincuencia
Extorsión
[A.9] Falta de Daño en equipos
[A.9] [Re-]encaminamiento
actualizaciones en Atrasos en el trabajo por equipos
de mensajes
programas software.s averiados
[A.10] Falta de actualización [A.10] Alteración de Perdida de tiempo del equipo de
del SO o la versión es antigua secuencia informática
[A.11] Acceso no
predeterminadas no Instalación de malware
autorizado
Extorsión
[A.22] Falta de una bitacora Usuarios realizando diferentes tipos

en el uso de los programas de errores en el software
programas
Incendió en las instalaciones de la empresa

[N.1] Falta de control en
[N.1] Fuego provocando perdidas humana, físicas entre
sumistro de energia
otras
Inundaciones en las instalaciones de la

[N.2] Protección física no
[N.2] Daños por agua empresa provocando perdidas humana,
apropiada
físicas entre otras
[N*] Protección física no Desastres físicos y humanos en las

[N.*] Desastres naturales
apropiada instalaciones de la empresa
Incendió en las instalaciones de la empresa

[I.1] Falta de control en
[I.1] Fuego provocando perdidas humana, físicas entre
sumistro de energia
otras
[I.2] Mala ubicación de la
[I.2] Daños por agua perdida de equipo de cómputo
lapto
Perdida de equipo de computo al igual que
[I.*] Mala ubicación de la [I.*] Desastres otras herramientas físicas para el apoyo del
lapto industriales trabajo. Tales como impresoras, cableado,
cámaras
Perdida de equipos de cómputos
[I.3] Falta de mantenimiento [I.3] Contaminación
Daños en la salud o bienestar humano
de en los laptops mecánica
irreversibles
Daños en aparatos electrónicos por cargas
[I.4] Falta de control en [I.4] Contaminación electromagnéticas
sumistro de energia electromagnética Daños en trabajadores por ondas
electromagnéticas
[i.5] Falta de manteimiento [I.5] Avería de origen Retraso de trabajo por parte de dispositivos
general físico o lógico físicos averiados
[I.6] Falta de control en [I.6] Corte del suministro Perdida de dispositivos electrónicos por
sumistro de energia eléctrico sobre voltajes de energía
[I.7] Susceptibilidad a la [I.7] Condiciones Enfermedades en trabajadores de la empresa
humedad, el polvo y la inadecuadas de
Vida útil de dispositivos físicos para el trabajo
suciedad. temperatura o humedad
Este computador se acortados
encuentra ubicado en el Daños en aparatos electrónicos por cargas
Hardware Laptop 1 área de Producto en el [I.11] Sensibilidad a la [I.11] Emanaciones electromagnéticas
cual es utilizado por el radiación electromagnética electromagnéticas Daños en trabajadores por ondas
coordinador. electromagnéticas
Abuso de privilegios de usuario
[E.2] Falta de bitacora en [E.2] Errores del
uso del hardware administrador
Errores de secuencia
[E.23] Falta de pruebas de [E.23] Errores de Perdida de equipos
hardware mantenimiento / Retraso de trabajo en la empresa
[E.24] Caída del sistema Retraso de trabajo en la empresa
[E.24] Sin actualizacion en el
por agotamiento de Perdida de información trabajada en el
Sistema o aplicaciones
recursos momento de la caída del Sistema
Daño de equipo
[E.25] Lapto a simple vista [E.25] Pérdida de equipos
Extorsión
Ciberdelincuencia
Daños en la interfaz de usuario
[A.6] Falta de control de [A.6] Abuso de privilegios Daños en bases de datos
privilegios de acceso Robo de información
Ciberdelincuencia
Daño de equipo
[A..7] Control de uso de Robo de información
bitacora Extorsión
Ciberdelincuencia
Daño de equipo
daños en la interfaz de usuario
[A.11] Lapto sin contraseña, [A.11] Acceso no Daños en bases de datos
acceso libre autorizado Robo de información
Extorsión
Ciberdelincuencia
Retraso de trabajo en la empresa
[A.24] Mal funcionando del [A.24] Denegación de
Perdida de información trabajada en el
sistema servicio
momento de la caída del sistema
[A.25] Lapto a simple vista [A.25] Robo Extorsión
Ciberdelincuencia
[A.26]Ausencia de esquemas [A.26] Ataque Perdida del equipo
de reemplazo destructivo Perdida de información
Incendió en las instalaciones de la
[N.1] Fuego empresa provocando perdidas humana,
sumistro de energia
Inundaciones en las instalaciones de la

[N.2] Daños por agua empresa provocando perdidas humana,
apropiada


[I.1] Fuego empresa provocando perdidas humana,
sumistro de energia
[I.2] Daños por agua perdida de equipo de cómputo
lapto
Perdida de equipo de computo al igual
[I.*] Mala ubicación de la [I.*] Desastres que otras herramientas físicas para el
lapto industriales apoyo del trabajo. Tales como
impresoras, cableado, cámaras
[I.3] Falta de mantenimiento [I.3] Contaminación
Daños en la salud o bienestar humano
de en los laptops mecánica
irreversibles
Daños en aparatos electrónicos por
[I.4] Falta de control en [I.4] Contaminación cargas electromagnéticas
electromagnéticas
[i.5] Falta de manteimiento [I.5] Avería de origen Retraso de trabajo por parte de
general físico o lógico dispositivos físicos averiados
[I.6] Falta de control en [I.6] Corte del suministro Perdida de dispositivos electrónicos por
sumistro de energia eléctrico sobre voltajes de energía
Enfermedades en trabajadores de la
[I.7] Susceptibilidad a la [I.7] Condiciones
empresa
humedad, el polvo y la inadecuadas de
Vida útil de dispositivos físicos para el
suciedad. temperatura o humedad
Este computador se trabajo acortados
encuentra ubicado en el Daños en aparatos electrónicos por
Hardware Laptop 2 área de Producto en el [I.11] Sensibilidad a la [I.11] Emanaciones cargas electromagnéticas
cual es utilizado por el radiación electromagnética electromagnéticas Daños en trabajadores por ondas
analista funcional electromagnéticas
Abuso de privilegios de usuario
[E.2] Falta de bitacora en [E.2] Errores del
uso del hardware administrador
[E.23] Falta de pruebas de [E.23] Errores de Perdida de equipos
hardware mantenimiento / Retraso de trabajo en la empresa
[E.24] Caída del sistema Retraso de trabajo en la empresa
[E.24] Sin actualizacion en el
por agotamiento de Perdida de información trabajada en el
recursos momento de la caída del Sistema
Daño de equipo
Extorsión
Ciberdelincuencia
[A.6] Falta de control de [A.6] Abuso de privilegios Daños en bases de datos
privilegios de acceso Robo de información
Ciberdelincuencia
Daño de equipo
[A..7] Control de uso de Robo de información
bitacora Extorsión
Ciberdelincuencia
Daño de equipo
daños en la interfaz de usuario
[A.11] Lapto sin contraseña, [A.11] Acceso no Daños en bases de datos
acceso libre autorizado Robo de información
Extorsión
Ciberdelincuencia
[A.24] Mal funcionando del [A.24] Denegación de
Perdida de información trabajada en el
sistema servicio
momento de la caída del sistema
Ciberdelincuencia
[A.26]Ausencia de esquemas [A.26] Ataque Perdida del equipo
de reemplazo destructivo Perdida de información
[N.1] Fuego empresa provocando perdidas
sumistro de energia
humana, físicas entre otras
Inundaciones en las instalaciones
[N.2] Daños por agua de la empresa provocando
apropiada
perdidas humana, físicas entre
[I.1] Fuego empresa provocando perdidas
sumistro de energia
humana, físicas entre otras
[I.2] Mala ubicación de la lapto [I.2] Daños por agua perdida de equipo de cómputo
Perdida de equipo de computo al
igual que otras herramientas físicas
[I.*] Mala ubicación de la lapto [I.*] Desastres industriales
para el apoyo del trabajo. Tales
como impresoras, cableado,
[I.3] Falta de mantenimiento de
[I.3] Contaminación mecánica Daños en la salud o bienestar
en los laptops
humano irreversibles
Daños en aparatos electrónicos por
[I.4] Falta de control en [I.4] Contaminación cargas electromagnéticas
electromagnéticas
[i.5] Falta de manteimiento [I.5] Avería de origen físico o Retraso de trabajo por parte de
general lógico dispositivos físicos averiados
[I.6] Falta de control en Perdida de dispositivos electrónicos
[I.6] Corte del suministro eléctrico
sumistro de energia por sobre voltajes de energía
Enfermedades en trabajadores de
[I.7] Susceptibilidad a la
[I.7] Condiciones inadecuadas de la empresa
humedad, el polvo y la
temperatura o humedad Vida útil de dispositivos físicos para
suciedad.
el trabajo acortados
Dispositivo de Daños en aparatos electrónicos por
hardware que [I.11] Sensibilidad a la radiación [I.11] Emanaciones cargas electromagnéticas
permite la electromagnética electromagnéticas Daños en trabajadores por ondas
Hardware Router
interconexión de electromagnéticas
los computadores Abuso de privilegios de usuario
[E.2] Falta de bitacora en uso
en red. [E.2] Errores del administrador Destrucción de la información
del hardware
[E.23] Falta de pruebas de [E.23] Errores de mantenimiento / Perdida de equipos
hardware actualización de equipos Retraso de trabajo en la empresa
[E.24] Sin actualizacion en el [E.24] Caída del sistema por
Perdida de información trabajada
Sistema o aplicaciones agotamiento de recursos
en el momento de la caída del
Daño de equipo
Extorsión
Ciberdelincuencia
[A.6] Falta de control de [A.6] Abuso de privilegios de Daños en bases de datos
privilegios acceso Robo de información
Ciberdelincuencia
Daño de equipo
[A..7] Control de uso de bitacora [A.7] Uso no previsto
Extorsión
Ciberdelincuencia
Daño de equipo
[A.11] Lapto sin contraseña, Daños en bases de datos
[A.11] Acceso no autorizado
acceso libre Robo de información
Extorsión
Ciberdelincuencia
[A.24] Mal funcionando del
[A.24] Denegación de servicio Perdida de información trabajada
sistema
en el momento de la caída del
Ciberdelincuencia
[A.26]Ausencia de esquemas de Perdida del equipo
[A.26] Ataque destructivo
reemplazo Perdida de información
4. AMENZAS, VULNERABILIDAD, RIESGOS Y SALVAGUARDA
A
C
T
AMENAZA VULNERABILIDAD RIESGO SALVAGUARDA

I
V
O
Datos/Informacion
D Protección de la
Inserción de campos mal
digilenciados al igual que subidas Información
[E.1] Interfaz de usuario de archivos con destino
[E.1] Errores de los complejo en el uso D.I Aseguramiento de la
equivocados, o cuál genera
usuarios problemas en la base de datos y integridad
ocasiona perdida de tiempo al
equipo de desarrollo o perdida de D.C Cifrado de la
Inserción de campos mal D Protección de la

digilenciados al igual que subidas Información
[E.2] Falta de conocimiento en de archivos con destino
[E.2] Errores del
equivocados, o cuál genera D.I Aseguramiento de la
administrador interfaz
problemas en la base de datos y integridad
ocasiona perdida de tiempo al
equipo de desarrollo o perdida de D.C Cifrado de la
información
información
[E.15] Alteración [E.15] Carencia en el ingreso y Información errónea y accidental D Protección de la

accidental de la modificaciones en la lo cual puede ocasionar confusión Información
y malos entendidos en la
empresa, perdida de confianza en D.A Copias de seguridad
los documentos y el equipo de de los datos (backup)
desarrollo de la empresa
D.I Aseguramiento de la
integridad
D.C Cifrado de la
información
Si es por parte del equipo de
desarrollo ocasionaría problemas D Protección de la
en la empresa ya que toda Información
[E.18] Falta de herramientas información es valiosa y más si
no hay un respaldo de la D.A Copias de seguridad
[E.18] Destrucción de lógicas para la protección de información en una base de de los datos (backup)
información hardware y software de la datos, lo cual puede llevar a
empresa demandas por parte de usuario o D.I Aseguramiento de la
malos entendidos en la empresa integridad
con el equipo de desarrollo O un
virus puede destruir información D.C Cifrado de la
valiosa y generar discordia en la
información
empresa con el equipo de
informática
D Protección de la
Extorsión por fugas de Información
información, robos, amenazas
entre otras, cómo tambien D.A Copias de seguridad
problemas en la empresa con el de los datos (backup)
[E.19] Fugas de [E.19] Inseguridad en la
equipo de informática por
información información con fácil acceso descuido o negligencia o D.I Aseguramiento de la
actualizaciones en equipos o integridad
programas al igual que falta de
herramientas lógicas para la D.C Cifrado de la
protección hardware y software
información
D Protección de la
Información
D.A Copias de seguridad

de los datos (backup)
[A.5] Suplantación de la [A.5] Falta de control en la
identidad del usuario asignacion de usuarios Extorsión por parte del atacante
Destrucción de documentos integridad
D.C Cifrado de la
informaciónv
D Protección de la
Información
[A.6] Abuso de privilegios [A.6] Falta de control de los
Daños a la interfaz de los datos (backup)
de acceso privilegios otorgados
Destrucción de documentos D.I Aseguramiento de la
integridad
Borrado de usuarios
D.C Cifrado de la
información
[A.11] Acceso no [A.11] Facil acceso , usuario Perdida de información D Protección de la

autorizado sin contraseña Información
de los datos (backup)
Extorsión integridad
Robos de información D.C Cifrado de la

información
D Protección de la
Alteraciones en el interfaz Información
[A.15] Modificación Extorsión D.A Copias de seguridad

[A.15] Informacion
deliberada de la de los datos (backup)
inseguridad con facil acceso Robos de información
información
Caída de la página o base de
datos integridad
Virus con fácil acceso D.C Cifrado de la

información
valiosa
Problemas en la empresa
entre usuarios y
trabajadores de los datos (backup)
[A.18] Destrucción de [A.18] Falta de backups en la
Reproceso en la
información informacion
información D.C Cifrado de la
información
Perdida de tiempo en la
recolección de la
Destrucción de la D Protección de la
información Información
[A.19] Divulgación de [A.19] Información insegura Perdida de la información D.I Aseguramiento de la
Extorsión integridad
Software
[I.5] Avería de origen físico [I.5] Sensibilidad del equipo a Perdida en equipos H.tools Herramientas de
o lógico los cambios de voltaje. seguridad
Si es en el servidor
perdida de información, SW Protección de las
caída en la red, voz, Aplicaciones
sistemas operativos, Informáticas
software.
AUX.power Suministro
eléctrico
AUX.wires Protección del

cableado
Información en campos SW Protección de las
mal digilenciados, lo cuál Aplicaciones
[E.1] Errores de los [E.1] Interfaz de usuario genera reprocesos y Informáticas
usuarios complicada perdida de tiempo al
SW.A Copias de
cambiar dicha
seguridad (backup)
información
SW.SC Se aplican perfiles
de seguridad
Abuso de privilegios a usuarios. SW Protección de las

Aplicaciones
[E.2] Errores del [E.2] Carencia de atención por Informáticas
administrador parte del administrador Falta de actualizaciones en SW.A Copias de
programas
seguridad (backup)

de seguridad
H.tools.AV Herramienta
contra código dañino
SW Protección de las
Perdida de información Aplicaciones
[E.8] Falta de protección Informáticas
[E.8] Difusión de software Daño en equipos de
contra virus y código SW.A Copias de
dañino cómputo
malicioso seguridad (backup)
Extorsión
Robo de información de seguridad
Daño en equipos H.tools.AV Herramienta
Perdida de tiempo por
equipos averiados por los SW Protección de las
programas software Aplicaciones
Informáticas
[E.9] Errores de
[re-]encaminamiento E.9 falta de actualizaciones en SW.A Copias de
programas software seguridad (backup)

de seguridad
Perdida de tiempo de SW Protección de las
trabajadores Aplicaciones
[E.10] Errores de [E.10] Falta de actualización Informáticas
Perdida de tiempo del
secuencia del SO o la versión es antigua
equipo de informatica SW.A Copias de
Datos mal ingresados seguridad (backup)

de seguridad
Retrasos en equipos de H.tools.AV Herramienta

computo contra código dañino
Perdida de tiempo del SW Protección de las

equipo de informática Aplicaciones
[E.20] Vulnerabilidades de [E.20] Mala configuración del Informáticas
los programas (software) equipo Perdida de tiempo de
trabajadores SW.A Copias de
seguridad (backup)

de seguridad
[E.21] Errores de [E.21] Manipulación de los Averías en equipos de H.tools.AV Herramienta

mantenimiento / equipos computo contra código dañino
actualización de Perdida de Información
programas (software) daños en equipos de
Aplicaciones
computo
Informáticas
SW.A Copias de
seguridad (backup)

de seguridad
Ingreso de usuario no H.tools.AV Herramienta

registrados contra código dañino
Aplicaciones
instalación de malware
[A.5] Contraseñas Informáticas
[A.5] Suplantación de la ciberdelincuencia
predeterminadas no
identidad del usuario Extorsión SW.A Copias de
modificadas
seguridad (backup)

de seguridad
Daños en interfaz de H.tools.AV Herramienta

usuario contra código dañino
Aplicaciones
[A.6] Procedimientos Ciberdelincuencia
Informáticas
inadecuados y de [A.6] Abuso de privilegios de
concentración al brindar acceso SW.A Copias de
privilegios de usuario seguridad (backup)

de seguridad
Daños en el programa H.tools.AV Herramienta

Perdida de información contra código dañino
Aplicaciones
Informáticas
acceso de los programas SW.A Copias de
seguridad (backup)

de seguridad
[A.8] Falta de protección [A.8] Difusión de software Ingreso de usuario no H.tools.AV Herramienta
contra virus y código dañino registrados contra código dañino
Robo de información SW Protección de las
Perdida de información Aplicaciones
instalación de malware Informáticas
ciberdelincuencia
SW.A Copias de
malicioso Extorsión
seguridad (backup)
de seguridad
[A.9] Aplicaciones
[Re-]encaminamiento de Daño en equipos Informáticas
[A.9] Falta de actualizaciones
mensajes atrasos en el trabajo por
en programas software.s SW.A Copias de
equipos averiados
seguridad (backup)

de seguridad
Perdida de tiempo de H.tools.AV Herramienta

trabajadores contra código dañino
Perdida de tiempo del SW Protección de las

equipo de informática Aplicaciones
[A.10] Falta de Informáticas
actualización del SO o la [A.10] Alteración de secuencia
SW.A Copias de
versión es antigua
seguridad (backup)

de seguridad
[A.11] Contraseñas [A.11] Acceso no autorizado Ingreso de usuario no H.tools.AV Herramienta

predeterminadas no registrados contra código dañino
modificadas Robo de información
Aplicaciones
instalación de malware
Informáticas
ciberdelincuencia
Extorsión SW.A Copias de
Daños en bases de datos seguridad (backup)

de seguridad
Usuarios realizando H.tools.AV Herramienta
diferentes tipos de errores contra código dañino
en el software
Aplicaciones
[A.22] Falta de una Informáticas
bitacora en el uso de los
programas SW.A Copias de
programas
seguridad (backup)

de seguridad
HARDWARE
Incendió en las HW Protección de los

instalaciones de la Equipos Informáticos
empresa provocando
HW.SC Se aplican
perdidas humana, físicas
perfiles de seguridad
[N.1] Falta de control en entre otras
sumistro de energia HW.A Aseguramiento de
[N.1] Fuego
la disponibilidad
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
Inundaciones en las HW Protección de los

empresa provocando
HW.SC Se aplican
[N.2] Protección física no entre otras
apropiada HW.A Aseguramiento de
la disponibilidad
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
[N.*] Desastres naturales [N*] Protección física no Desastres físicos y HW Protección de los
apropiada humanos en las Equipos Informáticos
instalaciones de la
HW.SC Se aplican
empresa
HW.A Aseguramiento de
la disponibilidad
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
Incendió en las HW Protección de los

empresa provocando
HW.SC Se aplican
[I.1] Falta de control en entre otras
[I.1] Fuego HW.A Aseguramiento de
sumistro de energia
la disponibilidad
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
perdida de equipo de HW Protección de los

cómputo Equipos Informáticos
HW.SC Se aplican
[I.2] Daños por agua HW.A Aseguramiento de
lapto
la disponibilidad
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
Perdida de equipo de HW Protección de los

computo al igual que Equipos Informáticos
otras herramientas físicas
HW.SC Se aplican
para el apoyo del trabajo.
[I.*] Mala ubicación de la Tales como impresoras,
[I.*] Desastres industriales cableado, cámaras HW.A Aseguramiento de
lapto
la disponibilidad
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
[I.3] Contaminación [I.3] Falta de mantenimiento HW Protección de los

Perdida de equipos de
mecánica de en los laptops Equipos Informáticos
cómputos
HW.SC Se aplican
Daños en la salud o
la disponibilidad
bienestar humano
irreversibles HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
HW Protección de los
Equipos Informáticos
HW.SC Se aplican
Daños en aparatos perfiles de seguridad
[I.4] Contaminación [I.4] Falta de control en electrónicos por cargas
electromagnética sumistro de energia electromagnéticas HW.A Aseguramiento de
la disponibilidad
Daños en trabajadores por
ondas electromagnéticas HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
HW.SC Se aplican
[I.5] Avería de origen físico [i.5] Falta de manteimiento Retraso de trabajo por
o lógico general HW.A Aseguramiento de
parte de dispositivos
la disponibilidad
físicos averiados
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
[I.6] Corte del suministro [I.6] Falta de control en Perdida de dispositivos HW Protección de los
eléctrico sumistro de energia electrónicos por sobre Equipos Informáticos
voltajes de energía
HW.SC Se aplican
la disponibilidad
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
Enfermedades en HW Protección de los
trabajadores de la Equipos Informáticos
empresa
HW.SC Se aplican
[I.7] Condiciones [I.7] Susceptibilidad a la Vida útil de dispositivos perfiles de seguridad
inadecuadas de humedad, el polvo y la físicos para el trabajo
temperatura o humedad suciedad. acortados
la disponibilidad
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
Daños en aparatos HW Protección de los

electrónicos por cargas Equipos Informáticos
electromagnéticas
HW.SC Se aplican
Daños en trabajadores por perfiles de seguridad
[I.11] Emanaciones [I.11] Sensibilidad a la ondas electromagnéticas
electromagnéticas radiación electromagnética HW.A Aseguramiento de
la disponibilidad
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
Abuso de privilegios de HW Protección de los

usuario Equipos Informáticos
Destrucción de la HW.SC Se aplican

información perfiles de seguridad
[E.2] Errores del [E.2] Falta de bitacora en uso
administrador del hardware Errores de secuencia HW.A Aseguramiento de
la disponibilidad
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
[E.23] Errores de [E.23] Falta de pruebas de Perdida de equipos HW Protección de los

mantenimiento / hardware Equipos Informáticos
Retraso de trabajo en la
actualización de equipos
empresa HW.SC Se aplican
(hardware)
la disponibilidad
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
Retraso de trabajo en la HW Protección de los

empresa Equipos Informáticos
Perdida de información HW.SC Se aplican

[E.24] Caída del sistema trabajada en el momento perfiles de seguridad
[E.24] Sin actualizacion en el de la caída del Sistema
por agotamiento de HW.A Aseguramiento de
recursos la disponibilidad
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
Daño de equipo HW Protección de los

HW.SC Se aplican
Extorsión
[E.25] Pérdida de equipos [E.25] Lapto a simple vista Ciberdelincuencia
la disponibilidad
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
Daños en la interfaz de HW Protección de los

usuario Equipos Informáticos
Daños en bases de datos HW.SC Se aplican

[A.6] Abuso de privilegios [A.6] Falta de control de Robo de información
de acceso privilegios HW.A Aseguramiento de
Ciberdelincuencia
la disponibilidad
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
[A.7] Uso no previsto [A..7] Control de uso de Daño de equipo HW Protección de los
bitacora Equipos Informáticos
HW.SC Se aplican
Extorsión
Ciberdelincuencia HW.A Aseguramiento de
la disponibilidad
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
Daño de equipo HW Protección de los

daños en la interfaz de
usuario HW.SC Se aplican
[A.11] Acceso no [A.11] Lapto sin contraseña, Daños en bases de datos
autorizado acceso libre HW.A Aseguramiento de
la disponibilidad
Extorsión
HW.op Operación
Ciberdelincuencia
HW.CM Cambios
(actualizaciones y
mantenimiento)
Retraso de trabajo en la HW Protección de los

empresa Equipos Informáticos
HW.SC Se aplican
[A.24] Denegación de Perdida de información
servicio [A.24] Mal funcionando del trabajada en el momento HW.A Aseguramiento de
sistema de la caída del sistema la disponibilidad
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
HW.SC Se aplican
Extorsión
[A.25] Robo [A.25] Lapto a simple vista Ciberdelincuencia
la disponibilidad
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
[A.26] Ataque destructivo [A.26]Ausencia de esquemas Perdida del equipo HW Protección de los
HW.SC Se aplican
de reemplazo
Perdida de información la disponibilidad
periódico.
HW.op Operación
HW.CM Cambios
(actualizaciones y
mantenimiento)
COM Protección de las

Comunicaciones
Retrazo en el ambiente COM.aut Autenticación

[I.8] Fallo de servicios de [I.8] Conexión deficiente de laboral por uso del del canal
comunicaciones los cables. internet
COM.internet Internet:
uso de acceso a
COM.wifi Seguridad
Wireless (WiFi)

Redes/Comunicaciones
Comunicaciones
[E.2] Carencia de Retrazo en el ambiente COM.aut Autenticación

[E.2] Errores del conocimientos y de ejecucion laboral por uso del del canal
administrador al momento de ejecutar un internet
proceso Perdida de informacion uso de acceso a
COM.wifi Seguridad
Wireless (WiFi)

Comunicaciones
COM.aut Autenticación
[E.9] Errores de [E.9] Canales y cableado en Daño en la red lan del canal
[re-]encaminamiento mal estado Perdida de informacion COM.internet Internet:
uso de acceso a
COM.wifi Seguridad
Wireless (WiFi)
Daño en la red lan COM Protección de las
[E.10] Errores de [E.10] Líneas de comunicación
Perdida de informacion Comunicaciones
secuencia sin protección
del canal
uso de acceso a
COM.wifi Seguridad
Wireless (WiFi)
Comunicaciones
Perdida de informacion
[E.24] Caída del sistema [E.24] Falta de dispositivos del canal
por agotamiento de para mejorar los recursos de
recursos red y comunicación COM.internet Internet:
uso de acceso a
COM.wifi Seguridad
Wireless (WiFi)
Comunicaciones
[A.5] Falta de dispositovs de del canal
[A.5] Suplantación de la
seguridad y control en camara
identidad del usuario COM.internet Internet:
de seguridad
uso de acceso a
COM.wifi Seguridad
Wireless (WiFi)
Comunicaciones
[A.6] Abuso de privilegios [A.6] Falta de control en del canal
de acceso acceso de lal red lan COM.internet Internet:
uso de acceso a
COM.wifi Seguridad
Wireless (WiFi)
[A.7] Uso no previsto [A.7] Falta de control en uso Daño en la red lan COM Protección de las
de lal red lan Comunicaciones
del canal
uso de acceso a
COM.wifi Seguridad
Wireless (WiFi)
Comunicaciones
[A.9] [A.9] Ausencia de pruebas de del canal
[Re-]encaminamiento de envío o recepción de
mensajes mensajes COM.internet Internet:
uso de acceso a
COM.wifi Seguridad
Wireless (WiFi)
Comunicaciones
[A.10] Alteración de [A.10] Conexión deficiente de del canal
secuencia los cables. COM.internet Internet:
uso de acceso a
COM.wifi Seguridad
Wireless (WiFi)
Comunicaciones
[A.11] Acceso no [A.11] Conexiones de red del canal
autorizado pública sin protección COM.internet Internet:
uso de acceso a
COM.wifi Seguridad
Wireless (WiFi)
Comunicaciones
[A.12] Tráfico sensible sin del canal
[A.12] Análisis de tráfico
protección COM.internet Internet:
uso de acceso a
COM.wifi Seguridad
Wireless (WiFi)
[A.14] Interceptación de [A.14] Líneas de comunicación Daño en la red lan COM Protección de las
información (escucha) sin protección Comunicaciones
Perdida de informacion COM.aut Autenticación
del canal
uso de acceso a
COM.wifi Seguridad
Wireless (WiFi)
Comunicaciones
[A.24] Denegación de [A.24] Conexiones de red del canal
servicio pública sin protección COM.internet Internet:
uso de acceso a
COM.wifi Seguridad
Wireless (WiFi)
Personal
Ausencia del personal del PS Gestión del Personal

proceso PS.AT Formación y
[E.7] Deficiencias en la [E.7] Procedimientos
concienciación
organización inadecuados de contratación
PS.A Aseguramiento de
la disponibilidad
Falta de control y PS Gestión del Personal
monitorea en la PS.AT Formación y
[E.19] Fugas de [E.19] Ausencia de
informacion concienciación
información mecanismos de monitoreo
la disponibilidad
PS Gestión del Personal

PS.AT Formación y
[E.28] Indisponibilidad del [E.28] Daño a la disponibilidad Daño en la integridad del
concienciación
personal personal personal
la disponibilidad
Despido sin justificacion al PS Gestión del Personal
[A.28] Incumplimiento en personal PS.AT Formación y
la disponibilidad del [A.28] Ausencia del personal concienciación
personal PS.A Aseguramiento de
la disponibilidad
[A.29] Extorsión [A.29] Falta de control al Falta de control y PS Gestión del Personal
personal interno monitorea en la PS.AT Formación y
informacion concienciación
la disponibilidad
Falta de control y PS Gestión del Personal
monitorea en la PS.AT Formación y
[A,30] Entrenamiento
[A.30] Error de Uso informacion concienciación
insuficiente en seguridad
la disponibilidad
Instalaciones
Daños por incendió en las G Organización

instalaciones de la G.RM Gestión de
empresa provocando riesgos G.plan
[N.1] Falta de extintores en la
[N.1] Fuego pérdidas humanas, físicas Planificación de la
oficina
entre otras seguridad
G.exam Inspecciones de
seguridad
Daños por agua en las G Organización
[N.2] Inundaciones por mala
[N.2] Daños por agua pérdidas humanas, físicas Planificación de la
aquitectura de la tuberia
seguridad
Daños por desastres G Organización
naturales en la empresa G.RM Gestión de
[N.+] Terremoto, riesgos G.plan
[N.*] Desastres naturales contaminacion y fenonemos Planificación de la
naturales seguridad
seguridad
Daños por incendió en las G Organización
[I.1] Falta de extintores en la
[I.1] Fuego pérdidas humanas, físicas Planificación de la
oficina
seguridad
Daños por agua en las G Organización
[I.2] Inundaciones por mala
[I.2] Daños por agua pérdidas humanas, físicas Planificación de la
aquitectura de la tuberia
seguridad
[I.*] Desastres industriales [I.+] Terremoto, Daños por desastres G Organización
contaminacion y fenonemos G.RM Gestión de
naturales en la empresa riesgos G.plan
Planificación de la
naturales seguridad
seguridad
Daños en aparatos G Organización
electrónicos y humanos G.RM Gestión de
por emanaciones riesgos G.plan
[I.11] Emanaciones [I.11] Falta de control con la
electromagnéticas Planificación de la
electromagnéticas luz ultrvioleta
seguridad
seguridad
Destrucción de la G Organización
información, Daños en la G.RM Gestión de
[A.7] Personal realice información, Robo de la riesgos G.plan
[A.7] Uso no previsto actividad diferente a suu información Planificación de la
trabajo dentro de la oficina seguridad
seguridad
Daños en las G Organización
instalaciones, perdidas de G.RM Gestión de
activos físicos importantes riesgos G.plan
[A.11] Acceso no [A.11] Falta de control al para el desarrollo de Planificación de la
autorizado ingreso de la oficina trabajos o procesos de la seguridad
empresa, daños en la G.exam Inspecciones de
información y robos de la seguridad
misma
Daños en el proceso del G Organización

trabajo, retrasos en el G.RM Gestión de
[A.15] Modificación [A.15] Falta de una bitacora proceso de trabajo, riesgos G.plan
deliberada de la para el control del uso de la investigaciones por parte Planificación de la
información informacion del gerente de la empresa seguridad
a el personal de G.exam Inspecciones de
informática seguridad
Multas, Robo de datos G Organización
confidenciales al no G.RM Gestión de
[A.18] Falta de una bitacora destruirlos de forma riesgos G.plan
[A.18] Destrucción de segura,
para el control del uso de la Planificación de la
información
informacion Denuncias de clientes, seguridad
proveedores o empleados, G.exam Inspecciones de
Contaminación seguridad
[A.19] Divulgación de [A.19] Falta de una bitacora Multas, Robo de datos G Organización
confidenciales al no G.RM Gestión de
destruirlos de forma riesgos G.plan
segura, Planificación de la
para el control del uso de la seguridad
información Denuncias de clientes,
informacion proveedores o G.exam Inspecciones de
empleados, Extorsión, seguridad
Ciberdelincuencia,
Extorsión

[A.26] Falta de una
para el desarrollo de Planificación de la
[A.26] Ataque destructivo herramienta al ingreso de la
trabajos o procesos de la seguridad
oficina
misma

[A.27] Falta de control de
para el desarrollo de Planificación de la
[A.27] Ocupación enemiga ingreso de personal no
trabajos o procesos de la seguridad
autorizaco
misma
CRITERIOS DE VALORACIÓN.
Tabla de criterios para valoración de activos
Valor Criterio
10 Muy alto MA Daño muy grave a la organización.

7-9 Alto A Daño grave a la organización.
4-6 Medio M Daño importante a la organización.
1-3 Bajo B Daño menor a la organización.
0 Despreciable D Irrelevante a efectos prácticos.
Fuente. 2012_Magerit_v3_libro2_catalogo-de-elementos_es_NIPO_630-12-171
DIMENSIONES DE SEGURIDAD
[D] Disponibilidad
[I] Integridad de los datos
[C] Confidencialidad de los datos
[A_S] Autenticidad de los usuarios del servicio
[A_D] Autenticidad del origen de los datos
[T_S] Trazabilidad del servicio
[T_D] Trazabilidad de los datos
Tabla valoración de activos dependencia de Formación.

Dimensiones de
Seguridad
Tipo de Activo Activo C I D
Datos / Información [D] Conceptos Generales 10 10 10
[D] Alcance funcional 10 10 10
[D] Prototipos (mockups) 10 10 10
[D] Conjunto Mínimo de datos básicos 10 6 10
[D] Historias de usuario 10 6 10

[D] Criterios de aceptación 10 6 10
[D] reglas de negocio 10 10 10
[D] casos de uso 10 10 10
[D] Roadmap 6 6 6
[D] Plan de Liberación 6 6 6
Software - [SW] Sistema operativo W10 6 10 10
Aplicaciones [SW] Ofimática 10 6 6
informáticas [SW] KIMAI 1 6 6
[SW] MANTIZ 6 6 6
[SW] BIZAGI 6 6 6
[SW] Manejador de BD 1 6 6
Hardware - [HW] Laptop 10 6 10
Equipamiento [HW] Laptop 10 6 10
Informático
[HW] Router 6 10 10
Redes de [COM] LAN 6 6 10
comunicaciones
Instalaciones [L] Oficina 10 10 10
[L] Energía Eléctrica 1 10 10
[L] Infraestructura 10 10 10
Personal [P] Coordinador Producto 10 10 10
[P] Analista Funcional 10 10 10
[P] Experto de dominio 10 10 10
Evaluación del riesgo.

Tabla impacto en el riesgo
Tabla probabilidad de ocurrencia del riesgo
Tabla formula del riesgo

Tabla valoración del riesgo
TABLA VALORACIÓN DE RIESGOS SOBRE LOS ACTIVOS

ANÁLISIS DE LA GRAFICA
Los resultados obtenidos por esta grafica indican la valoración del riesgo en base a los activos
de la empresa, donde se aprecia que tanto los activos de personal y las redes de
comunicación corren una alta probabilidad de riesgo dejando un alto impacto en la empresa
por otro lado y no muy lejos de obtener una alta probabilidad de riesgo se encuentran los
activos hardware, software y los datos de información ocasionando estos también un impacto
en la empresa, no obstante tenemos las instalaciones las cuales no tienen una alta
probabilidad de riesgo, de igual manera se deben tomar medidas para que los activos
incluyendo los que tienen mas baja probabilidad de riesgo sean Confidenciales, íntegros y
disponibles tanto para los usuarios como para los que operan dentro de la empresa.
ANÁLISIS DE LA GRAFICA
Los resultados obtenidos por esta grafica indican que tanto los activos del personal como las
redes de comunicación tienen mayor probabilidad de estar afectadas por un riesgo, ya que al
des englobar cada uno de estos activos de la gráfica circular y colocando cada uno de estos en
un grafica individual con un 100% basándonos en la tabla que contiene la formula del riesgo
donde el 25 es un 100% de probabilidad; se concluye que el activo personal tiene la más alta
probabilidad de obtener un riesgo con un 88% seguido de las redes de comunicación con un
84% no muy lejos de tener un riesgo el hardware con un 68% cerca de este se encuentran
con el mismo porcentaje de riesgo los datos de información y el software con un 64% , y por
ultimo donde podemos tener un grado de confianza pero sin dejar a un lado puesto que son
activos las instalaciones con un 48% de acuerdo con este análisis se es necesario un sistema
de Gestión de la Seguridad de la Información que permita salvaguardar cada uno de los
activos permitiendo Confidencialidad, integridad y disponibilidad de los mismos.
PLAN DE TRATAMIENTO DE RIESGO
valoración del Plan de tratamiento de

riesgo riesgo
Tipo activo vulnera amenazas riesgo Pr Im Val nivel Control ISO justificación
bilidad ob pa or de 27002:2013
ab ct aci riesg
ili o ón o
da
d
Datos / Conceptos
[A.11] 3 5 15 M A.9.4.3 Las
información Generales
Facil sistema de contraseñas
(D) [A.11] Perdid
acceso , gestión de utilizadas en
Acceso no a de
usuario contraseñas el sistema
autorizado inform
sin deben ser
ación
contrase interactivas
ña que
garanticen
la seguridad
de la BD.
Software KWAI
[A.22] [A.22] Usuari 3 5 15 M A.12.5.1 Se debe
Falta de Manipulac os Instalacione hacer un
una ión de realiza de software control con
bitacora programas ndo en sistema la
en el diferen operatvio manipulaion
uso de tes de los
los tipos software
program de por medio
as errores de una
en el bitacora
softwa
re
Personal Coodinador Error de Entrenamien

Uso to Perdid 4 5 20 A.12.3.1 Se debe
de Producto
insuficiente a de Respaldo de tener
en seguridad inform informacion cuidado con
acion la
por información
falta que tiene el
de equipo
backup B cuando el
s pernal
encargado
esté
ausente.
Hardware Laptop
[I.5] [i.5] Falta Retras 4 4 16 A A.11.2.4 Es necesario
Avería de o de Matenimien hacer un
de manteimie trabajo to de manteniemi
origen nto por equipos ento previo
físico o general parte con los
lógico de equipos
disposi para evitar
tivos asi
físicos averiaciones
averiad y tenga un
os buen
funcionamie
nto.
Redes de LAN [I.8] [I.8]

Dejar B A.13.1.1 Es necesario
comunicació Fallo de Conexión
sin Controles tener un
n servicios deficiente 3 2 20
interne de redes control en la
de de los
t y sin red lan, para
comunic cables.
funcio asi tener un
namie buen
aciones nto el funcionamie
lugar nto en el
de la ámbito
oficina laborall
Instalacione A11.1.5 Es necesario

s (L) Trabajo en implementa
Oficina Ingreso 4 5 16 A
[A.26] areas r un
de
Falta de seguras huellero
[A.26] person
una para el
Ataque al no
herramien control del
destructi autoriz
ta al ingreso de la
vo ado
ingreso de oficina.
que
la oficina
puede
causar
dao
Conclusiones
Al aplicar el análisis y evaluación de riesgos con Magerit se logró la identificación de los
activos más vulnerables y los cuales corren mayor riesgo en esta área de registro entre los
más destacados se encuentran:
Lector de huella dactilar: ya que es un dispositivo de mayor utilidad en el registro, y el cual
está expuesto a michos riesgos tanto ambientales como a fallas eléctricas y a la mala
manipulación en el uso. Convirtiéndose en uno de los activos más importantes y con más
riesgos, pero no cuenta con ciertas políticas de seguridad.
Base de datos: está expuesta a ataques tanto de personal externo como SW maliciosos.
Convirtiéndose en un activo demasiado valioso y en el cual se debe tener cuidado ya que este
podría dar acceso a personal no autorizado o por el contrario denegar el ingreso a personal si
autorizado. Ya que este activo es el que maneja toda la información.
Computador: activo donde se guarda la BD, por eso se debe cuidar y proteger ya que no se
cuenta con las políticas de seguridad adecuadas.
Todos los activos son importantes, unos más que otros; pero todos cumplen una determinada
funcionalidad para la realización de un trabajo. Así que todos merecen una determinada
protección y cuidado.

Análisis y Evaluacion de Riesgos Según Magerit Final

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Análisis y Evaluacion de Riesgos Según Magerit Final

Cargado por

Copyright:

Formatos disponibles

s

ANÁ LISIS Y EVALUACION DE

DANNY ALEXIS PEREZ BURGOS

Mediante la auditoría realizada a la empresa Sitis S.A se logró concluir

3. Tabla 1.Inventario de Activos

Tipo de Activo Activo Ubicación

Se realiza la identificación de amenazas según lo expresado por el libro II del catálogo

[N] De origen industrial Errores y fallos no [A] Ataques

[E.1] Errores de los [A.6] Abuso de

[E.2] Errores del [A.11] Acceso no

[E.15] Alteración [A.15] Modificación

[E.18] Destrucción de [A.18] Destrucción de

[E.19] Fugas de [A.19] Divulgación

[E.1] Errores de los [A.6] Abuso de

[E.2] Errores del [A.11] Acceso no

Prototipos [E.15] Alteración [A.15] Modificación

[E.18] Destrucción de [A.18] Destrucción de

[E.19] Fugas de [A.19] Divulgación

[E.1] Errores de los [A.6] Abuso de

[E.2] Errores del [A.11] Acceso no

Conjunto Mínimo [E.15] Alteración [A.15] Modificación

[E.18] Destrucción de [A.18] Destrucción de

[E.19] Fugas de [A.19] Divulgación

[E.1] Errores de los [A.6] Abuso de

[E.2] Errores del [A.11] Acceso no

Historias de [E.15] Alteración [A.15] Modificación

[E.18] Destrucción de [A.18] Destrucción de

[E.19] Fugas de [A.19] Divulgación

[E.1] Errores de los [A.6] Abuso de

[E.2] Errores del [A.11] Acceso no

Criterios de [E.15] Alteración [A.15] Modificación

[E.18] Destrucción de [A.18] Destrucción de

[E.19] Fugas de [A.19] Divulgación

[E.1] Errores de los [A.6] Abuso de

[E.2] Errores del [A.11] Acceso no

[E.15] Alteración [A.15] Modificación

[E.18] Destrucción de [A.18] Destrucción de

[E.19] Fugas de [A.19] Divulgación

[E.1] Errores de los [A.6] Abuso de

[E.2] Errores del [A.11] Acceso no

[E.15] Alteración [A.15] Modificación

[E.18] Destrucción de [A.18] Destrucción de

[E.19] Fugas de [A.19] Divulgación

[E.1] Errores de los [A.6] Abuso de

[E.2] Errores del [A.11] Acceso no

[E.15] Alteración [A.15] Modificación

[E.18] Destrucción de [A.18] Destrucción de

[E.19] Fugas de [A.19] Divulgación

[E.1] Errores de los [A.6] Abuso de

[E.2] Errores del [A.11] Acceso no

[E.15] Alteración [A.15] Modificación

[E.18] Destrucción de [A.18] Destrucción de

[E.19] Fugas de [A.19] Divulgación

[E.1] Errores de los [A.5] Suplantación de

[E.9] Errores de [A.8] Difusión de

[E.21] Errores de [A.11] Acceso no

[E.9] Errores de [A.8] Difusión de

[E.10] Errores de [A.9]

[E.1] Errores de los [A.5] Suplantación de

[E.9] Errores de [A.8] Difusión de

[E.21] Errores de [A.11] Acceso no

[E.1] Errores de los [A.5] Suplantación de

[E.9] Errores de [A.8] Difusión de