Desarrollo parcial primer corte

Medina Arrieta Estefanny

Arraez Arcia Vicky

Ingeniero:
Oscar J. Hernández Castillo.

Corporación Universitaria del Caribe CECAR

Facultad de Ciencias Básicas, Ingeniería y Arquitectura

Programa de Ingeniería de Sistemas

2020

Tabla N°13 Identificación de activos del alcance del riesgo


Activos primarios
1 administración de la red
2 Centro de datos
3 sistemas de recursos humanos (nómina,
control de horario)
4 seguridad Patrimonial
5 sitio e-commerce de KWX
6 sistemas de producción
7 sistemas de acceso
8 procesos financieros
9 intranet
10 central privada automática
Justificación/evidencias.
Se protege la seguridad de la red para
evitar amenazas externas a la organización,
se protege los recursos del hardware y
software para evitar daños y el mal uso de
la información.
Se maneja y se controla información
relevante para la organización, se concentra
la información para el procesamiento de
datos.
Es donde se integran los datos para unirlos
en un sistema de gestión que manipule la
organización, también se realizan
actividades de planificación para que se
integren en un solo sistema.
Se controla el ingreso del personal en áreas
que son restringidas e importantes en la
organización, velando por la integridad de
la organización.
Sitio web donde interactúan los clientes
con los proveedores
En esta parte se tienen actividades
específicas para cada una de las áreas
productivas, eso ayuda a que el trabajo en
la empresa sea más organizado y eficiente,
logrando buenos procesos en la
producción.
Se asegura la seguridad para acceder a la
información de los trabajadores y de la
empresa, manteniendo una integridad al
emplear sistemas de calidad para acceder a
la misma.
Se controlan las actividades de logística, de
fabricación de materiales, de la parte
contable para llevar un orden en cada
proceso que se emplea.
Es un espacio donde se almacena
información interna y de importancia para
la empresa (misión, visión), por lo tanto,
debe estar asegurada en servidores con alta
seguridad y confiabilidad.
Poseen una central de tecnología que
permite la interacción a gran escala con
muchas sucursales y fábricas, manteniendo

1 portería/Caseta de vigilancia
Activos de soporte o infraestructura
2 soporte del ambiente del comercio
electrónico, servidor de correo electrónico
Windows Exchange
3 redes Windows, Linux
4 creación y eliminación de cuentas
5 sistema de circuito cerrado de tv
6 Roteadores para acceso a internet
7 computadoras portátiles
8 servidor de correo/antivirus
la comunicación en red con diversas
empresas importantes en la industria del
mercado.
Justificación/evidencias
Consta de dos puertas para el control de
acceso, 5 guardias contratados de la
organización GuarFull24. En esta parte se
está haciendo protección del bienestar de
los trabajadores de la empresa.
servidor web de soporte para el cliente a
través de páginas web y correo electrónico,
también se colabora entre usuarios a través
de un software propietario, logrando una
mayor interacción entre el cliente y la
empresa.
En la organización se manejan este tipo de
redes con sistemas operativos de alta
calidad para que los equipos estén
estructurados de forma segura.
Un área específica con profesionales
especializados se encarga de crear y
eliminar las cuentas de los trabajadores y
personal de alto rango en la organización.
Lo anterior para velar por la seguridad de
la información de los miembros de la
empresa.
Se observa el soporte de vigilancia de
forma continua y de alta calidad, donde se
pueden observar distintas actividades y
lugares al mismo tiempo y en respuesta
inmediata.
Se cuenta con dispositivos aptos y
especializados para que el internet sea de
alta calidad y a una velocidad considerable,
para que los datos de información se
almacenen o se envíen de forma rápida, la
cantidad de Routers permite una mayor
interacción cliente/servidor
Se asignan 10 computadoras de alta calidad
y con sistemas operativos robustos para la
alta dirección, con total liberación para
almacenar información que requiere un
espacio considerable.
Posee un servidor de correo y antivirus
desarrollado por una comunidad de
 software libre, basado en múltiples
plataformas y para varios núcleos, lo que
resulta muy importante para la empresa.
9 punto de acceso inalámbrico Permite administrar de forma sencilla la
conexión a internet, brindándole al usuario
una conexión segura y estable y permite
que la conexión entre el usuario y a
empresa sea más flexible y segura.
10 salas de reuniones con conexión Se tienen salas de reuniones que cuentan
con todos los implementos para llevar una
reunión duradera y apta, como lo son: un
proyector de video, conexión a internet y
proyector.
Tabla 14. Identificación de las amenazas a los activos

Activos Amenaza 1 Amenaza 2 Justificación/ Evidencias

1.administración de la Falla en los servicios Ataque de entidad Al presentarse este tipo de
red de la red, en los externa a la amenazas para este activo, se
equipos que se organización, perdería mucha información
encargan de la produciendo fallas en importante para la
administración el hardware y software organización. Perjudicando su
imagen en el mercado.
2.Centro de datos Robo de información Datos provenientes de En el centro de datos, se
para el fuentes no confiables maneja información muy
procesamiento de los importante para la empresa, por
datos lo tanto, hay que evitar este tipo
de amenazas para evitar que se
pierda la integridad y
confidencialidad de los datos.
3.sistemas de recursos Incumplimiento en Falsificación de Se verían perjudicadas aquellas
humanos (nómina, la disponibilidad del derechos. actividades de planificación,
control de horario) personal que permiten la interacción de
datos en un solo sistema
unificado
4.seguridad Patrimonial Acceso de personal Hurto de medios o Se debe velar por la integridad
no autorizado a las documentos en áreas y seguridad de áreas que son
áreas restringidas. especificas importantes en la organización,
por lo tanto, se deben evitar
estas amenazas.
5.sitio e-commerce de Inserción de Manipulación con Se debe proteger la seguridad
KWX programa maligno o hardware de los mensajes que se
virus de un cliente al producen cuando los clientes
servidor de la interactúan con el servidor de la
organización empresa.
6.sistemas de Falta de compromiso Divulgación de Las áreas de la organización
producción de un área específica procesos de un área de deben trabajar en conjunto para
 en la organización la organización a lograr procesos productivos, si
terceros. un área abandona sus procesos
o se divulga información
importante a terceros, se vería
afectado el trabajo de otras
áreas, retrasando los procesos
de mejora en la empresa.
7.sistemas de acceso Falla en el sistema Destrucción del equipo Lo anterior puede ocasionar
daños graves a los equipos
dentro de la empresa, ya que se
violaría la seguridad de la
información.
8.procesos financieros Espionaje remoto Explotación económica La seguridad en la persistencia
de las ganancias de la empresa
se vería afectada, provocando
una perdida bastante
considerable en los ingresos de
la empresa y el robo de datos
monetarios.
9.intranet Robo de servidores Recuperación de En la intranet se almacena
donde se almacena la medios desechados o información interna importante
información reciclados. para la organización, se debe
evitar que estas amenazas sean
llevadas a cabo ya que podría
llevar a que la empresa a perder
su valor ético, social, político.
10.Central privada Desvinculación de Uso de software falso o Esto provocaría que la
automática fábricas importantes copiado información que se transmite de
una sucursal a la empresa sea
robada o falsificada, perdiendo
datos importantes, a su vez
varias fábricas o sucursales
retirarían sus acciones dentro
de la empresa, perdiendo
posición en el mercado.
11. portería/Caseta de Robo del equipo de Error en el uso Esto ocasionaría que en la
vigilancia vigilancia empresa accediera personal no
autorizado, o por la mala
formación de los guardias estos
dañarían parte del equipo de
seguridad, como el sistema de
cámaras.
12. soporte del Mal uso del sistema Ingreso de datos falsos Lo anterior llevaría a que
ambiente del comercio de soporte a o corruptos muchos usuarios se
electrónico, servidor de usuarios. desvincularan de la empresa
correo electrónico por la falta de seguridad en la
 Windows Exchange información de sus datos.
13. redes Windows, Código malicioso Interceptación Lleva a que se acceda a la base
Linux como virus, troyano de datos de la empresa, también
se vería afectan el normal
desarrollo de los sistemas
operativos debido a los códigos
o virus insertados en los
mismos.
14. creación y Procesamiento ilegal Ingreso de datos falsos La persona encargada de hacer
eliminación de cuentas de datos o corruptos este proceso, puede ser un
hacker o alguien que quiera
obtener información importante
de los empleados de la
empresa, ingresando
información errónea del cliente
para robar sus datos.
15. sistema de circuito Falla en los equipos Uso no autorizado del Esto impulsaría a personas
cerrado de tv de computo equipo ajenas a las empresas a que
aprovecharan la falla de los
equipos para robar
implementos de red, de
seguridad. De igual manera un
hacker puede acceder de forma
ilegal al sistema y apropiarse
del mismo para realizar
acciones ilegales.
16. Roteadores para Sabotaje en la Perturbación debido a Podría ocasionar perdida de
acceso a internet calidad de los routers la radiación dinero para la empresa ya que
los routers se obtuvieron con
una mala calidad,
obstaculizando el acceso para la
velocidad del internet debido a
la radiación.
17. computadoras Inserción de virus Fuego Personas ajenas a la
portátiles organización puede infectar los
equipos de cómputo para
perjudicar a la organización, o
en un descuido provocar un
incendio y dañara todos los
equipos.
18. servidor de Defecto de software Falsificación de Se puede ver afectado la
correo/antivirus derechos integridad en la seguridad de
los trabajadores de la empresa y
de aquellos clientes que utilicen
como medio de comunicación
el correo electrónico debido a
 que el software implementado
presente alguna falla interna
que perjudique los datos.
También se puede alterar la
intimidad, seguridad de los
clientes que utilicen el servicio
de antivirus debido a que no
está asegurado de forma legal.
19. punto de acceso Interferencia Radiación Puede interrumpir el normal
inalámbrico electromagnética flujo de la conexión a internet
debido a interferencias que se
pueden presentar en el sistema,
la energía puede fallar debido a
la radiación electromagnética y
provocar un fallo en el punto de
acceso inalámbrico
20. salas de reuniones Fallos en los equipos Hurto de equipo Se puede presentar un fallo al
con conexión de video, de momento de alguna exposición
conexión importante de un proyecto en la
organización, debido a la mala
conexión a internet o al fallo
con el reproductor de video.

Tabla 15. Identificación de controles existentes

Activos Amenaza Control existente Justificación/Evidencias

Administración Amenaza 1: Falla Activo: Asigna dos Al implementar cada
de la red en los servicios de profesionales en control tanto en el activo
la red, en los funciones multitarea, que como en la amenaza, se
equipos que se se turnan en las tareas del asegura la integridad en
encargan de la día a día, como por la administración de la
administración. ejemplo help desk red, se logra el perfecto
Amenaza 2: Amenazas: para la funcionamiento en esta
ataque de entidad amenaza 1, se hace una área, gracias a las
externa a la revisión periódica del medidas tomadas con
organización, estado de cada uno de los anterioridad.
produciendo fallas servicios de red. Para la
en el hardware y amenaza 2 se protege con
software antivirus de alta calidad,
se emplea seguridad en la
red.
Centro de datos Amenaza 1: Robo Activo: Control de acceso A través de estas
de información a través de llaves, medidas se vela y se
para el aspersores y racks cuida la integridad de
procesamiento de desbloqueados esta área tan importante
los datos Amenazas: para la como lo es el centro de
 Amenaza 2: Datos amenaza 1, se protege los datos, para que la
provenientes de datos con software información que allí se
fuentes no especializados, que encuentre, sea
confiables permitan la seguridad de resguardada de forma
la información relevante, segura.
para la amenaza 2
encriptar o asegurar las
cuentas de usuario, para
evitar el robo de
información
Sistemas de Amenaza 1: Activo: subcontratado Permite que los
recursos humanos Incumplimiento en con un proveedor externo, empleados de la
(nómina, control la disponibilidad contiene solo un control organización en cada
de horario) del personal para este activo área tomen pertenencia
Amenaza 2: Amenazas: Para la del crecimiento de la
Falsificación de amenaza 1, organizar de empresa, realizando
derechos. forma adecuada y actividades que ayuden a
controlada a todo el su crecimiento y
personal para tener un producción y siendo
mejor control en el área inteligentes en la
que se está trabajando, elección de sus
cumpliendo con los proveedores.
horarios establecidos por
la organización. Para la
amenaza 2, prever de
forma anticipada esta
acción, para que en un
futuro no tenga
consecuencias graves,
estar siempre al tanto de
cada actividad que realiza
un empleado en el sector
correspondiente.
seguridad Amenaza 1: Activo: sistema de lector El control en esta área es
Patrimonial Acceso de personal de carnet para acceder a muy importante ya que
no autorizado a las las áreas evita que personas ajenas
áreas restringidas controladas/restringidas, a la organización tomen
Amenaza 2: Hurto verificación de datos del posesión de documentos,
de medios o personal que vaya a equipos de cómputo,
documentos en ingresar a estas áreas, herramientas de red que
áreas especificas lector de huella dactilar le son de gran apoyo a la
Amenazas: para la empresa.
amenaza 1: documentar
los datos de las personas
que ingresan a
determinada área, vigilar
 a través de cámaras de
seguridad.
en la amenaza 2: asegurar
cada uno de los
documentos estén
resguardados en bases de
datos y servidores
seguros, tener copias de
seguridad en sitios aún
más seguros para velar
por la integridad de la
información.
sitio e- commerce Amenaza 1: No existe control
de KWX inserción de existente para este activo
programa maligno Amenazas: en la amenaza
o virus de un 1: resguardar las bases de
cliente al servidor datos y software con
de la organización. sistemas de alta
Amenaza 2: seguridad, encriptar las
Manipulación con redes de conexión del
hardware servidor al cliente. Para la
amenaza 2: solo el
personal autorizado debe
tener acceso a los equipos
de cómputo.
Sistemas de Amenaza 1: Falta Activo: trabajan de
producción de compromiso de manera conjunta e
un área específica integrada, contiene solo
en la organización un control para este
Amenaza 2: activo.
Divulgación de Amenazas: para la
procesos de un amenaza 1: desde un
área de la principio, aclararle a los
organización a trabajadores las
terceros. obligaciones que deben
cumplir dentro de su área
específica, proporcionar
incentivos para que los
trabajadores puedan
A pesar de que este
activo no posee un
control existente, para la
parte de las amenazas
que se pueden producir,
si existen métodos en las
amenazas para controlar
los riesgos en este sitio
importante para la
empresa. Llevar un
control permite que se
manipule el hardware
importante de la
empresa, permite
resguardar los datos que
se encuentran en las
bases de datos, de forma
confiable y segura.
Esta área es de vital
importancia para la
empresa por lo tanto se
debe proteger muy bien,
los controles aplicados
en la misma ayudan a
que la empresa crezca de
forma considerable,
asegurando los procesos
específicos que se
realizan en cada área.
 realizar sus labores con
más esmero. Para la
amenaza 2: proteger la
información dentro de
cada área específica de
forma segura, vigilando
de forma constante a cada
uno de sus trabajadores.
Sistemas de Amenaza 1: Falla Activo: Registros de las Gracias a los controles
acceso en el sistema puertas y salas de implementados, se logra
Amenaza 2: seguridad, presencia del proteger la
Destrucción del reconocimiento facial de confidencialidad de los
equipo la persona que vaya a datos, del sistema de la
ingresar, lectores empresa.
autónomos.
Amenazas: para la
amenaza 1: verificar
constantemente que el
sistema esté funcionando
de forma correcta,
contratar a personas
especializadas. Para la
amenaza 2: brindar
recomendaciones que
deben seguir las personas
que utilicen el equipo,
para que lo empleen de
forma correcta.
Procesos Amenaza 1: Activo: se emplean Se asegura la parcialidad
financieros Espionaje remoto sistemas y aplicaciones en cada proceso contable
Amenaza 2: para garantizar la de la empresa, llevando
Explotación seguridad, asegurar la un control en todos los
económica confianza con los procesos económicos,
proveedores, llevar un sus ingresos, egresos,
registro y control de los que tanto se está
números y cuentas de invirtiendo en cada área.
planes de cuentas
presentadas
Amenazas: en la amenaza
1: monitorear de forma
permanente las redes y
servidores, encargar a una
persona especializada
para que siempre este
atenta a los movimientos
que se hacen en la
 organización, de forma
externa e interna. En la
amenaza 2: llevar de
forma equilibrada cada
uno de los procesos
económicos de la
empresa, lograr un
equilibrio entre la
empresa, sus proveedores
y el mercado.
intranet Amenaza 1: Robo Activo: No existe control En esta área es
de servidores existente para este activo importante tener
donde se almacena Amenazas: para la controles para las
la información. amenaza 1: seguridad de amenazas que se pueden
Amenaza 2: forma permanente y presentar en un futuro,
Recuperación de confiable, asegurar la red ayudando al perfecto
medios desechados con equipos de alto funcionamiento de los
o reciclados. calibre. Para la amenaza procesos que se realizan
2: verificar que se haya a través de internet, de
eliminado de forma forma externa en la
permanente la empresa, resguardando
información importante, los datos que circulan por
guardar esta información, la red.
en espacios de confianza
y que estén protegidos.
Central privada Amenaza 1: Activo: trabajo de Ayudan a que en la
automática Desvinculación de levantamiento de la empresa se presenten
fábricas situación actual de la procesos correctos entre
importantes organización en términos la empresa, sucursales o
Amenaza 2: Uso de seguridad de la fábricas. Evaluando la
de software falso o información, la integridad tanto en la
copiado comprensión de los parte física y lógica de la
procesos, análisis de organización
riesgo, propuestas de
mejoría.
Amenazas: para la
amenaza 1: garantizar
desde un principio la
estadía de las fábricas.
Firmar con un contrato l
vinculación permanente
de las fábricas o
sucursales. Para la
amenaza 2: verificar de
forma inmediata el estado
de los programas, datos y
 archivos de los equipos de
cómputo, tener siempre
los datos o información de
la empresa a la cual se le
hace el pedido de los
equipos de cómputo.
portería/Caseta Amenaza 1: Robo Activo: dos puertas para Se protegen los equipos
de vigilancia del equipo de el control de acceso (sin de vigilancia que sirven
vigilancia operación), 5 guardias de mucho apoyo para la
Amenaza 2: Error contratados de la seguridad de la
en el uso organización, lecturas de información y de la
reconocimiento facial. empresa, evitando el
Amenazas: asegurar los paso de personal no
equipos en un lugar apto autorizado.
para evitar el robo, optar
por la obtención acciones
preventivas, como:
cámaras de alta calidad,
cercas electrificadas, entre
otros.
soporte del Amenaza 1: Mal Activo: Suministrar un Los controles en este
ambiente del uso del sistema de soporte seguro y confiable activo ayudan a que se
comercio soporte a usuarios para el cliente, ofrecer fortalezca la
electrónico, Amenaza 2: servidores de alta calidad comunicación entre el
servidor de Ingreso de datos para la buena cliente, el servidor y la
correo falsos o corruptos comunicación con el empresa, comprobando
electrónico cliente. la seguridad en su
Windows Amenazas: en la amenaza información.
Exchange 1: ofrecer charlas a los
usuarios para el buen uso
de la plataforma. Para la
amenaza 2: verificación
de los datos que se vayan
a ingresar en la
plataforma, llevar un
control constante de las
actividades que realicen
los usuarios.
Redes Windows, Amenaza 1: Activo: Comprobar de Ayudan a que los
Linux Código malicioso forma constante el buen equipos de cómputos
como virus, funcionamiento de los estén aptos para el
troyano equipos de cómputo con trabajo que se realice en
Amenaza 2: estos sistemas operativos la empresa, manteniendo
Interceptación con este tipo sistemas operativos
Amenazas: para la seguros.
amenaza1: contar con
 software y hardware aptos
para recibir antivirus
potentes, monitorear las
actividades internas
dentro del equipo de
cómputo y en la red. En la
amenaza 2: proteger los
datos de información de
forma segura, sin dejar
rastro de actividad alguna,
mantener el sistema
operativo y el navegador
actualizados.
creación y Amenaza 1: Activo Asigna dos A través de los controles
eliminación de Procesamiento profesionales para estas presentados, se verifica
cuentas ilegal de datos funciones, subordina al la seguridad e integridad
Amenaza 2: director administrativo de la información que
Ingreso de datos financiero. proporcionan los clientes
falsos Amenazas: en la amenaza al crear sus cuentas de
1: asignar a una persona usuarios para mantener la
especializada para vigilar comunicación constante
el paso de datos de forma con la empresa.
interna y externa. Para la
amenaza 2: encriptar los
datos de usuario y
contraseñas de forma
segura.
Sistema de Amenaza 1: Falla Activo: garantizar Los elementos de
circuito cerrado en los equipos de equipos de alta calidad, vigilancia y seguridad se
de tv computo tecnologías adaptadas encuentran más
Amenaza 2: Uso para la seguridad. protegidos gracias a estos
no autorizado del Amenazas: en la amenaza controles, previniendo
equipo 1: asegurar que los fallas para su perfecto
equipos estén aptos para funcionamiento y
trabajar de forma segura y beneficio de la empresa.
estable, realizando un
análisis de estos de forma
temporal. Para la amenaza
2: colocar de forma
segura el usuario y
contraseña del equipo
para evitar el robo de
información, evitar dejar
el equipo de cómputo en
espacios donde es
vulnerable su utilización.
Roteadores para Amenaza 1: Activo: Contiene una Permiten que la
acceso a internet Sabotaje en la cantidad considerable de comunicación de red
calidad de los routers (3) por si en algún entre ordenadores sea
routers momento falla uno, están más fluida y de más alta
Amenaza 2: los otros para su calidad, logrando
Perturbación reemplazo, hay uno en procesos estables y de
debido a la cada sed. forma rápida. Esto evita
radiación Amenazas: para la interrupciones en el
amenaza 1: tener a una proceso de transmisión
persona encargada de la de información relevante.
verificación de los
productos. En la amenaza
2: determinar el espacio
correcto donde se
instalarán los routers.
computadoras Amenaza 1: Activo: Contiene una Evita que los equipos de
portátiles Inserción de virus cantidad considerable de cómputo se infecten de
Amenaza 2: portátiles (10) para la virus maliciosos, también
Fuego dirección, están ayudan a que se
totalmente liberados para expongan en áreas que
su funcionamiento son perjudiciales,
Amenazas: en la amenaza evitando que de dañen o
1: proteger de forma funcionen de forma
segura el equipo de inestable.
cómputo con antivirus
especializados. En la
amenaza 2: alejar a los
equipos de cómputo
donde son más propensos
a dañarse por efecto del
fuego, tener en la
organización mecanismos
de protección contra
incendios.
Servidor de Amenaza 1: Activo: Sistema operativo Permite que los datos que
correo/antivirus Defecto de libre (Linux Debian), se ingresan en los
software contiene solo un control diferentes ordenadores de
Amenaza 2: para este activo. la empresa estén
Falsificación de Amenazas: en la primera protegidos de futuras
derechos amenaza: contar con amenazas de virus,
herramientas inteligentes troyanos, entre otros. Se
que ayuden a identificar evita que falsifiquen los
este defecto, evaluar en derechos de la empresa y
primera instancia a los de los trabajadores,
proveedores que comprobando su
proporcionan el software. confidencialidad.
 Para la segunda amenaza,
se emplean mecanismos y
métodos para evitar la
piratería, asegurar los
derechos que tienen los
trabajadores y los clientes
en la empresa.
punto de acceso Amenaza 1: Activo: la organización Permiten que se asegure
inalámbrico Interferencia cuenta con un proveedor la calidad y seguridad de
Amenaza 2: global para la solución de los dispositivos que
Radiación redes y comunicaciones, proporcionan
electromagnética contiene solo un control conectividad a internet
para este activo. para mejorar los procesos
Amenazas: para la en la empresa.
amenaza 1: proteger los
cables de red, asegurar el
sistema electrónico.
Amenaza 2: asegurar de
forma adecuada los
lugares de instalación del
punto inalámbrico para
evitar interferencias.
Salas de Amenaza 1: fallos Activo: la organización Ayudan a que en la
reuniones con en los equipos de cuenta con un buen empresa se cuenten con
conexión video, de conexión número de salas de lugares aptos para llevar
Amenaza 2: Hurto reuniones (7), si en alguna a cabo actividades y
de equipo se presenta una falla, se reuniones para el
puede acceder a otra en el crecimiento de la
instante. Contiene solo un empresa. Contando con
control para este activo. equipos de cómputo,
Amenazas: en la amenaza conexión a internet,
1: asegurar que los reproductores de video,
equipos estén aptos para entre otros.
cualquier tipo de
actividad, revisar la
calidad de estos con
pruebas anteriores. Para la
amenaza 2: evitar el
ingreso de personas
desconocidas en áreas
restringidas.

Guía de Actividades Nro. 4

Tabla 16. Identificación de las vulnerabilidades

 Activos Amenaza Control existente Vulnerabilidades Justificación/Evidenc
encontradas ias
Administración Amenaza 1: Falla Activo: Asigna dos La conexión entre Con esta falta, la
de la red en los servicios de profesionales en dos áreas de la organización no podrá
la red, en los funciones misma organización guardar la
equipos que se multitarea, que se presenta información en la base
encargan de la turnan en las tareas inestabilidad de datos por eso es
administración. del día a día, como recomendable dar
Amenaza 2: por ejemplo help solución a esta
ataque de entidad desk vulnerabilidad.
externa a la Amenazas: para la
organización, amenaza 1, se hace
produciendo fallas una revisión
en el hardware y periódica del
software estado de cada uno
de los servicios de
red. Para la
amenaza 2 se
protege con
antivirus de alta
calidad, se emplea
seguridad en la red.
Centro de datos Amenaza 1: Robo Activo: Control de USB con virus Por medio de este
de información acceso a través de malicioso dispositivo se puede
para el llaves, aspersores y afectar toda la
procesamiento de racks organización ya que
los datos desbloqueados ocurre una parada en
Amenaza 2: Datos Amenazas: para la el servicio y toda la
provenientes de amenaza 1, se línea de producción
fuentes no protege los datos interrumpiendo sus
confiables con software actividades
especializados, que
permitan la
seguridad de la
información
relevante, para la
amenaza 2
encriptar o asegurar
las cuentas de
usuario, para evitar
el robo de
información
Sistemas de Amenaza 1: Activo: problemas de Esta inestabilidad
recursos Incumplimiento en subcontratado con inestabilidad suele pasar en el área
humanos la disponibilidad un proveedor eléctrica en su red de almacenamiento, lo
(nómina, del personal externo, contiene cual se presenta por la
control de Amenaza 2: solo un control falta de comunicación
horario) Falsificación de para este activo de los operadores.
derechos. Amenazas: Para la
amenaza 1,
organizar de forma
adecuada y
controlada a todo el
personal para tener
un mejor control en
el área que se está
trabajando,
cumpliendo con los
horarios
establecidos por la
organización. Para
la amenaza 2,
prever de forma
anticipada esta
acción, para que en
un futuro no tenga
consecuencias
graves, estar
siempre al tanto de
cada actividad que
realiza un
empleado en el
sector
correspondiente.
seguridad Amenaza 1: Activo: sistema de los cables que entran Ya que se muestra
Patrimonial Acceso de personal lector de carnet en el edificio por poca seguridad por lo
no autorizado a las para acceder a las parte del operador cual hace que ocurra
áreas restringidas áreas están cortados y esta vulnerabilidad
Amenaza 2: Hurto controladas/restring parte de estos cables afectado a la
de medios o idas, verificación fueron robados organización y que no
documentos en de datos del pueda tener acceso a
áreas especificas personal que vaya a la internet.
ingresar a estas
áreas, lector de
huella dactilar
Amenazas: para la
amenaza 1:
documentar los
datos de las
personas que
ingresan a
determinada área,
 vigilar a través de
cámaras de
seguridad.
en la amenaza 2:
asegurar cada uno
de los documentos
estén resguardados
en bases de datos y
servidores seguros,
tener copias de
seguridad en sitios
aun más seguros
para velar por la
integridad de la
información.

sitio e- Amenaza 1: No existe control Mal manejo del Al tener un

commerce de inserción de existente para este administrador. administrador que se
KWX programa maligno activo la pase jugando en el
o virus de un Amenazas: en la ámbito laboral lo cual
cliente al servidor amenaza 1: va contra las políticas
de la organización. resguardar las de la empresa, esto
Amenaza 2: bases de datos y hace que la empresa
Manipulación con software con no avance de manera
hardware sistemas de alta correcta
seguridad, encriptar
las redes de
conexión del
servidor al cliente.
Para la amenaza 2:
solo el personal
autorizado debe
tener acceso a los
equipos de
cómputo.
Sistemas de Amenaza 1: Falta Activo: trabajan de Mantenimiento de El descuido de los
producción de compromiso de manera conjunta e equipos equipos afectan a la
un área específica integrada, contiene empresa a media plazo
en la organización solo un control
Amenaza 2: para este activo.
Divulgación de Amenazas: para la
procesos de un amenaza 1: desde
área de la un principio,
organización a aclararle a los
terceros. trabajadores las
 obligaciones que
deben cumplir
dentro de su área
específica,
proporcionar
incentivos para que
los trabajadores
puedan realizar sus
labores con más
esmero. Para la
amenaza 2:
proteger la
información dentro
de cada área
específica de forma
segura, vigilando
de forma constante
a cada uno de sus
trabajadores.
Sistemas de Amenaza 1: Falla Activo: Registros enredo de cables enredo de cables
acceso en el sistema de las puertas y perturba el buen
Amenaza 2: salas de seguridad, funcionamiento y la
Destrucción del presencia del agilidad en la
equipo reconocimiento resolución de
facial de la persona problemas
que vaya a
ingresar, lectores
autónomos.
Amenazas: para la
amenaza 1:
verificar
constantemente que
el sistema esté
funcionando de
forma correcta,
contratar a
personas
especializadas.
Para la amenaza 2:
brindar
recomendaciones
que deben seguir
las personas que
utilicen el equipo,
para que lo
empleen de forma
correcta.
 Procesos Amenaza 1: Activo: se emplean interrupción en la El mal mantenimiento
financieros Espionaje remoto sistemas y conexión de las del servidor de
Amenaza 2: aplicaciones para máquinas de la impresora afecta al
Explotación garantizar la organización con el equipo de contabilidad
económica seguridad, asegurar servidor de de la organización y el
la confianza con impresión de recursos humanos
los proveedores, que al tener esta
llevar un registro y vulnerabilidad se les
control de los hace difícil emitirla
números y cuentas nómina.
de planes de
cuentas presentadas
Amenazas: en la
amenaza 1:
monitorear de
forma permanente
las redes y
servidores,
encargar a una
persona
especializada para
que siempre este
atenta a los
movimientos que
se hacen en la
organización, de
forma externa e
interna. En la
amenaza 2: llevar
de forma
equilibrada cada
uno de los procesos
económicos de la
empresa, lograr un
equilibrio entre la
empresa, sus
proveedores y el
mercado.
intranet Amenaza 1: Robo Activo: No existe Se ha producido En esta área es
de servidores control existente inestabilidad en la importante tener
donde se almacena para este activo conexión de red. controles externa en la
la información. Amenazas: para la empresa,
Amenaza 2: amenaza 1: resguardando los
Recuperación de seguridad de forma datos que circulan por
medios desechados permanente y la red.
o reciclados. confiable, asegurar
la red con equipos
 de alto calibre. Para
la amenaza 2:
verificar que se
haya eliminado de
forma permanente
la información
importante, guardar
esta información,
en espacios de
confianza y que
estén protegidos.
Central privada Amenaza 1: Activo: trabajo de Contraseñas Lo que puede
automática Desvinculación de levantamiento de la expuestas provocar robo de
fábricas situación actual de datos importante
importantes la organización en
Amenaza 2: Uso términos de
de software falso o seguridad de la
copiado información, la
comprensión de los
procesos, análisis
de riesgo,
propuestas de
mejoría.
Amenazas: para la
amenaza 1:
garantizar desde un
principio la estadía
de las fábricas.
Firmar con un
contrato l
vinculación
permanente de las
fábricas o
sucursales. Para la
amenaza 2:
verificar de forma
inmediata el estado
de los programas,
datos y archivos de
los equipos de
cómputo, tener
siempre los datos o
información de la
empresa a la cual
se le hace el pedido
de los equipos de
cómputo.
portería/Caseta Amenaza 1: Robo Activo: dos puertas Dispositivos La mala ubicación de
de vigilancia del equipo de para el control de materiales ubicados depósito de material al
vigilancia acceso (sin en lugares lado del depósito de
Amenaza 2: Error operación), 5 inapropiados material inflamable
en el uso guardias estos materiales
contratados de la pueden traer
organización, problemas e incluso
lecturas de accidentes en la
reconocimiento organización.
facial.
Amenazas:
asegurar los
equipos en un lugar
apto para evitar el
robo, optar por la
obtención acciones
preventivas, como:
cámaras de alta
calidad, cercas
electrificadas, entre
otros.
soporte del Amenaza 1: Mal Activo: Falta de seguridad Al no tener una buena
ambiente del uso del sistema de Suministrar un contra las fuerzas de seguridad en la
comercio soporte a usuarios soporte seguro y la naturaleza infraestructura la
electrónico, Amenaza 2: confiable para el estructura de la
servidor de Ingreso de datos cliente, ofrecer organización puede
correo falsos o corruptos servidores de alta salir afectada por
electrónico calidad para la vientos y lluvias
Windows buena fuertes.
Exchange comunicación con
el cliente.
Amenazas: en la
amenaza 1: ofrecer
charlas a los
usuarios para el
buen uso de la
plataforma. Para la
amenaza 2:
verificación de los
datos que se vayan
a ingresar en la
plataforma, llevar
un control
constante de las
actividades que
realicen los
usuarios.
 Redes Amenaza 1: Activo: Comprobar Mal mantenimiento El presentar esta
Windows, Código malicioso de forma constante de las salas vulnerabilidad puede
Linux como virus, el buen provocar algunos
troyano funcionamiento de leves daños en las
Amenaza 2: los equipos de personas como en los
Interceptación cómputo con estos equipos
sistemas operativos
con este tipo
Amenazas: para la
amenaza1: contar
con software y
hardware aptos
para recibir
antivirus potentes,
monitorear las
actividades internas
dentro del equipo
de cómputo y en la
red. En la amenaza
2: proteger los
datos de
información de
forma segura, sin
dejar rastro de
actividad alguna,
mantener el sistema
operativo y el
navegador
actualizados.
creación y Amenaza 1: Activo Asigna dos Falta de seguridad de Al no tener una mejor
eliminación de Procesamiento profesionales para en área de trabajo seguridad se pueden
cuentas ilegal de datos estas funciones, ver visitantes
Amenaza 2: subordina al tomándole fotos o
Ingreso de datos director tomando algunos
falsos administrativo proyectos o ideas de la
financiero. empresa.
Amenazas: en la
amenaza 1: asignar
a una persona
especializada para
vigilar el paso de
datos de forma
interna y externa.
Para la amenaza 2:
encriptar los datos
de usuario y
contraseñas de
 forma segura.
Sistema de Amenaza 1: Falla Activo: garantizar Falta de cuidado con Realizar el descanso
circuito cerrado en los equipos de equipos de alta los dispositivos en fuera de la empresa ya
de tv computo calidad, tecnologías horas de descanso que llevar alimentos y
Amenaza 2: Uso adaptadas para la bebidas, puede
no autorizado del seguridad. provocar accidentes
equipo Amenazas: en la que perjudiquen a los
amenaza 1: equipos.
asegurar que los
equipos estén aptos
para trabajar de
forma segura y
estable, realizando
un análisis de estos
de forma temporal.
Para la amenaza 2:
colocar de forma
segura el usuario y
contraseña del
equipo para evitar
el robo de
información, evitar
dejar el equipo de
cómputo en
espacios donde es
vulnerable su
utilización.
Roteadores Amenaza 1: Activo: Contiene Incumplimiento en Lo que con lleva al
para acceso a Sabotaje en la una cantidad las horas de trabajo mal desarrollo de la
internet calidad de los considerable de empresa y da una
routers routers (3) por si en imagen negativa a los
Amenaza 2: algún momento clientes de la empresa.
Perturbación falla uno, están los
debido a la otros para su
radiación reemplazo, hay uno
en cada sed.
Amenazas: para la
amenaza 1: tener a
una persona
encargada de la
verificación de los
productos. En la
amenaza 2:
determinar el
espacio correcto
donde se instalarán
 los routers.
computadoras Amenaza 1: Activo: Contiene Visible los cables de Se encuentran cables a
portátiles Inserción de virus una cantidad los equipos la vista del público lo
Amenaza 2: considerable de cual es una baja pero
Fuego portátiles (10) para mala actividad que
la dirección, están puede tener una
totalmente empresa ya que
liberados para su muestra una mala
funcionamiento organización con
Amenazas: en la respecto a ella.
amenaza 1:
proteger de forma
segura el equipo de
cómputo con
antivirus
especializados. En
la amenaza 2:
alejar a los equipos
de cómputo donde
son más propensos
a dañarse por
efecto del fuego,
tener en la
organización
mecanismos de
protección contra
incendios.
Servidor de Amenaza 1: Activo: Sistema Poca responsabilidad Los técnicos de TIC
correo/antiviru Defecto de operativo libre por los contratistas (contratistas), deben
s software (Linux Debian), de estar disponibles
Amenaza 2: contiene solo un las 24/7, y al no
Falsificación de control para este encontrase, se opta
derechos activo. por buscar nuevos
Amenazas: en la contratistas.
primera amenaza:
contar con
herramientas
inteligentes que
ayuden a identificar
este defecto,
evaluar en primera
instancia a los
proveedores que
proporcionan el
software. Para la
segunda amenaza,
 se emplean
mecanismos y
métodos para evitar
la piratería,
asegurar los
derechos que tienen
los trabajadores y
los clientes en la
empresa.
punto de Amenaza 1: Activo: la el aseo en los El ambiente de trabajo
acceso Interferencia organización equipos debe tener un buen
inalámbrico Amenaza 2: cuenta con un aseo para evitar el
Radiación proveedor global daño en los
electromagnética para la solución de dispositivos
redes y
comunicaciones,
contiene solo un
control para este
activo.
Amenazas: para la
amenaza 1:
proteger los cables
de red, asegurar el
sistema electrónico.
Amenaza 2:
asegurar de forma
adecuada los
lugares de
instalación del
punto inalámbrico
para evitar
interferencias.
Salas de Amenaza 1: fallos Activo: la El sistema de Las salas de reuniones
reuniones con en los equipos de organización vigilancia y la puerta deben estar
conexión video, de conexión cuenta con un buen de seguridad no aseguradas con
Amenaza 2: Hurto número de salas de funcionan hace 6 puertas adecuadas y
de equipo reuniones (7), si en meses. tener vigilancia
alguna se presenta permanente.
una falla, se puede
acceder a otra en el
instante. Contiene
solo un control
para este activo.
Amenazas: en la
amenaza 1:
asegurar que los
 equipos estén aptos
para cualquier tipo
de actividad,
revisar la calidad
de estos con
pruebas anteriores.
Para la amenaza 2:
evitar el ingreso de
personas
desconocidas en
áreas restringidas.

Tabla 17. Identificación de las consecuencias

Activos Amenaza Control existente Vulnerabilidades Consecuencias Justificación/Evide

encontradas ncias
Administración Amenaza 1: Activo: Asigna La conexión entre Produce Con esta falta, la
de la red Falla en los dos profesionales dos áreas de la problemas en la organización no
servicios de en funciones misma transferencia de podrá guardar la
la red, en los multitarea, que se organización datos haciendo información en la
equipos que turnan en las presenta que se realicen base de datos por eso
se encargan tareas del día a inestabilidad pérdidas o es recomendable dar
de la día, como por degradación de solución a esta
administració ejemplo help desk la confiabilidad. vulnerabilidad.
n. Amenazas: para
Amenaza 2: la amenaza 1, se
ataque de hace una revisión
entidad periódica del
externa a la estado de cada
organización, uno de los
produciendo servicios de red.
fallas en el Para la amenaza 2
hardware y se protege con
software antivirus de alta
calidad, se emplea
seguridad en la
red.
Centro de datos Amenaza 1: Activo: Control USB con virus Al usar la USB Se puede decir que
Robo de de acceso a través malicioso transmite el por medio de este
información de llaves, virus el cual se dispositivo se puede
para el aspersores y racks propaga por toda afectar toda la
procesamient desbloqueados la organización organización ya que
o de los datos Amenazas: para haciendo que se ocurre una parada en
Amenaza 2: la amenaza 1, se manifieste La el servicio y toda la
 Datos protege los datos pérdida o línea de producción
provenientes con software degradación de interrumpiendo sus
de fuentes no especializados, la confiabilidad. actividades
confiables que permitan la
seguridad de la
información
relevante, para la
amenaza 2
encriptar o
asegurar las
cuentas de
usuario, para
evitar el robo de
información
Sistemas de Amenaza 1: Activo: problemas de Una de las Esta inestabilidad
recursos Incumplimie subcontratado con inestabilidad consecuencias suele pasar en el área
humanos nto en la un proveedor eléctrica en su red que se pueden de almacenamiento,
(nómina, control disponibilida externo, contiene producir es la lo cual se presenta
de horario) d del solo un control pérdida o por la falta de
personal para este activo degradación de comunicación de los
Amenaza 2: Amenazas: Para la operadores.
Falsificación la amenaza 1, disponibilidad.
de derechos. organizar de
forma adecuada y
controlada a todo
el personal para
tener un mejor
control en el área
que se está
trabajando,
cumpliendo con
los horarios
establecidos por
la organización.
Para la amenaza
2, prever de
forma anticipada
esta acción, para
que en un futuro
no tenga
consecuencias
graves, estar
siempre al tanto
de cada actividad
que realiza un
empleado en el
sector
 correspondiente.
seguridad Amenaza 1: Activo: sistema los cables que Al tener esta Ya que se muestra
Patrimonial Acceso de de lector de carnet entran en el vulnerabilidad poca seguridad por
personal no para acceder a las edificio por parte se presenta la lo cual hace que
autorizado a áreas del operador están pérdida o ocurra esta
las áreas controladas/restri cortados y parte degradación de vulnerabilidad,
restringidas ngidas, de estos cables la disponibilidad afectando a la
Amenaza 2: verificación de fueron robados organización y que
Hurto de datos del personal no pueda tener
medios o que vaya a acceso a la internet.
documentos ingresar a estas
en áreas áreas, lector de
especificas huella dactilar
Amenazas: para
la amenaza 1:
documentar los
datos de las
personas que
ingresan a
determinada área,
vigilar a través de
cámaras de
seguridad.
en la amenaza 2:
asegurar cada uno
de los
documentos estén
resguardados en
bases de datos y
servidores
seguros, tener
copias de
seguridad en
sitios aún más
seguros para velar
por la integridad
de la información.

sitio e- Amenaza 1: No existe control Mal manejo del Al presentarse Al tener un

commerce de inserción de existente para este administrador. esta administrador que se
KWX programa activo vulnerabilidad la pase jugando en el
maligno o Amenazas: en la se da la pérdida ámbito laboral lo
virus de un amenaza 1: clientes en la cual va contra las
cliente al resguardar las empresa, por políticas de la
servidor de la bases de datos y retraso en los empresa, esto hace
 organización. software con procesos de que la empresa no
Amenaza 2: sistemas de alta comunicación avance de manera
Manipulación seguridad, correcta
con hardware encriptar las redes
de conexión del
servidor al
cliente. Para la
amenaza 2: solo
el personal
autorizado debe
tener acceso a los
equipos de
cómputo.
Sistemas de Amenaza 1: Activo: trabajan Mantenimiento de Retraso en los El descuido de los
producción Falta de de manera equipos diferentes equipos afecta a la
compromiso conjunta e procesos de las empresa a mediano
de un área integrada, ares en la plazo
específica en contiene solo un empresa
la control para este
organización activo.
Amenaza 2: Amenazas: para
Divulgación la amenaza 1:
de procesos desde un
de un área de principio,
la aclararle a los
organización trabajadores las
a terceros. obligaciones que
deben cumplir
dentro de su área
específica,
proporcionar
incentivos para
que los
trabajadores
puedan realizar
sus labores con
más esmero. Para
la amenaza 2:
proteger la
información
dentro de cada
área específica de
forma segura,
vigilando de
forma constante a
cada uno de sus
trabajadores.
Sistemas de Amenaza 1: Activo: Registros enredo de cables Desorden en el enredo de cables
acceso Falla en el de las puertas y puesto de perturba el buen
sistema salas de trabajo y se funcionamiento y la
Amenaza 2: seguridad, puede producir agilidad en la
Destrucción presencia del un corto circuito resolución de
del equipo reconocimiento por la falta de problemas a través
facial de la organización. de los equipos de
persona que vaya cómputo.
a ingresar,
lectores
autónomos.
Amenazas: para
la amenaza 1:
verificar
constantemente
que el sistema
este funcionando
de forma correcta,
contratar a
personas
especializadas.
Para la amenaza
2: brindar
recomendaciones
que deben seguir
las personas que
utilicen el equipo,
para que lo
empleen de forma
correcta.
Procesos Amenaza 1: Activo: se interrupción en la Esta causa la El mal
financieros Espionaje emplean sistemas conexión de las pérdida o mantenimiento del
remoto y aplicaciones máquinas de la degradación de servidor de
Amenaza 2: para garantizar la organización con la disponibilidad impresora afecta al
Explotación seguridad, el servidor de contable y de equipo de
económica asegurar la impresión recursos contabilidad de la
confianza con los primarios para la organización y el de
proveedores, empresa, debido recursos humanos, al
llevar un registro a la falta de tener esta
y control de los recursos vulnerabilidad se les
números y monetarios hace difícil emitirla a
cuentas de planes sistema de nómina.
de cuentas
presentadas
Amenazas: en la
amenaza 1:
monitorear de
 forma permanente
las redes y
servidores,
encargar a una
persona
especializada para
que siempre este
atenta a los
movimientos que
se hacen en la
organización, de
forma externa e
interna. En la
amenaza 2: llevar
de forma
equilibrada cada
uno de los
procesos
económicos de la
empresa, lograr
un equilibrio
entre la empresa,
sus proveedores y
el mercado.
intranet Amenaza 1: Activo: No existe Se ha producido La cual hace se En esta área es
Robo de control existente inestabilidad en la expongan la importante tener
servidores para este activo conexión de red. pérdida o controles externos en
donde se Amenazas: para degradación de la empresa,
almacena la la amenaza 1: la confiabilidad. resguardando los
información. seguridad de datos que circulan
Amenaza 2: forma permanente por la red.
Recuperación y confiable,
de medios asegurar la red
desechados o con equipos de
reciclados. alto calibre. Para
la amenaza 2:
verificar que se
haya eliminado de
forma permanente
la información
importante,
guardar esta
información, en
espacios de
confianza y que
estén protegidos.
Central privada Amenaza 1: Activo: trabajo de Contraseñas Respecto a esta Esto puede provocar
automática Desvinculaci levantamiento de expuestas vulnerabilidad, robo de datos
ón de la situación actual se puede decir importantes para la
fábricas de la organización que se basa en la organización
importantes en términos de pérdida de
Amenaza 2: seguridad de la integridad de la
Uso de información, la información de
software comprensión de la empresa.
falso o los procesos,
copiado análisis de riesgo,
propuestas de
mejoría.
Amenazas: para
la amenaza 1:
garantizar desde
un principio la
estadía de las
fábricas. Firmar
con un contrato l
vinculación
permanente de las
fábricas o
sucursales. Para la
amenaza 2:
verificar de forma
inmediata el
estado de los
programas, datos
y archivos de los
equipos de
cómputo, tener
siempre los datos
o información de
la empresa a la
cual se le hace el
pedido de los
equipos de
cómputo.
portería/Caseta Amenaza 1: Activo: dos Dispositivos Esta afecta a la La mala ubicación
de vigilancia Robo del puertas para el materiales imagen y de los equipos de
equipo de control de acceso ubicados en reputación de la vigilancia, al lado
vigilancia (sin operación), 5 lugares organización. del depósito de
Amenaza 2: guardias inapropiados material inflamable,
Error en el contratados de la puede ocasionar que
uso organización, estos materiales
lecturas de tengan perdidas en la
reconocimiento organización.
 facial.
Amenazas:
asegurar los
equipos en un
lugar apto para
evitar el robo,
optar por la
obtención
acciones
preventivas,
como: cámaras de
alta calidad,
cercas
electrificadas,
entre otros.
soporte del Amenaza 1: Activo: Falta de seguridad Al no estar Al no tener una
ambiente del Mal uso del Suministrar un contra las fuerzas preparados ante buena seguridad en
comercio sistema de soporte seguro y de la naturaleza esta la infraestructura, la
electrónico, soporte a confiable para el vulnerabilidad estructura de la
servidor de usuarios cliente, ofrecer se presentaría organización puede
correo Amenaza 2: servidores de alta una pérdida salir afectada por
electrónico Ingreso de calidad para la financiera por vientos y lluvias
Windows datos falsos o buena reproceso. fuertes.
Exchange corruptos comunicación con
el cliente.
Amenazas: en la
amenaza 1:
ofrecer charlas a
los usuarios para
el buen uso de la
plataforma. Para
la amenaza 2:
verificación de
los datos que se
vayan a ingresar
en la plataforma,
llevar un control
constante de las
actividades que
realicen los
usuarios.
Redes Amenaza 1: Activo: Mal Fallo en los Al presentar esta
Windows, Linux Código Comprobar de mantenimiento de equipos de vulnerabilidad puede
malicioso forma constante las salas cómputo que provocar algunos
como virus, el buen pertenecen a la leves daños en los
troyano funcionamiento sala especifica. equipos.
 Amenaza 2: de los equipos de
Interceptació cómputo con
n estos sistemas
operativos con
este tipo
Amenazas: para
la amenaza1:
contar con
software y
hardware aptos
para recibir
antivirus potentes,
monitorear las
actividades
internas dentro
del equipo de
cómputo y en la
red. En la
amenaza 2:
proteger los datos
de información de
forma segura, sin
dejar rastro de
actividad alguna,
mantener el
sistema operativo
y el navegador
actualizados.
creación y Amenaza 1: Activo Asigna Falta de seguridad Ya que no se Al no tener una
eliminación de Procesamient dos profesionales en el área de cuenta con mejor seguridad se
cuentas o ilegal de para estas trabajo mucha pueden ver visitantes
datos funciones, seguridad se tomándole fotos o
Amenaza 2: subordina al puede ver la tomando algunos
Ingreso de director pérdida o proyectos o ideas de
datos falsos administrativo degradación de la empresa.
financiero. la integridad
Amenazas: en la
amenaza 1:
asignar a una
persona
especializada para
vigilar el paso de
datos de forma
interna y externa.
Para la amenaza
2: encriptar los
datos de usuario y
 contraseñas de
forma segura.
Sistema de Amenaza 1: Activo: garantizar Falta de cuidado Robo de Realizar el descanso
circuito cerrado Falla en los equipos de alta con los información fuera de la empresa y
de tv equipos de calidad, dispositivos en importante en al que llevar
computo tecnologías horas de descanso los equipos. alimentos y bebidas,
Amenaza 2: adaptadas para la puede provocar
Uso no seguridad. accidentes que
autorizado Amenazas: en la perjudiquen a los
del equipo amenaza 1: equipos.
asegurar que los
equipos estén
aptos para
trabajar de forma
segura y estable,
realizando un
análisis de estos
de forma
temporal. Para la
amenaza 2:
colocar de forma
segura el usuario
y contraseña del
equipo para evitar
el robo de
información,
evitar dejar el
equipo de
computo en
espacios donde es
vulnerable su
utilización.
Roteadores para Amenaza 1: Activo: Contiene Incumplimiento Presenta la Lo que con lleva al
acceso a internet Sabotaje en una cantidad en las horas de pérdida o mal desarrollo en la
la calidad de considerable de trabajo degradación de conectividad de la
los routers routers (3) por si la integridad en empresa y da una
Amenaza 2: en algún la información imagen negativa para
Perturbación momento falla que se produce a los clientes.
debido a la uno, están los través de la red
radiación otros para su
reemplazo, hay
uno en cada sed.
Amenazas: para
la amenaza 1:
tener a una
persona
 encargada de la
verificación de
los productos. En
la amenaza 2:
determinar el
espacio correcto
donde se
instalarán los
routers.
computadoras Amenaza 1: Activo: Contiene Visible los cables Trae La pérdida Se encuentran cables
portátiles Inserción de una cantidad de los equipos o degradación a la vista del público
virus considerable de de la lo cual es una baja
Amenaza 2: portátiles (10) autenticidad de actividad que puede
Fuego para la dirección, la organización tener una empresa ya
están totalmente que muestra una
liberados para su mala organización
funcionamiento con respecto a ella.
Amenazas: en la
amenaza 1:
proteger de forma
segura el equipo
de cómputo con
antivirus
especializados.
En la amenaza 2:
alejar a los
equipos de
cómputo donde
son más
propensos a
dañarse por efecto
del fuego, tener
en la organización
mecanismos de
protección contra
incendios.
Servidor de Amenaza 1: Activo: Sistema Poca Al no estar Los técnicos de TIC
correo/antivirus Defecto de operativo libre responsabilidad comprometidos (contratistas), deben
software (Linux Debian), por los con la empresa de estar disponibles
Amenaza 2: contiene solo un contratistas se muestra la las 24/7, y al no estar
Falsificación control para este pérdida o presentes, se opta
de derechos activo. degradación de por buscar nuevos
Amenazas: en la la contratistas.
primera amenaza: confidencialidad
contar con
herramientas
 inteligentes que
ayuden a
identificar este
defecto, evaluar
en primera
instancia a los
proveedores que
proporcionan el
software. Para la
segunda amenaza,
se emplean
mecanismos y
métodos para
evitar la piratería,
asegurar los
derechos que
tienen los
trabajadores y los
clientes en la
empresa.
punto de acceso Amenaza 1: Activo: la Interrupción en la Retraso en El ambiente de
inalámbrico Interferencia organización conectividad de proceso trabajo debe tener un
Amenaza 2: cuenta con un varios importantes para buen aseo para evitar
Radiación proveedor global computadores la organización el daño en los
electromagné para la solución dispositivos
tica de redes y
comunicaciones,
contiene solo un
control para este
activo.
Amenazas: para
la amenaza 1:
proteger los
cables de red,
asegurar el
sistema
electrónico.
Amenaza 2:
asegurar de forma
adecuada los
lugares de
instalación del
punto inalámbrico
para evitar
interferencias.
Salas de Amenaza 1: Activo: la El sistema de Robo de cables Al no contar con un
 reuniones con fallos en los organización vigilancia y la que sistema de vigilancia
conexión equipos de cuenta con un puerta de proporcionan la permite, se pueden
video, de buen número de seguridad no conexión a perder muchos
conexión salas de reuniones funcionan hace 6 internet. implementos
Amenaza 2: (7), si en alguna meses necesarios para la
Hurto de se presenta una conectividad.
equipo falla, se puede
acceder a otra en
el instante.
Contiene solo un
control para este
activo.
Amenazas: en la
amenaza 1:
asegurar que los
equipos estén
aptos para
cualquier tipo de
actividad, revisar
la calidad de estos
con pruebas
anteriores. Para la
amenaza 2: evitar
el ingreso de
personas
desconocidas en
áreas restringidas.

Guía de actividades Nro. 5

Tabla 19. Evaluación cualitativa de los activos

Activos Amenaza Control Vulnerabilida Consecuencias Relevancia Justificación/

existente des Evidencias
encontradas
Administración Amenaza 1: Activo: Asigna La conexión Produce Importante Con este activo
de la red Falla en los dos entre dos áreas problemas en la se da un buen
servicios de profesionales en de la misma transferencia de manejo de la
la red, en los funciones organización datos haciendo conectividad
equipos que multitarea, que presenta que se realicen en la empresa
se encargan se turnan en las inestabilidad pérdida o ayudando a su
de la tareas del día a degradación de imagen.
 administració día, como por la confiabilidad.
n. ejemplo help
Amenaza 2: desk
ataque de Amenazas: para
entidad la amenaza 1, se
externa a la hace una
organización, revisión
produciendo periódica del
fallas en el estado de cada
hardware y uno de los
software servicios de red.
Para la amenaza
2 se protege con
antivirus de alta
calidad, se
emplea
seguridad en la
red.
Centro de datos Amenaza 1: Activo: Control USB con virus Al usar esta Importante Se puede
Robo de de acceso a malicioso transmite el asegurar una
información través de llaves, virus el cual se seguridad
para el aspersores y propaga por confiable y sin
procesamient racks toda la pérdida de
o de los datos desbloqueados organización llaves y demás.
Amenaza 2: Amenazas: para haciendo que se
Datos la amenaza 1, se manifieste La
provenientes protege los pérdida o
de fuentes no datos con degradación de
confiables software la confiabilidad.
especializados,
que permitan la
seguridad de la
información
relevante, para
la amenaza 2
encriptar o
asegurar las
cuentas de
usuario, para
evitar el robo de
información
Sistemas de Amenaza 1: Activo: problemas de Una de las Significante Este activo se
recursos Incumplimie subcontratado inestabilidad consecuencias considera
humanos nto en la con un eléctrica en su que pueden significante
(nómina, control disponibilida proveedor red producir La porque las
de horario) d del externo, pérdida o actividades que
 personal contiene solo un degradación de aquí ocurren
Amenaza 2: control para este la son relevantes
Falsificación activo disponibilidad. para la
de derechos. Amenazas: Para empresa, para
la amenaza 1, que pueda
organizar de seguir
forma adecuada creciendo a
y controlada a nivel del
todo el personal mercado.
para tener un
mejor control en
el área que se
está trabajando,
cumpliendo con
los horarios
establecidos por
la organización.
Para la amenaza
2, prever de
forma anticipada
esta acción, para
que en un futuro
no tenga
consecuencias
graves, estar
siempre al tanto
de cada
actividad que
realiza un
empleado en el
sector
correspondiente.
seguridad Amenaza 1: Activo: sistema los cables que Al tener esta Importante Ya que con
Patrimonial Acceso de de lector de entran en el vulnerabilidad este se puede
personal no carnet para edificio por se presenta a tener control
autorizado a acceder a las parte del pérdida o de los
las áreas áreas operador están degradación de trabajadores de
restringidas controladas/restr cortados y la disponibilidad la empresa y
Amenaza 2: ingidas, parte de estos de quienes
Hurto de verificación de cables fueron visitan.
medios o datos del robados
documentos personal que
en áreas vaya a ingresar a
especificas estas áreas,
lector de huella
dactilar
Amenazas: para
 la amenaza 1:
documentar los
datos de las
personas que
ingresan a
determinada
área, vigilar a
través de
cámaras de
seguridad.
en la amenaza 2:
asegurar cada
uno de los
documentos
estén
resguardados en
bases de datos y
servidores
seguros, tener
copias de
seguridad en
sitios aún más
seguros para
velar por la
integridad de la
información.

sitio e- Amenaza 1: No existe Mal manejo Al presentarse Significante Es significante

commerce de inserción de control existente del esta se da la en este activo
KWX programa para este activo administrador. pérdida porque las
maligno o Amenazas: en financiera por amenazas que
virus de un la amenaza 1: reproceso se pueden
cliente al resguardar las producir, no
servidor de la bases de datos y afectan de
organización. software con manera
Amenaza 2: sistemas de alta importante a la
Manipulación seguridad, empresa
con hardware encriptar las
redes de
conexión del
servidor al
cliente. Para la
amenaza 2: solo
el personal
autorizado debe
tener acceso a
 los equipos de
cómputo.
Sistemas de Amenaza 1: Activo: trabajan Mantenimiento Se pueden Importante Este activo se
producción Falta de de manera de equipos presentar fallas considera
compromiso conjunta e al realizar el importante
de un área integrada, mantenimiento porque si
específica en contiene solo un que pueden fallan algunos
la control para este afectar equipos en esa
organización activo. significativamen área, se pierde
Amenaza 2: Amenazas: para te a los equipos la integridad
Divulgación la amenaza 1: de la empresa de los procesos
de procesos desde un de la empresa.
de un área de principio,
la aclararle a los
organización trabajadores las
a terceros. obligaciones que
deben cumplir
dentro de su
área específica,
proporcionar
incentivos para
que los
trabajadores
puedan realizar
sus labores con
más esmero.
Para la amenaza
2: proteger la
información
dentro de cada
área específica
de forma segura,
vigilando de
forma constante
a cada uno de
sus trabajadores.
Sistemas de Amenaza 1: Activo: enredo de Desorden en el Importante Puesto que se
acceso Falla en el Registros de las cables puesto de identifica el
sistema puertas y salas trabajo y se ingreso de
Amenaza 2: de seguridad, puede producir personal a la
Destrucción presencia del un corto circuito organización.
del equipo reconocimiento por la falta de
facial de la organización.
persona que
vaya a ingresar,
lectores
 autónomos.
Amenazas: para
la amenaza 1:
verificar
constantemente
que el sistema
esté
funcionando de
forma correcta,
contratar a
personas
especializadas.
Para la amenaza
2: brindar
recomendacione
s que deben
seguir las
personas que
utilicen el
equipo, para que
lo empleen de
forma correcta.
Procesos Amenaza 1: Activo: se interrupción en Esta causa la Importante Ya que permite
financieros Espionaje emplean la conexión de pérdida o que la
remoto sistemas y las máquinas degradación de organización
Amenaza 2: aplicaciones de la la disponibilidad presente un
Explotación para garantizar organización progreso de
económica la seguridad, con el servidor manera
asegurar la de impresión correcta lo cual
confianza con ayuda a dar
los proveedores, una buena
llevar un imagen de ella.
registro y
control de los
números y
cuentas de
planes de
cuentas
presentadas
Amenazas: en
la amenaza 1:
monitorear de
forma
permanente las
redes y
servidores,
encargar a una
 persona
especializada
para que
siempre este
atenta a los
movimientos
que se hacen en
la organización,
de forma externa
e interna. En la
amenaza 2:
llevar de forma
equilibrada cada
uno de los
procesos
económicos de
la empresa,
lograr un
equilibrio entre
la empresa, sus
proveedores y el
mercado.
intranet Amenaza 1: Activo: No Se ha La cual hace se Importante Es de
Robo de existe control producido expongan la importancia en
servidores existente para inestabilidad pérdida o la organización
donde se este activo en la conexión degradación de ya que ayuda a
almacena la Amenazas: para de red. la confiabilidad. la mejor
información. la amenaza 1: comunicación
Amenaza 2: seguridad de y trasferencia
Recuperación forma de datos entre
de medios permanente y dos áreas de la
desechados o confiable, empresa o más.
reciclados. asegurar la red
con equipos de
alto calibre. Para
la amenaza 2:
verificar que se
haya eliminado
de forma
permanente la
información
importante,
guardar esta
información, en
espacios de
confianza y que
estén
 protegidos.
Central privada Amenaza 1: Activo: trabajo Contraseñas Respecto a esta Importante Ya que se
automática Desvinculaci de expuestas se puede decir garantiza la
ón de levantamiento se basa en la comunicación
fábricas de la situación pérdida o diversas
importantes actual de la degradación de sucursales o
Amenaza 2: organización en la confiabilidad empresas que
Uso de términos de sirven de
software seguridad de la mucha ayuda a
falso o información, la la
copiado comprensión de organización.
los procesos,
análisis de
riesgo,
propuestas de
mejoría.
Amenazas: para
la amenaza 1:
garantizar desde
un principio la
estadía de las
fábricas. Firmar
con un contrato l
vinculación
permanente de
las fábricas o
sucursales. Para
la amenaza 2:
verificar de
forma inmediata
el estado de los
programas,
datos y archivos
de los equipos
de cómputo,
tener siempre
los datos o
información de
la empresa a la
cual se le hace el
pedido de los
equipos de
cómputo.
portería/Caseta Amenaza 1: Activo: dos Dispositivos Esta afecta a la Significante Ya que una
de vigilancia Robo del puertas para el materiales imagen y organización
equipo de control de ubicados en reputación de la debe tener una
 vigilancia acceso (sin lugares organización. seguridad
Amenaza 2: operación), 5 inapropiados estable y
Error en el guardias permanente
uso contratados de la para evitar
organización, pérdidas o
lecturas de algún
reconocimiento accidente
facial.
Amenazas:
asegurar los
equipos en un
lugar apto para
evitar el robo,
optar por la
obtención
acciones
preventivas,
como: cámaras
de alta calidad,
cercas
electrificadas,
entre otros.
soporte del Amenaza 1: Activo: Falta de Al no estar Importante Puesto que se
ambiente del Mal uso del Suministrar un seguridad preparados a debe tener
comercio sistema de soporte seguro y contra las esta siempre
electrónico, soporte a confiable para el fuerzas de la vulnerabilidad presente los
servidor de usuarios cliente, ofrecer naturaleza se presentaría suministros y
correo Amenaza 2: servidores de una pérdida ofrecer un
electrónico Ingreso de alta calidad para financiera por buen producto
Windows datos falsos o la buena reproceso. al cliente.
Exchange corruptos comunicación
con el cliente.
Amenazas: en
la amenaza 1:
ofrecer charlas a
los usuarios para
el buen uso de la
plataforma. Para
la amenaza 2:
verificación de
los datos que se
vayan a ingresar
en la plataforma,
llevar un control
constante de las
actividades que
realicen los
 usuarios.
Redes Windows, Amenaza 1: Activo: Mal Fallo en un Importante Este activo
Linux Código Comprobar de mantenimiento futuro de los resulta muy
malicioso forma constante de las salas de equipos importante
como virus, el buen cómputo para la
troyano funcionamiento organización
Amenaza 2: de los equipos ya que son los
Interceptació de cómputo con sistemas
n estos sistemas operativos que
operativos con se
este tipo proporcionan a
Amenazas: para los equipos
la amenaza1: para su
contar con correcto
software y funcionamient
hardware aptos o.
para recibir
antivirus
potentes,
monitorear las
actividades
internas dentro
del equipo de
cómputo y en la
red. En la
amenaza 2:
proteger los
datos de
información de
forma segura,
sin dejar rastro
de actividad
alguna,
mantener el
sistema
operativo y el
navegador
actualizados.
creación y Amenaza 1: Activo Asigna Falta de Ya que no se Significante Debe ser de
eliminación de Procesamient dos seguridad de cuenta con esta relevancia
cuentas o ilegal de profesionales en área de mucha ya que se tiene
datos para estas trabajo seguridad se en cuenta la
Amenaza 2: funciones, puede ver la seguridad de la
Ingreso de subordina al pérdida o información de
datos falsos director degradación de los
administrativo la integridad de trabajadores de
 financiero. la información la organización
Amenazas: en de los usuarios y de los
la amenaza 1: clientes.
asignar a una
persona
especializada
para vigilar el
paso de datos de
forma interna y
externa. Para la
amenaza 2:
encriptar los
datos de usuario
y contraseñas de
forma segura.
Sistema de Amenaza 1: Activo: Falta de Falla en los Significante Para tener un
circuito cerrado Falla en los garantizar cuidado con equipos de buen
de tv equipos de equipos de alta los cómputo funcionamient
computo calidad, dispositivos en o y tener una
Amenaza 2: tecnologías horas de mejor calidad
Uso no adaptadas para descanso en el trabajo y
autorizado la seguridad. equipo se
del equipo Amenazas: en presenta esta
la amenaza 1: relevancia.
asegurar que los
equipos estén
aptos para
trabajar de
forma segura y
estable,
realizando un
análisis de estos
de forma
temporal. Para
la amenaza 2:
colocar de forma
segura el usuario
y contraseña del
equipo para
evitar el robo de
información,
evitar dejar el
equipo de
cómputo en
espacios donde
es vulnerable su
utilización.
Roteadores para Amenaza 1: Activo: Instalación de Presenta la Baja Puede
acceso a internet Sabotaje en Contiene una equipos de pérdida o presentar esta
la calidad de cantidad mala calidad degradación de relevancia ya
los routers considerable de la integridad que la
Amenaza 2: routers (3) por si probabilidad
Perturbación en algún de alguna falla
debido a la momento falla por el routers
radiación uno, están los es baja
otros para su
reemplazo, hay
uno en cada sed.
Amenazas: para
la amenaza 1:
tener a una
persona
encargada de la
verificación de
los productos.
En la amenaza
2: determinar el
espacio correcto
donde se
instalarán los
routers.
computadoras Amenaza 1: Activo: Visible los Trae La pérdida Significante Se presenta
portátiles Inserción de Contiene una cables de los o degradación esta ya que el
virus cantidad equipos de la uso de diversos
Amenaza 2: considerable de autenticidad de portátiles en la
Fuego portátiles (10) organización empresa es de
para la gran
dirección, están importancia y
totalmente al estar a la
liberados para su disposición es
funcionamiento de gran ayuda.
Amenazas: en
la amenaza 1:
proteger de
forma segura el
equipo de
cómputo con
antivirus
especializados.
En la amenaza
2: alejar a los
equipos de
cómputo donde
son más
 propensos a
dañarse por
efecto del fuego,
tener en la
organización
mecanismos de
protección
contra
incendios.
Servidor de Amenaza 1: Activo: Sistema Poca Al no estar Significante Este activo es
correo/antivirus Defecto de operativo libre responsabilida comprometidos significante
software (Linux Debian), d por los con la empresa porque su uso
Amenaza 2: contiene solo un contratistas se muestra la significa
Falsificación control para este pérdida o mucho para la
de derechos activo. degradación de empresa, ya
Amenazas: en la que evita la
la primera confidencialidad inserción de
amenaza: contar virus y
con troyanos en los
herramientas computadores
inteligentes que de la empresa
ayuden a
identificar este
defecto, evaluar
en primera
instancia a los
proveedores que
proporcionan el
software. Para la
segunda
amenaza, se
emplean
mecanismos y
métodos para
evitar la
piratería,
asegurar los
derechos que
tienen los
trabajadores y
los clientes en la
empresa.
punto de acceso Amenaza 1: Activo: la La limpieza de Degradación de importante Se identifica
inalámbrico Interferencia organización las salas donde los dispositivos con esta ya que
Amenaza 2: cuenta con un se encuentra el o falla en su la organización
Radiación proveedor punto funcionamiento debe tener
 electromagné global para la inalámbrico siempre
tica solución de presente estos
redes y puntos de
comunicaciones, acceso para las
contiene solo un comunicacione
control para este s entre diversas
activo. salas y los
Amenazas: para clientes.
la amenaza 1:
proteger los
cables de red,
asegurar el
sistema
electrónico.
Amenaza 2:
asegurar de
forma adecuada
los lugares de
instalación del
punto
inalámbrico para
evitar
interferencias.
Salas de Amenaza 1: Activo: la El sistema de Falta de Importante Se representa
reuniones con fallos en los organización vigilancia y la seguridad en los como una
conexión equipos de cuenta con un puerta de espacios donde relevancia
video, de buen número de seguridad no se realizan importante ya
conexión salas de funcionan hace actividades con que el número
Amenaza 2: reuniones (7), si 6 meses conexión a considerado de
Hurto de en alguna se internet salas con
equipo presenta una conexión son
falla, se puede importantes
acceder a otra en para llevar a
el instante. cabo
Contiene solo actividades
un control para importantes
este activo.
Amenazas: en
la amenaza 1:
asegurar que los
equipos estén
aptos para
cualquier tipo de
actividad,
revisar la
calidad de estos
con pruebas
 anteriores. Para
la amenaza 2:
evitar el ingreso
de personas
desconocidas en
áreas
restringidas.

Tabla 20. Evaluación cualitativa de la severidad

Activos Amenaza Control Vulnerabilidades Consecuencias Relevancia Justificación

existente encontradas /Evidencias
Administración Amenaza 1: Activo: La conexión entre Produce Importante Con esta
de la red Falla en los Asigna dos dos áreas de la problemas en la falta, la
servicios de profesionales misma transferencia de organización
la red, en los en funciones organización datos haciendo no podrá
equipos que multitarea, presenta que se realicen guardar la
se encargan que se turnan inestabilidad pérdida o información
de la en las tareas degradación de en la base de
administració del día a día, la confiabilidad. datos por eso
n. como por es
Amenaza 2: ejemplo help recomendable
ataque de desk dar solución
entidad Amenazas: a esta
externa a la para la vulnerabilida
organización, amenaza 1, se d.
produciendo hace una
fallas en el revisión
hardware y periódica del
software estado de
cada uno de
los servicios
de red. Para
la amenaza 2
se protege
con antivirus
de alta
calidad, se
 emplea
seguridad en
la red.
Centro de datos Amenaza 1: Activo: USB con virus Al usar esta Importante Se puede
Robo de Control de malicioso transmite el decir que por
información acceso a virus el cual se medio de este
para el través de propaga por dispositivo se
procesamient llaves, toda la puede afectar
o de los datos aspersores y organización toda la
Amenaza 2: racks haciendo que se organización
Datos desbloqueado manifieste La ya que ocurre
provenientes s pérdida o una parada en
de fuentes no Amenazas: degradación de el servicio y
confiables para la la confiabilidad. toda la línea
amenaza 1, se de
protege los producción
datos con interrumpien
software do sus
especializado actividades
s, que
permitan la
seguridad de
la
información
relevante,
para la
amenaza 2
encriptar o
asegurar las
cuentas de
usuario, para
evitar el robo
de
información
Sistemas de Amenaza 1: Activo: problemas de Una de las Significante Esta
recursos Incumplimie subcontratad inestabilidad consecuencias inestabilidad
humanos nto en la o con un eléctrica en su red que pueden suele pasar en
(nómina, control disponibilida proveedor producir La el área de
de horario) d del externo, pérdida o almacenamie
personal contiene solo degradación de nto, lo cual se
Amenaza 2: un control la presenta por
Falsificación para este disponibilidad. la falta de
de derechos. activo comunicación
Amenazas: de los
Para la operadores.
amenaza 1,
 organizar de
forma
adecuada y
controlada a
todo el
personal para
tener un
mejor control
en el área que
se está
trabajando,
cumpliendo
con los
horarios
establecidos
por la
organización.
Para la
amenaza 2,
prever de
forma
anticipada
esta acción,
para que en
un futuro no
tenga
consecuencia
s graves,
estar siempre
al tanto de
cada
actividad que
realiza un
empleado en
el sector
correspondie
nte.
seguridad Amenaza 1: Activo: los cables que Al tener esta Importante Ya que se
Patrimonial Acceso de sistema de entran en el vulnerabilidad muestra poca
personal no lector de edificio por parte se presenta a seguridad por
autorizado a carnet para del operador están pérdida o lo cual hace
las áreas acceder a las cortados y parte degradación de que ocurra
restringidas áreas de estos cables la disponibilidad esta
Amenaza 2: controladas/r fueron robados vulnerabilida
Hurto de estringidas, d afectado a
medios o verificación la
documentos de datos del organización
 en áreas personal que y que no
especificas vaya a pueda tener
ingresar a acceso a la
estas áreas, internet.
lector de
huella
dactilar
Amenazas:
para la
amenaza 1:
documentar
los datos de
las personas
que ingresan
a
determinada
área, vigilar a
través de
cámaras de
seguridad.
en la
amenaza 2:
asegurar cada
uno de los
documentos
estén
resguardados
en bases de
datos y
servidores
seguros, tener
copias de
seguridad en
sitios aun
más seguros
para velar por
la integridad
de la
información.

sitio e- Amenaza 1: No existe Mal manejo del Al presentarse Significante Al tener un

commerce de inserción de control administrador. esta se da la administrador
KWX programa existente para pérdida que se la pase
maligno o este activo financiera por jugando en el
virus de un Amenazas: reproceso ámbito
cliente al en la laboral lo
 servidor de la amenaza 1: cual va contra
organización. resguardar las las políticas
Amenaza 2: bases de de la
Manipulación datos y empresa, esto
con hardware software con hace que la
sistemas de empresa no
alta avance de
seguridad, manera
encriptar las correcta
redes de
conexión del
servidor al
cliente. Para
la amenaza 2:
solo el
personal
autorizado
debe tener
acceso a los
equipos de
cómputo.
Sistemas de Amenaza 1: Activo: Mantenimiento de Se pueden Importante El descuido
producción Falta de trabajan de equipos presentar fallas de los
compromiso manera al realizar el equipos
de un área conjunta e mantenimiento afecta a la
específica en integrada, que pueden empresa a
la contiene solo afectar media plazo
organización un control significativamen
Amenaza 2: para este te a los equipos
Divulgación activo. de la empresa
de procesos Amenazas:
de un área de para la
la amenaza 1:
organización desde un
a terceros. principio,
aclararle a los
trabajadores
las
obligaciones
que deben
cumplir
dentro de su
área
específica,
proporcionar
incentivos
para que los
 trabajadores
puedan
realizar sus
labores con
más esmero.
Para la
amenaza 2:
proteger la
información
dentro de
cada área
específica de
forma segura,
vigilando de
forma
constante a
cada uno de
sus
trabajadores.
Sistemas de Amenaza 1: Activo: enredo de cables Desorden en el Importante enredo de
acceso Falla en el Registros de puesto de cables
sistema las puertas y trabajo y se perturba el
Amenaza 2: salas de puede producir buen
Destrucción seguridad, un corto circuito funcionamien
del equipo presencia del por la falta de to y la
reconocimien organización. agilidad en la
to facial de la resolución de
persona que problemas
vaya a
ingresar,
lectores
autónomos.
Amenazas:
para la
amenaza 1:
verificar
constantemen
te que el
sistema esté
funcionando
de forma
correcta,
contratar a
personas
especializada
s. Para la
amenaza 2:
 brindar
recomendaci
ones que
deben seguir
las personas
que utilicen
el equipo,
para que lo
empleen de
forma
correcta.
Procesos Amenaza 1: Activo: se interrupción en la Esta causa la Importante El mal
financieros Espionaje emplean conexión de las pérdida o mantenimient
remoto sistemas y máquinas de la degradación de o del servidor
Amenaza 2: aplicaciones organización con la disponibilidad de impresora
Explotación para el servidor de afecta al
económica garantizar la impresión equipo de
seguridad, contabilidad
asegurar la de la
confianza con organización
los y el de
proveedores, recursos
llevar un humanos que
registro y al tener esta
control de los vulnerabilida
números y d se les hace
cuentas de difícil
planes de emitirla
cuentas nómina.
presentadas
Amenazas:
en la
amenaza 1:
monitorear de
forma
permanente
las redes y
servidores,
encargar a
una persona
especializada
para que
siempre este
atenta a los
movimientos
que se hacen
en la
 organización,
de forma
externa e
interna. En la
amenaza 2:
llevar de
forma
equilibrada
cada uno de
los procesos
económicos
de la
empresa,
lograr un
equilibrio
entre la
empresa, sus
proveedores
y el mercado.
intranet Amenaza 1: Activo: No Se ha producido La cual hace se Importante En esta área
Robo de existe control inestabilidad en la expongan la es importante
servidores existente para conexión de red. pérdida o tener
donde se este activo degradación de controles
almacena la Amenazas: la confiabilidad. externa en la
información. para la empresa,
Amenaza 2: amenaza 1: resguardando
Recuperación seguridad de los datos que
de medios forma circulan por
desechados o permanente y la red.
reciclados. confiable,
asegurar la
red con
equipos de
alto calibre.
Para la
amenaza 2:
verificar que
se haya
eliminado de
forma
permanente
la
información
importante,
guardar esta
información,
en espacios
 de confianza
y que estén
protegidos.
Central privada Amenaza 1: Activo: Contraseñas Respecto a esta Importante Lo que puede
automática Desvinculaci trabajo de expuestas se puede decir provocar
ón de levantamient se basa en la robo de datos
fábricas o de la pérdida o importante
importantes situación degradación de
Amenaza 2: actual de la la confiabilidad
Uso de organización
software en términos
falso o de seguridad
copiado de la
información,
la
comprensión
de los
procesos,
análisis de
riesgo,
propuestas de
mejoría.
Amenazas:
para la
amenaza 1:
garantizar
desde un
principio la
estadía de las
fábricas.
Firmar con
un contrato l
vinculación
permanente
de las
fábricas o
sucursales.
Para la
amenaza 2:
verificar de
forma
inmediata el
estado de los
programas,
datos y
archivos de
los equipos
 de cómputo,
tener siempre
los datos o
información
de la empresa
a la cual se le
hace el
pedido de los
equipos de
cómputo.
portería/Caseta Amenaza 1: Activo: dos Dispositivos Esta afecta a la Significante La mala
de vigilancia Robo del puertas para materiales imagen y ubicación de
equipo de el control de ubicados en reputación de la depósito de
vigilancia acceso (sin lugares organización. material al
Amenaza 2: operación), 5 inapropiados lado del
Error en el guardias depósito de
uso contratados material
de la inflamable
organización, estos
lecturas de materiales
reconocimien pueden traer
to facial. problemas e
Amenazas: incluso
asegurar los accidentes en
equipos en un la
lugar apto organización.
para evitar el
robo, optar
por la
obtención
acciones
preventivas,
como:
cámaras de
alta calidad,
cercas
electrificadas,
entre otros.
soporte del Amenaza 1: Activo: Falta de seguridad Al no estar Importante Al no tener
ambiente del Mal uso del Suministrar contra las fuerzas preparados a una buena
comercio sistema de un soporte de la naturaleza esta seguridad en
electrónico, soporte a seguro y vulnerabilidad la
servidor de usuarios confiable se presentaría infraestructur
correo Amenaza 2: para el una pérdida a la estructura
electrónico Ingreso de cliente, financiera por de la
Windows datos falsos o ofrecer reproceso. organización
 Exchange corruptos servidores de puede salir
alta calidad afectada por
para la buena vientos y
comunicació lluvias
n con el fuertes.
cliente.
Amenazas:
en la
amenaza 1:
ofrecer
charlas a los
usuarios para
el buen uso
de la
plataforma.
Para la
amenaza 2:
verificación
de los datos
que se vayan
a ingresar en
la plataforma,
llevar un
control
constante de
las
actividades
que realicen
los usuarios.
Redes Windows, Amenaza 1: Activo: Mal Fallo en un Importante El presentar
Linux Código Comprobar mantenimiento de futuro de los esta
malicioso de forma las salas de equipos vulnerabilida
como virus, constante el cómputo d puede
troyano buen provocar
Amenaza 2: funcionamien algunos leves
Interceptació to de los daños en las
n equipos de personas
cómputo con como en los
estos equipos
sistemas
operativos
con este tipo
Amenazas:
para la
amenaza1:
contar con
software y
 hardware
aptos para
recibir
antivirus
potentes,
monitorear
las
actividades
internas
dentro del
equipo de
cómputo y en
la red. En la
amenaza 2:
proteger los
datos de
información
de forma
segura, sin
dejar rastro
de actividad
alguna,
mantener el
sistema
operativo y el
navegador
actualizados.
creación y Amenaza 1: Activo Falta de seguridad Ya que no se Significante Al no tener
eliminación de Procesamient Asigna dos de en área de cuenta con una mejor
cuentas o ilegal de profesionales trabajo mucha seguridad se
datos para estas seguridad se pueden ver
Amenaza 2: funciones, puede ver la visitantes
Ingreso de subordina al pérdida o tomándole
datos falsos director degradación de fotos o
administrativ la integridad de tomando
o financiero. la información algunos
Amenazas: de los usuarios proyectos o
en la ideas de la
amenaza 1: empresa.
asignar a una
persona
especializada
para vigilar el
paso de datos
de forma
interna y
externa. Para
 la amenaza 2:
encriptar los
datos de
usuario y
contraseñas
de forma
segura.
Sistema de Amenaza 1: Activo: Falta de cuidado Falla en los Significante Realizar el
circuito cerrado Falla en los garantizar con los equipos de descanso
de tv equipos de equipos de dispositivos en cómputo fuera de la
computo alta calidad, horas de descanso empresa ya
Amenaza 2: tecnologías que llevar
Uso no adaptadas alimentos y
autorizado para la bebidas,
del equipo seguridad. puede
Amenazas: provocar
en la accidentes
amenaza 1: que
asegurar que perjudiquen a
los equipos los equipos.
estén aptos
para trabajar
de forma
segura y
estable,
realizando un
análisis de
estos de
forma
temporal.
Para la
amenaza 2:
colocar de
forma segura
el usuario y
contraseña
del equipo
para evitar el
robo de
información,
evitar dejar el
equipo de
cómputo en
espacios
donde es
vulnerable su
utilización.
Roteadores para Amenaza 1: Activo: Instalación de Presenta la Baja Lo que con
acceso a internet Sabotaje en Contiene una equipos de mala pérdida o lleva al mal
la calidad de cantidad calidad degradación de desarrollo de
los routers considerable la integridad la empresa y
Amenaza 2: de routers (3) da una
Perturbación por si en imagen
debido a la algún negativa a los
radiación momento clientes de la
falla uno, empresa.
están los
otros para su
reemplazo,
hay uno en
cada sed.
Amenazas:
para la
amenaza 1:
tener a una
persona
encargada de
la
verificación
de los
productos. En
la amenaza 2:
determinar el
espacio
correcto
donde se
instalarán los
routers.
computadoras Amenaza 1: Activo: Visible los cables Trae La pérdida Significante Se
portátiles Inserción de Contiene una de los equipos o degradación encuentran
virus cantidad de la cables a la
Amenaza 2: considerable autenticidad de vista del
Fuego de portátiles organización público lo
(10) para la cual es una
dirección, baja pero
están mala
totalmente actividad que
liberados puede tener
para su una empresa
funcionamien ya que
to muestra una
Amenazas: mala
en la organización
amenaza 1: con respecto
 proteger de a ella.
forma segura
el equipo de
cómputo con
antivirus
especializado
s. En la
amenaza 2:
alejar a los
equipos de
cómputo
donde son
más
propensos a
dañarse por
efecto del
fuego, tener
en la
organización
mecanismos
de protección
contra
incendios.
Servidor de Amenaza 1: Activo: Poca Al no estar Significante Los técnicos
correo/antivirus Defecto de Sistema responsabilidad comprometidos de TIC
software operativo por los con la empresa (contratistas),
Amenaza 2: libre (Linux contratistas se muestra la deben de
Falsificación Debian), pérdida o estar
de derechos contiene solo degradación de disponibles
un control la las 24/7, y al
para este confidencialidad no estar se
activo. opta por
Amenazas: buscar
en la primera nuevos
amenaza: contratistas
contar con
herramientas
inteligentes
que ayuden a
identificar
este defecto,
evaluar en
primera
instancia a
los
proveedores
que
 proporcionan
el software.
Para la
segunda
amenaza, se
emplean
mecanismos
y métodos
para evitar la
piratería,
asegurar los
derechos que
tienen los
trabajadores
y los clientes
en la
empresa.
punto de acceso Amenaza 1: Activo: la La limpieza de las Degradación de importante El ambiente
inalámbrico Interferencia organización salas donde se los dispositivos de trabajo
Amenaza 2: cuenta con un encuentra el o falla en su debe tener un
Radiación proveedor punto inalámbrico funcionamiento buen aseo
electromagné global para la para evitar el
tica solución de daño en los
redes y dispositivos
comunicacio
nes, contiene
solo un
control para
este activo.
Amenazas:
para la
amenaza 1:
proteger los
cables de red,
asegurar el
sistema
electrónico.
Amenaza 2:
asegurar de
forma
adecuada los
lugares de
instalación
del punto
inalámbrico
para evitar
interferencias
 .
Salas de Amenaza 1: Activo: la El sistema de Falta de Importante
reuniones con fallos en los organización vigilancia y la seguridad en los
conexión equipos de cuenta con un puerta de espacios donde
video, de buen número seguridad no se realizan
conexión de salas de funcionan hace 6 actividades con
Amenaza 2: reuniones (7), meses conexión a
Hurto de si en alguna internet
equipo se presenta
una falla, se
puede
acceder a otra
en el instante.
Contiene solo
un control
para este
activo.
Amenazas:
en la
amenaza 1:
asegurar que
los equipos
estén aptos
para
cualquier tipo
de actividad,
revisar la
calidad de
estos con
pruebas
anteriores.
Para la
amenaza 2:
evitar el
ingreso de
personas
desconocidas
en áreas
restringidas.
 Tabla 21. Evaluación cualitativa de la probabilidad

Activos Amenaza Control Vulnerabilidades Relevancia de Severidad/consec Probabilidad Justificación/evi

existente encontradas activos uencias dencias
administración Amenaza 1: Activo: La conexión entre Este activo genera Si se afectara este Ocasional La probabilidad
de la red Falla en los Asigna dos dos áreas de la mucha activo, generaría de que ocurra esta
servicios de la profesionales misma importancia para una consecuencia vulnerabilidad es
red, en los en funciones organización los servicios de la de grado alto ya ocasional ya que
equipos que se multitarea, que presenta organización, ya que atrasaría esto no se ve muy
encargan de la se turnan en inestabilidad que permite la muchos proyectos seguido porque en
administración las tareas del correcta ejecución que tienen que la mayoría de los
. día a día, como de las actividades ver con la casos varias áreas
Amenaza 2: por ejemplo que se presentan utilización de los tienen una
ataque de help desk en cada sector de equipos de conexión estable
entidad externa Amenazas: la empresa. cómputo y de red. entre sus redes.
a la para la
organización, amenaza 1, se
produciendo hace una
fallas en el revisión
hardware y periódica del
software estado de cada
uno de los
servicios de
red. Para la
amenaza 2 se
protege con
antivirus de
alta calidad, se
emplea
seguridad en la
red.
Centro de Amenaza 1: Activo: USB con virus A través de este Grado alto, ya Frecuente Esto sucede
 datos Robo de Control de malicioso activo, se puede que se perdería frecuentemente ya
información acceso a través asegurar la mucha que muchos
para el de llaves, confidencialidad, información trabajadores sin
procesamiento aspersores y seguridad y importante para la saberlo ingresan
de los datos racks eficacia de los empresa. usb infectadas de
Amenaza 2: desbloqueados datos en la virus,
Datos Amenazas: empresa, perjudicando los
provenientes para la brindando mayor equipos.
de fuentes no amenaza 1, se productividad y
confiables protege los resguardo de
datos con estos.
software
especializados,
que permitan
la seguridad de
la información
relevante, para
la amenaza 2
encriptar o
asegurar las
cuentas de
usuario, para
evitar el robo
de información
Sistemas de Amenaza 1: Activo: problemas de Se garantiza la En este activo se Frecuente Esto ocurre,
recursos Incumplimient subcontratado inestabilidad perfecta presenta un grado debido a que no
humanos o en la con un eléctrica en su red organización y de tipo medio ya se realizan
(nomina disponibilidad proveedor control de cada que, si no se revisiones
control de del personal externo, trabajador de la cumple con la constantes en las
horarios) Amenaza 2: contiene solo empresa, organización de redes de este
Falsificación un control para verificando que los trabajadores o sector tan
de derechos. este activo cumplan con sus de las actividades importante como
Amenazas: horarios de los mismos, en es el de recursos
Para la establecidos para la empresa no se humanos.
amenaza 1, mejorar la verán avances
organizar de producción en significativos.
forma cada área.
adecuada y
controlada a
todo el
personal para
tener un mejor
control en el
área que se
está
trabajando,
cumpliendo
con los
horarios
establecidos
por la
organización.
Para la
amenaza 2,
prever de
forma
anticipada esta
acción, para
que en un
futuro no tenga
consecuencias
graves, estar
 siempre al
tanto de cada
actividad que
realiza un
empleado en el
sector
correspondient
e.
Seguridad Amenaza 1: Activo: Los cables que En los negocios, Para este activo, Probable En esta área pocas
patrimonial Acceso de sistema de entran en el este activo es se presenta una veces sucede este
personal no lector de carnet edificio por parte importante consecuencia de inconveniente ya
autorizado a para acceder a del operador están porque se logra el grado alto, ya que en la mayoría
las áreas las áreas cortados y parte resguardo y que, si se hurtan las empresas cada
restringidas controladas/res de estos cables respaldo de áreas los equipos o ordenador está en
Amenaza 2: tringidas, fueron robados que son entra personal no su puesto de
Hurto de verificación de importantes y autorizado, puede trabajo de forma
medios o datos del restringidas para traer muchos organizada, con
documentos en personal que la empresa, gastos para la cada cable en su
áreas vaya a ingresar evitando el empresa y se lugar.
especificas a estas áreas, ingreso de atrasarían muchos
lector de huella personas proyectos
dactilar desconocidas. importantes en la
Amenazas: empresa.
para la
amenaza 1:
documentar los
datos de las
personas que
ingresan a
determinada
área, vigilar a
 través de
cámaras de
seguridad.
En la amenaza
2: asegurar
cada uno de
los
documentos
estén
resguardados
en bases de
datos y
servidores
seguros, tener
copias de
seguridad en
sitios aún más
seguros para
velar por la
integridad de
la información.

Sitio e- Amenaza 1: No existe Mal manejo del Permite gestionar Activo de grado Remoto Esto casi nunca
commerce de inserción de control administrador. todo el contenido bajo, ya que, si se ocurre ya que las
KWX programa existente para en la empresa, presentara un personas que
maligno o este activo para llevar un problema en la tienen el cargo de
virus de un Amenazas: en control más plataforma de administrador
cliente al la amenaza 1: organizado y comunicación tienen
servidor de la resguardar las adecuado de los entre los usuarios conocimientos
organización. bases de datos servicios, y la empresa, se previos y se
 Amenaza 2: y software con negocios, puede remediar encuentran
Manipulación sistemas de brindando en poco tiempo, preparados para
con hardware alta seguridad, escalabilidad en restableciendo la asumir esta labor.
encriptar las cada proceso. normalidad en
redes de este sitio.
conexión del
servidor al
cliente. Para la
amenaza 2:
solo el
personal
autorizado
debe tener
acceso a los
equipos de
cómputo.
Sistemas de Amenaza 1: Activo: Mal Se integran todas Este activo se Ocasional En ocasiones, las
producción Falta de trabajan de mantenimiento de las actividades considera de personas
compromiso manera equipos para la grado alto ya que encargadas de
de un área conjunta e elaboración de los se atrasarían realizar el
específica en la integrada, productos, se muchos proyectos mantenimiento de
organización contiene solo transforman los importantes en la los computadores
Amenaza 2: un control para insumos empresa, debido a no están
Divulgación de este activo. necesarios para esto la empresa especializados en
procesos de un Amenazas: que le empresa puede tener una esto y les realizan
área de la para la siga creciendo en limitante en el un mal
organización a amenaza 1: su capital, futuro para seguir mantenimiento a
terceros. desde un ingresos, entre produciendo. los equipos.
principio, otras actividades
aclararle a los más.
trabajadores
 las
obligaciones
que deben
cumplir dentro
de su área
específica,
proporcionar
incentivos para
que los
trabajadores
puedan realizar
sus labores con
más esmero.
Para la
amenaza 2:
proteger la
información
dentro de cada
área específica
de forma
segura,
vigilando de
forma
constante a
cada uno de
sus
trabajadores.
Sistemas de Amenaza 1: Activo: Robo de equipos Para los servicios Grado alto, Ocasional Los sistemas de
acceso Falla en el Registros de de la organización porque se debe acceso tienen una
sistema las puertas y este activo resulta velar siempre por muy buena
Amenaza 2: salas de muy importante la seguridad de seguridad, pero en
Destrucción seguridad, porque se los trabajadores y ocasiones estas
del equipo presencia del garantiza que equipos de seguridades
reconocimient estos sean importancia en la quedan mal
o facial de la confiables para empresa. instaladas, lo que
persona que los trabajadores ocasione que se
vaya a de la empresa y roben los equipos
ingresar, para sus clientes. de la empresa.
lectores
autónomos.
Amenazas:
para la
amenaza 1:
verificar
constantement
e que el
sistema esté
funcionando
de forma
correcta,
contratar a
personas
especializadas.
Para la
amenaza 2:
brindar
recomendacion
es que deben
seguir las
personas que
utilicen el
equipo, para
 que lo empleen
de forma
correcta.
Procesos Amenaza 1: Activo: se Interrupción en la Los procesos Se presenta un Frecuente Muchas empresas
financieros Espionaje emplean conexión de las financieros deben grado elevado de competencia
remoto sistemas y máquinas de la ser totalmente para este activo, envían a terceros
Amenaza 2: aplicaciones organización con parciales para porque a través para sabotear la
Explotación para garantizar el servidor de la producir negocios del dinero, la conectividad de
económica la seguridad, parte contable estables y empresa adquiere otras,
asegurar la duraderos, por lo equipos de perjudicando
confianza con tanto, deben estar cómputos principalmente a
los protegidos en confiables, la parte contable
proveedores, servidores de alta eficientes. Sino se de la empresa,
llevar un calidad. generan ingresos, generando
registro y la empresa no perdidas
control de los podrá seguir monetarias. Esto
números y operando, por se realiza
cuentas de ende, se debe frecuentemente.
planes de proteger de forma
cuentas segura este
presentadas activo.
Amenazas: en
la amenaza 1:
monitorear de
forma
permanente las
redes y
servidores,
encargar a una
persona
especializada
 para que
siempre este
atenta a los
movimientos
que se hacen
en la
organización,
de forma
externa e
interna. En la
amenaza 2:
llevar de forma
equilibrada
cada uno de
los procesos
económicos de
la empresa,
lograr un
equilibrio entre
la empresa, sus
proveedores y
el mercado.
Intranet Amenaza 1: Activo: No Se ha producido Por medio de este Activo de grado Frecuente Debido a la
Robo de existe control inestabilidad en la activo, se logra alto, ya que a interferencia entre
servidores existente para conexión de red. una perfecta través de este se los servidores y
donde se este activo comunicación logra una equipos de red, la
almacena la Amenazas: entre la empresa, conexión remota conexión puede
información. para la el cliente y el entre los presentar
Amenaza 2: amenaza 1: servidor. servidores de la inestabilidad y si
Recuperación seguridad de empresa (ya sea en una empresa
de medios forma de un área a otra) hay muchos
 desechados o permanente y con los clientes servidores, esto
reciclados. confiable, que pertenecen a puede ocurrir
asegurar la red la empresa, frecuentemente.
con equipos de generando
alto calibre. servidores de alta
Para la calidad y
amenaza 2: confiables para el
verificar que se usuario.
haya eliminado
de forma
permanente la
información
importante,
guardar esta
información,
en espacios de
confianza y
que estén
protegidos.
Central Amenaza 1: Activo: trabajo Contraseñas Este activo es Para este activo, Probable Es probable que
privado Desvinculació de expuestas importante el grado es medio muchos
automático n de fábricas levantamiento porque permite la porque si algunas trabajadores dejen
importantes de la situación vinculación de la empresas o su PC descubierto
Amenaza 2: actual de la empresa con sucursales se en horas de
Uso de organización fabricas y desvinculan de la descanso y
software falso en términos de sucursales que le empresa, la terceros
o copiado seguridad de la pueden servir a la empresa puede aprovechan para
información, la empresa para tomar medidas robar sus datos de
comprensión crecer en un correctivas usuario.
de los futuro, tanto en su inmediatamente
procesos, producción, como para no perder
 análisis de en el mercado. mas proveedores
riesgo, en sus negocios y
propuestas de contratar a
mejoría. personal más
Amenazas: especializado
para la para que eviten
amenaza 1: con anterioridad
garantizar la calidad en el
desde un software de los
principio la equipos.
estadía de las
fábricas.
Firmar con un
contrato l
vinculación
permanente de
las fábricas o
sucursales.
Para la
amenaza 2:
verificar de
forma
inmediata el
estado de los
programas,
datos y
archivos de los
equipos de
cómputo, tener
siempre los
datos o
 información de
la empresa a la
cual se le hace
el pedido de
los equipos de
cómputo.
Portería / Amenaza 1: Activo: dos Dispositivos Este activo Se considera un Ocasional Ocasionalmente
caseta de Robo del puertas para el materiales asegura que las activo de grado los encargados de
vigilancia equipo de control de (cámaras de herramientas de alto debido a que, ubicar los
vigilancia acceso (sin seguridad,) red, equipos de si faltan equipos dispositivos de
Amenaza 2: operación), 5 ubicados en cómputo, de vigilancia, la seguridad, los
Error en el uso guardias lugares seguridad empresa estará dejan en sitios
contratados de inapropiados permanezcan desprotegida en que no son
la resguardadas en todos los sentidos seguros,
organización, sitios seguros (redes, exponiéndolos a
lecturas de para evitar el producción, parte su hurto.
reconocimient hurto, encargando financiera).
o facial. a personas
Amenazas: especializadas
asegurar los para la vigilancia.
equipos en un
lugar apto para
evitar el robo,
optar por la
obtención
acciones
preventivas,
como: cámaras
de alta calidad,
cercas
electrificadas,
 entre otros.
Soporte del Amenaza 1: Activo: Falta de seguridad Este activo es Se considera un Remoto Esto no pasa muy
ambiente del Mal uso del Suministrar un los servidores de importante activo de grado seguido ya que
comercio sistema de soporte seguro correo porque permite la bajo porque los correos
electrónico, soporte a y confiable comunicación cualquier electrónicos,
servidor de usuarios para el cliente, segura y estable malentendido que reciben su
correo Amenaza 2: ofrecer entre el cliente se tenga entre configuración de
electrónico Ingreso de servidores de con los servidores algún usuario con seguridad con
Windows datos falsos o alta calidad de la empresa. Si la empresa por los anterioridad.
exchange corruptos para la buena se presenta algún servicios que se
comunicación inconveniente, se ofrecen para el
con el cliente. tiene un área soporte del
Amenazas: en especializada que correo, se puede
la amenaza 1: se encarga de dar solucionar
ofrecer charlas solución al brindando las
a los usuarios inconveniente. ventajas que se
para el buen tendría al utilizar
uso de la estos medios.
plataforma. Tomaría poco
Para la tiempo en
amenaza 2: solucionarse.
verificación de
los datos que
se vayan a
ingresar en la
plataforma,
llevar un
control
constante de
las actividades
que realicen
 los usuarios.
Redes Amenaza 1: Activo: Mal Permite software Activo de grado Ocasional En ocasiones, no
Windows, Código Comprobar de mantenimiento de especializados alto porque si no se les hace el
Linux malicioso forma las salas de para cada equipo se trabajan con mantenimiento a
como virus, constante el computo de cómputo que equipos de las salas de
troyano buen se tenga en la cómputos que cómputo de forma
Amenaza 2: funcionamient empresa, que este garanticen que su correcta. Esto
Interceptación o de los presto para la software es perjudica a los
equipos de seguridad en caso confiable y de ordenadores que
cómputo con de la inserción de alta calidad, los se encuentran en
estos sistemas algún virus. procesos de las mismas.
operativos con administración de
este tipo datos,
Amenazas: comunicación
para la entre servidores,
amenaza1: tomara mas
contar con tiempo en llevarse
software y a cabo.
hardware aptos
para recibir
antivirus
potentes,
monitorear las
actividades
internas dentro
del equipo de
cómputo y en
la red. En la
amenaza 2:
proteger los
datos de
 información de
forma segura,
sin dejar rastro
de actividad
alguna,
mantener el
sistema
operativo y el
navegador
actualizados.
creación y Amenaza 1: Activo Asigna Falta de seguridad Se crean cuentas Se presenta un Probable Esto tiene la
eliminación de Procesamiento dos de en área de donde los activo de grado probabilidad de
cuentas ilegal de datos profesionales trabajo usuarios se insignificante ya ocurrir ya que en
Amenaza 2: para estas pueden que los algunas ocasiones
Ingreso de funciones, comunicar con la acontecimientos no se les capacita
datos falsos subordina al empresa, que se presenten de forma
director esperando una en la creación y adecuada a los
administrativo respuesta eliminación de trabajadores,
financiero. inmediata para cuentas no como deben de
Amenazas: en cada solicitud afectarán de mantener los
la amenaza 1: dada. forma directa a la equipos, que sus
asignar a una empresa. datos estén
persona guardados en
especializada bases de datos
para vigilar el confiables.
paso de datos
de forma
interna y
externa. Para
la amenaza 2:
encriptar los
 datos de
usuario y
contraseñas de
forma segura.
sistema de Amenaza 1: Activo: Falta de cuidado Si este activo no Activo de grado Ocasional En horarios de
circuito Falla en los garantizar con los estuviese presente alto, ya que, si no receso, algunos
cerrado de tv equipos de equipos de alta dispositivos en en la empresa, no se garantiza el trabajadores no
computo calidad, horas de descanso se contará con la perfecto estado y cuidan sus
Amenaza 2: tecnologías seguridad funcionamiento equipos, lo que
Uso no adaptadas para adecuada, por lo de os equipos, la trae consigo la
autorizado del la seguridad. tanto, es de suma empresa no falla de estos en
equipo Amenazas: en importancia para evolucionará en un futuro.
la amenaza 1: la empresa, se sus procesos.
asegurar que mejora la
los equipos confidencialidad
estén aptos para cada uno de
para trabajar los servidores, de
de forma los sistemas.
segura y
estable,
realizando un
análisis de
estos de forma
temporal. Para
la amenaza 2:
colocar de
forma segura
el usuario y
contraseña del
equipo para
evitar el robo
 de
información,
evitar dejar el
equipo de
cómputo en
espacios donde
es vulnerable
su utilización.
Roteadores Amenaza 1: Activo: Un atacante Se permite la Activo de grado Ocasional En ocasiones,
para acceso a Sabotaje en la Contiene una puede adivinar los conectividad bajo, debido a que personas ajenas a
internet calidad de los cantidad paquetes TCP entre los si llega a faltar la empresa,
routers considerable diferentes por ejemplo un intentan adivinar
Amenaza 2: de routers (3) dispositivos de la router en un los protocolos de
Perturbación por si en algún red, de una red punto especifico, los puertos de los
debido a la momento falla local a internet. la conectividad routers y esto
radiación uno, están los puede funcionar puede conllevar a
otros para su perfectamente que en un futuro
reemplazo, hay con otros routers se presenten fallos
uno en cada que están en otro en la red.
sed. punto.
Amenazas:
para la
amenaza 1:
tener a una
persona
encargada de
la verificación
de los
productos. En
la amenaza 2:
determinar el
 espacio
correcto donde
se instalarán
los routers.
computadoras Amenaza 1: Activo: Visible los cables Sin ellas no se Activo de grado Probable Resulta probable
portátiles Inserción de Contiene una de los equipos podría trabajar en alto, sino se que ocurra que, al
virus cantidad procesos de red, cuenta con realizar el
Amenaza 2: considerable en procesos de computadores montaje de los
Fuego de portátiles comunicación con portátiles, los equipos en las
(10) para la los proveedores o procesos de datos, salas, queden
dirección, sucursales. de redes tomarían varios cables
están más tiempo en sueltos y esto
totalmente completarse. perjudicaría por
liberados para ejemplo la
su comodidad en el
funcionamient puesto de trabajo,
o se confundirían
Amenazas: en algunos cables.
la amenaza 1:
proteger de
forma segura
el equipo de
cómputo con
antivirus
especializados.
En la amenaza
2: alejar a los
equipos de
cómputo
donde son más
propensos a
 dañarse por
efecto del
fuego, tener en
la organización
mecanismos de
protección
contra
incendios.
servidor de Amenaza 1: Activo: Poca Se mantienen los Se considera un Ocasional Ocasionalmente
correo/antiviru Defecto de Sistema responsabilidad equipos activo de grado los proveedores o
s software operativo libre por los protegidos contra alto, ya que si los contratistas que
Amenaza 2: (Linux contratistas amenazas servidores y proveen los
Falsificación Debian), externas, equipos, no programas como
de derechos contiene solo protegiendo las cuentan con los antivirus, no
un control para cuentas de correo protección de lo realizan de
este activo. y los servidores antivirus, se forma adecuada y
Amenazas: en de la empresa. pueden infectar confiable o le
la primera Alejándolos de por terceros en quedan mal a la
amenaza: softwares cualquier empresa,
contar con maliciosos. momento. presentando
herramientas programas de baja
inteligentes calidad.
que ayuden a
identificar este
defecto,
evaluar en
primera
instancia a los
proveedores
que
proporcionan
 el software.
Para la
segunda
amenaza, se
emplean
mecanismos y
métodos para
evitar la
piratería,
asegurar los
derechos que
tienen los
trabajadores y
los clientes en
la empresa.
punto de Amenaza 1: Activo: la Instalación por A través de este Activo de grado Frecuente Lo anterior ocurre
acceso Interferencia organización personal sin activo, se logra alto, ya que, si no frecuentemente
inalámbrico Amenaza 2: cuenta con un conocimiento o que la está funcionando porque muchas
Radiación proveedor aprobación conectividad a de forma correcta, empresas envían a
electromagnéti global para la internet sea mas se pierde la personas que no
ca solución de fluida y estable, conexión cuando están en
redes y para obtener se esté realizando capacidad para
comunicacione procesos de datos cualquier proceso instalar el acceso
s, contiene más eficientes. importante en la inalámbrico.
solo un control empresa, Después de varias
para este perjudicando de pruebas, la
activo. esta manera el empresa se da
Amenazas: cierre en los cuenta que este
para la negocios de la servicio no quedó
amenaza 1: empresa. instalado
proteger los correctamente
 cables de red,
asegurar el
sistema
electrónico.
Amenaza 2:
asegurar de
forma
adecuada los
lugares de
instalación del
punto
inalámbrico
para evitar
interferencias.
salas de Amenaza 1: Activo: la El sistema de Se brindan Activo de grado Ocasional Esto depende del
reuniones con fallos en los organización vigilancia y la espacios en la alto, sino se tiempo que se
conexión equipos de cuenta con un puerta de empresa, con tienen estos especifica en la
video, de buen número seguridad no componentes o equipos, no se vulnerabilidad (6
conexión de salas de funcionan hace 6 herramientas llevarán meses). Por lo
Amenaza 2: reuniones (7), meses integradas, que reuniones tato se cumple
Hurto de si en alguna se permiten el importantes en la que
equipo presenta una desarrollo de empresa. ocasionalmente
falla, se puede actividades este sistema no
acceder a otra importantes, de cuente con los
en el instante. forma estable y implementos
Contiene solo eficaz. necesarios para la
un control para protección.
este activo.
Amenazas: en
la amenaza 1:
asegurar que
 los equipos
estén aptos
para cualquier
tipo de
actividad,
revisar la
calidad de
estos con
pruebas
anteriores.
Para la
amenaza 2:
evitar el
ingreso de
personas
desconocidas
en áreas
restringidas.

Tabla 22. Definición de las estimaciones

Relevancia de activos
Nivel Definición Peso
Insignificante No se generan impactos directos para la 0
empresa, no se afecta directamente las
actividades del negocio, de producción,
procesos financieros y demás.

Baja Se afecta un área específica en la 2

organización y este problema no implica
costos ni gastos adicionales para las
demás áreas.
Media La información tomada de cada uno de los 3
activos es de nivel medio y esto puede
afectar en gran manera a varias áreas de la
empresa. Se perjudica la integridad y
seguridad en la información de más de dos
áreas importantes en la empresa.
Alta La información que se presentan en cada 4
uno de los activos es alta, viéndose
perjudicada la integridad,
confidencialidad, disponibilidad de la
empresa. La información pública
reservada es alta.
Elevada Los acontecimientos presentados, afectan 5
en gran manera a la empresa en general,
afectando de esta forma, la imagen de la
organización.

Severidad de las consecuencias

Nivel Definición Peso
Insignificante Los problemas o inconvenientes que se 1
presenten en unos o varios activos no
 afectan al negocio y no genera un retraso
en los procesos por más de cinco minutos.
Baja Se incluyen ataques a la imagen de la 2
empresa, el desprestigio de esta,
incluyendo errores y fallos.
Media Se manipula información importante para 3
la empresa, el atacante puede acceder a su
objetivo a través de los servidores de
correo electrónico, a través de software
malicioso, se extrae un volumen
apreciable de información.
Alta Personas ajenas a la empresa, toman 4
control de los sistemas, implica la
capacidad de obtener información valiosa,
al igual que los sistemas de la empresa.
Elevada Se interrumpen los servicios de 5
tecnologías de la información, esto puede
tener consecuencias muy graves para la
empresa, se filtran los datos. Se obtienen
grandes volúmenes de información
valiosa.

Impacto
Nivel Definición Peso Cálculo
Insignificante La información que se obtiene de la 1 5
 empresa o de los procesos de esta, es
información que ha sido desechada con
anterioridad, por lo tanto, no afecta de
ninguna manera a la empresa.
Baja Se obtiene poca capacidad en los 2 10
volúmenes de información en la empresa
lo que permite que la empresa no sufra
daños graves.
Significativo Se interrumpen los procesos en varias 4 15
áreas debido al mal funcionamiento de
equipos o plantas, esto causa un atraso de
4-5 horas al negocio.
Importante Afectan la imagen de la organización y 5 20
causan interrupción de 12 horas al
negocio. La compañía hace deja de
funcionar/ producir durante 12 horas
Desastre La empresa entre en decadencia en sus 6 25
procesos, al punto que tenga que despedir
a muchos de sus trabajadores y en un
futuro tenga que ser cerrada
permanentemente.

Estimación de riesgos
 Criterios de riesgo Prioridad
Nivel Definición
Externo La organización interrumpe 81 100 1
totalmente
sus servicios por más de 48
horas,
parando para realizar y
producir
servicios, afectando su imagen
pública
de manera significativa.
Financieros:
altas pérdidas, demandas
judiciales.
Alto Personas ajenas a la 49 80 2
organización, interrumpen el
correcto funcionamiento de los
servidores que dan acceso a
internet, hurtando los cables
que permiten esta conexión.
Medio En la organización se 19 48 3
presentan unos fallos en salas
de reuniones de dos áreas en
específico, atrasando de
manera significativa el trabajo
de estas áreas.
Bajo El software en un área de la 5 18 4
empresa se encuentra
desactualizado.
Irrelevante Pocos empleados tienen falta 1 4 5
de pertenencia en el área que
 se desempeñan dentro de la
organización, abandonando su
puesto de trabajo en horarios
no establecidos.

Teniendo en cuenta los resultados de las estimaciones planteadas anteriormente, pudimos analizar lo siguiente:

Para la relevancia de los activos, cada nivel cumple con los requerimientos de la organización, el peso establecido, señala el grado de
importancia en la empresa. En el nivel insignificante, el peso es 0 porque las actividades que allí ocurren no afectan de forma
significativa a la empresa, para el nivel bajo, su peso es 2, porque solo se afecta parte de las áreas en la empresa y los daños emplean
un tiempo mínimo para su solución. En cuanto al nivel medio, se considera un peso de 3, ya que la información que se toma de cada
activo presente es de nivel medio y puede afectar en términos medios a la empresa, ya sea en su imagen. En el nivel alto el peso es de
tamaño 4 ya que se considera que se perjudican en la empresa la integridad, confidencialidad, disponibilidad de los procesos y
recursos. Por último, en el nivel elevado, su peso es mucho mayor al de los niveles anteriores (5) porque los acontecimientos que allí
ocurren afectan en gran manera a la empresa. Se puede decir que cada nivel está relacionado con su peso de forma directa y esto
permite que para cada activo se cumplan los requisitos de la empresa.

En cuanto a la severidad de las consecuencias, el nivel insignificante presenta un peso de 1 porque no se registran consecuencias
graves que perjudiquen a la empresa cumpliendo con los requerimientos de la empresa. Para el nivel bajo, el peso es de 2 porque el
grado de complejidad en las consecuencias se aumenta relativamente, en el nivel medio, el peso es de 3 porque los hechos que aquí
ocurren afectan de forma directa a la organización, manipulándose información importante para la empresa, se puede notar que los
requerimientos se cumplen en esta sección. Para el nivel alto, el peso aumenta en 4 debido a que, si las consecuencias de cada activo se
llegan a presentar, puede traer altos problemas para la organización, dejando a la empresa con pérdidas significativos, en este nivel
también se cumplen los requerimientos de la organización. Ya para el nivel elevado, se presenta un peso mucho más significativo (5)
logrando que la empresa tenga perdidas más severas, perjudicando de forma permanente a varias áreas de la organización. Cada nivel
con su respectivo peso cumple con los requisitos de la organización.
Para la estimación del impacto, en el nivel insignificante, el peso es de 1 y su cálculo es de 5, ambos valores tienen relación con lo que
se plantea en los requerimientos porque los sucesos que aquí ocurren no afectan a la información relevante y los procesos de la
empresa. En el nivel bajo, ya aumenta el valor en el peso y en el cálculo, 2 y 10 respectivamente, el impacto que se produce en este
nivel no genera daños graves para la empresa en general. En el nivel significativo el peso es de 4 y el cálculo de 15. Se puede notar que
estas mediad aumentan dependiendo de cada nivel, los problemas que puede ocasionar un impacto en este nivel pueden interrumpir los
procesos en varias áreas de la empresa, estos datos cumplen con los requerimientos planteados. El nivel importante el peso es de 5 y el
cálculo es de 20, el impacto que se produce afecta a los procesos de la organización en un tiempo más considerable, se cumplen los
requerimientos. Por último, para el nivel desastre el peso es de 6 y el cálculo de 25, lo que significa que las acciones que aquí se
presenten en el impacto, afectan de forma notoria a la empresa.

A lo que se refiere a la estimación de riesgos Para el nivel externo en los criterios de riesgo, el peso establecido para estimar el riesgo
va desde 81-100, la prioridad para la empresa es de valor 1 ya que, en esta parte, los riesgos que pueden ocurrir de forma externa
afectan a la organización de forma significativa. Por eso se puede notar que el color que representa esta estimación es rojo oscuro, es
decir, indica peligro. En el nivel alto, el peso que se establece va desde 49-80 y su prioridad es de valor 2, lo que indica que para los
riesgos que aquí ocurran a la empresa le afectarán en alta manera. La barra de color es un rojo más opaco que en el nivel anterior. Para
el nivel medio, el rango está entre los 19-48 y su prioridad es de valor 3, comparándolo con el nivel anterior, en este los riesgos que
ocurren, solo afectan a pocas áreas de la empresa. La barra que hace referencia al nivel está de color naranja ya que no perjudica en
gran manera a la empresa. El nivel bajo presenta un rango de 5-18 y su prioridad toma el valor de 4 porque los sucesos de los riesgos
que aquí ocurren, se les puede dar solución en poco tiempo, sin afectar a la empresa, su color es un verde bajo. Por último, está el nivel
irrelevante, se puede notar que su rango es muchísimo menor que el de los niveles anteriores (1-4) y su prioridad es muy baja para la
organización (5), debido a que los riesgos que ocurren en la empresa no la afectan de ninguna manera, por lo tanto, no son relevantes.
El color representativo es de un verde más opaco.

 En su visión de analista de riesgos, ¿cuál resultado cumple mejor a los requerimientos del negocio?
Teniendo en cuenta las estimaciones dadas anteriormente, se puede decir que la estimación del impacto tuvo mejores resultados
ya que dependiendo el nivel, cada peso y calculo corresponde con cada una de las definiciones que se establecen del impacto,
lo que le permite al analista de riesgo, llevar un control más claro y profundo y de esta manera puede evitar estos posibles
impactos en la organización.
 Tabla 23. Estimación cualitativa

Activos Amenaza Control existente Vulnerabilidades Relevancia de Severidad/consec IMPACT Probabilid Justificación/evi
encontradas activos uencias O= ad dencias
RELEVA
NCIA DE
ACTIVOS
*
SEVERID
AD
administraci Amenaza 1: Activo: Asigna La conexión Este activo Si se afectara 16 Ocasional La probabilidad
ón de la red Falla en los dos entre dos áreas genera mucha este activo, de que ocurra
servicios de profesionales en de la misma importancia generaría una esta
la red, en los funciones organización para los consecuencia de vulnerabilidad
equipos que multitarea, que presenta servicios de la grado alto ya es ocasional ya
 se encargan se turnan en las inestabilidad organización, que atrasaría que esto no se
de la tareas del día a ya que permite muchos ve muy seguido
administració día, como por la correcta proyectos que porque en la
n. ejemplo help ejecución de tienen que ver mayoría de los
Amenaza 2: desk las actividades con la casos varias
ataque de Amenazas: para que se utilización de áreas tienen una
entidad la amenaza 1, se presentan en los equipos de conexión estable
externa a la hace una cada sector de cómputo y de entre sus redes.
organización, revisión la empresa. red.
produciendo periódica del
fallas en el estado de cada
hardware y uno de los
software servicios de red.
Para la amenaza
2 se protege con
antivirus de alta
calidad, se
emplea
seguridad en la
red.
Centro de Amenaza 1: Activo: Control USB con virus A través de Grado alto, ya 16 Frecuente Esto sucede
datos Robo de de acceso a malicioso este activo, se que se perdería frecuentemente
información través de llaves, puede asegurar mucha ya que muchos
para el aspersores y la información trabajadores sin
procesamient racks confidencialida importante para saberlo ingresan
o de los datos desbloqueados d, seguridad y la empresa. usb infectadas
Amenaza 2: Amenazas: para eficacia de los de virus,
Datos la amenaza 1, se datos en la perjudicando los
provenientes protege los datos empresa, equipos.
de fuentes no con software brindando
confiables especializados, mayor
 que permitan la productividad
seguridad de la y resguardo de
información estos.
relevante, para
la amenaza 2
encriptar o
asegurar las
cuentas de
usuario, para
evitar el robo de
información
Sistemas de Amenaza 1: Activo: problemas de Se garantiza la En este activo se 12 Frecuente Esto ocurre,
recursos Incumplimie subcontratado inestabilidad perfecta presenta un debido a que no
humanos nto en la con un eléctrica en su organización y grado de tipo se realizan
(nomina disponibilida proveedor red control de cada medio ya que, si revisiones
control de d del externo, trabajador de no se cumple constantes en las
horarios) personal contiene solo un la empresa, con la redes de este
Amenaza 2: control para este verificando organización de sector tan
Falsificación activo que cumplan los trabajadores importante como
de derechos. Amenazas: Para con sus o de las es el de recursos
la amenaza 1, horarios actividades de humanos.
organizar de establecidos los mismos, en
forma adecuada para mejorar la la empresa no se
y controlada a producción en verán avances
todo el personal cada área. significativos.
para tener un
mejor control en
el área que se
está trabajando,
cumpliendo con
los horarios
 establecidos por
la organización.
Para la amenaza
2, prever de
forma anticipada
esta acción, para
que en un futuro
no tenga
consecuencias
graves, estar
siempre al tanto
de cada
actividad que
realiza un
empleado en el
sector
correspondiente.
Seguridad Amenaza 1: Activo: sistema Los cables que En los Para este activo, 16 Probable En esta área
patrimonial Acceso de de lector de entran en el negocios, este se presenta una pocas veces
personal no carnet para edificio por activo es consecuencia de sucede este
autorizado a acceder a las parte del importante grado alto, ya inconveniente ya
las áreas áreas operador están porque se logra que, si se hurtan que en la
restringidas controladas/restr cortados y parte el resguardo y los equipos o mayoría las
Amenaza 2: ingidas, de estos cables respaldo de entra personal empresas cada
Hurto de verificación de fueron robados áreas que son no autorizado, ordenador está
medios o datos del importantes y puede traer en su puesto de
documentos personal que restringidas muchos gastos trabajo de forma
en áreas vaya a ingresar a para la para la empresa organizada, con
especificas estas áreas, empresa, y se atrasarían cada cable en su
lector de huella evitando el muchos lugar.
dactilar ingreso de proyectos
 Amenazas: para personas importantes en
la amenaza 1: desconocidas. la empresa.
documentar los
datos de las
personas que
ingresan a
determinada
área, vigilar a
través de
cámaras de
seguridad.
En la amenaza
2: asegurar cada
uno de los
documentos
estén
resguardados en
bases de datos y
servidores
seguros, tener
copias de
seguridad en
sitios aún más
seguros para
velar por la
integridad de la
información.

Sitio e- Amenaza 1: No existe Mal manejo del Permite Activo de grado 6 Remoto Esto casi nunca
commerce inserción de control existente administrador. gestionar todo bajo, ya que, si ocurre ya que las
 de KWX programa para este activo el contenido en se presentara un personas que
maligno o Amenazas: en la empresa, problema en la tienen el cargo
virus de un la amenaza 1: para llevar un plataforma de de administrador
cliente al resguardar las control más comunicación tienen
servidor de la bases de datos y organizado y entre los conocimientos
organización. software con adecuado de usuarios y la previos y se
Amenaza 2: sistemas de alta los servicios, empresa, se encuentran
Manipulación seguridad, negocios, puede remediar preparados para
con hardware encriptar las brindando en poco tiempo, asumir esta
redes de escalabilidad restableciendo la labor.
conexión del en cada normalidad en
servidor al proceso. este sitio.
cliente. Para la
amenaza 2: solo
el personal
autorizado debe
tener acceso a
los equipos de
cómputo.
Sistemas de Amenaza 1: Activo: trabajan Mal Se integran Este activo se 16 Ocasional En ocasiones,
producción Falta de de manera mantenimiento todas las considera de las personas
compromiso conjunta e de equipos actividades grado alto ya encargadas de
de un área integrada, para la que se atrasarían realizar el
específica en contiene solo un elaboración de muchos mantenimiento
la control para este los productos, proyectos de los
organización activo. se transforman importantes en computadores
Amenaza 2: Amenazas: para los insumos la empresa, no están
Divulgación la amenaza 1: necesarios para debido a esto la especializados
de procesos desde un que le empresa empresa puede en esto y les
de un área de principio, siga creciendo tener una realizan un mal
la aclararle a los en su capital, limitante en el mantenimiento a
 organización trabajadores las ingresos, entre futuro para los equipos.
a terceros. obligaciones que otras seguir
deben cumplir actividades produciendo.
dentro de su más.
área específica,
proporcionar
incentivos para
que los
trabajadores
puedan realizar
sus labores con
más esmero.
Para la amenaza
2: proteger la
información
dentro de cada
área específica
de forma segura,
vigilando de
forma constante
a cada uno de
sus trabajadores.
Sistemas de Amenaza 1: Activo: Robo de equipos Para los Grado alto, 20 Ocasional Los sistemas de
acceso Falla en el Registros de las servicios de la porque se debe acceso tienen
sistema puertas y salas organización velar siempre una muy buena
Amenaza 2: de seguridad, este activo por la seguridad seguridad, pero
Destrucción presencia del resulta muy de los en ocasiones
del equipo reconocimiento importante trabajadores y estas
facial de la porque se equipos de seguridades
persona que garantiza que importancia en quedan mal
vaya a ingresar, estos sean la empresa. instaladas, lo
 lectores confiables para que ocasione
autónomos. los que se roben los
Amenazas: para trabajadores de equipos de la
la amenaza 1: la empresa y empresa.
verificar para sus
constantemente clientes.
que el sistema
esté
funcionando de
forma correcta,
contratar a
personas
especializadas.
Para la amenaza
2: brindar
recomendacione
s que deben
seguir las
personas que
utilicen el
equipo, para que
lo empleen de
forma correcta.
Procesos Amenaza 1: Activo: se Interrupción en Los procesos Se presenta un 20 Frecuente Muchas
financieros Espionaje emplean la conexión de financieros grado elevado empresas de
remoto sistemas y las máquinas de deben ser para este activo, competencia
Amenaza 2: aplicaciones la organización totalmente porque a través envían a terceros
Explotación para garantizar con el servidor parciales para del dinero, la para sabotear la
económica la seguridad, de la parte producir empresa conectividad de
asegurar la contable negocios adquiere otras,
confianza con estables y equipos de perjudicando
los proveedores, duraderos, por cómputos principalmente a
llevar un lo tanto, deben confiables, la parte contable
registro y estar eficientes. Sino de la empresa,
control de los protegidos en se generan generando
números y servidores de ingresos, la perdidas
cuentas de alta calidad. empresa no monetarias. Esto
planes de podrá seguir se realiza
cuentas operando, por frecuentemente.
presentadas ende, se debe
Amenazas: en proteger de
la amenaza 1: forma segura
monitorear de este activo.
forma
permanente las
redes y
servidores,
encargar a una
persona
especializada
para que
siempre este
atenta a los
movimientos
que se hacen en
la organización,
de forma externa
e interna. En la
amenaza 2:
llevar de forma
equilibrada cada
uno de los
 procesos
económicos de
la empresa,
lograr un
equilibrio entre
la empresa, sus
proveedores y el
mercado.
Intranet Amenaza 1: Activo: No Se ha producido Por medio de Activo de grado 16 Frecuente Debido a la
Robo de existe control inestabilidad en este activo, se alto, ya que a interferencia
servidores existente para la conexión de logra una través de este se entre los
donde se este activo red. perfecta logra una servidores y
almacena la Amenazas: para comunicación conexión remota equipos de red,
información. la amenaza 1: entre la entre los la conexión
Amenaza 2: seguridad de empresa, el servidores de la puede presentar
Recuperación forma cliente y el empresa (ya sea inestabilidad y si
de medios permanente y servidor. de un área a en una empresa
desechados o confiable, otra) con los hay muchos
reciclados. asegurar la red clientes que servidores, esto
con equipos de pertenecen a la puede ocurrir
alto calibre. Para empresa, frecuentemente.
la amenaza 2: generando
verificar que se servidores de
haya eliminado alta calidad y
de forma confiables para
permanente la el usuario.
información
importante,
guardar esta
información, en
espacios de
 confianza y que
estén protegidos.
Central Amenaza 1: Activo: trabajo Contraseñas Este activo es Para este activo, 12 Probable Es probable que
privado Desvinculaci de expuestas importante el grado es muchos
automático ón de levantamiento porque permite medio porque si trabajadores
fábricas de la situación la vinculación algunas dejen su PC
importantes actual de la de la empresa empresas o descubierto en
Amenaza 2: organización en con fabricas y sucursales se horas de
Uso de términos de sucursales que desvinculan de descanso y
software seguridad de la le pueden la empresa, la terceros
falso o información, la servir a la empresa puede aprovechan para
copiado comprensión de empresa para tomar medidas robar sus datos
los procesos, crecer en un correctivas de usuario.
análisis de futuro, tanto en inmediatamente
riesgo, su producción, para no perder
propuestas de como en el mas proveedores
mejoría. mercado. en sus negocios
Amenazas: para y contratar a
la amenaza 1: personal más
garantizar desde especializado
un principio la para que eviten
estadía de las con anterioridad
fábricas. Firmar la calidad en el
con un contrato l software de los
vinculación equipos.
permanente de
las fábricas o
sucursales. Para
la amenaza 2:
verificar de
forma inmediata
 el estado de los
programas,
datos y archivos
de los equipos
de cómputo,
tener siempre
los datos o
información de
la empresa a la
cual se le hace el
pedido de los
equipos de
cómputo.
Portería / Amenaza 1: Activo: dos Dispositivos Este activo Se considera un 16 Ocasional Ocasionalmente
caseta de Robo del puertas para el materiales asegura que las activo de grado los encargados
vigilancia equipo de control de (cámaras de herramientas alto debido a de ubicar los
vigilancia acceso (sin seguridad,) de red, equipos que, si faltan dispositivos de
Amenaza 2: operación), 5 ubicados en de cómputo, equipos de seguridad, los
Error en el guardias lugares seguridad vigilancia, la dejan en sitios
uso contratados de la inapropiados permanezcan empresa estará que no son
organización, resguardadas desprotegida en seguros,
lecturas de en sitios todos los exponiéndolos a
reconocimiento seguros para sentidos (redes, su hurto.
facial. evitar el hurto, producción,
Amenazas: encargando a parte
asegurar los personas financiera).
equipos en un especializadas
lugar apto para para la
evitar el robo, vigilancia.
optar por la
obtención
 acciones
preventivas,
como: cámaras
de alta calidad,
cercas
electrificadas,
entre otros.
Soporte del Amenaza 1: Activo: Falta de Este activo es Se considera un 6 Remoto Esto no pasa
ambiente Mal uso del Suministrar un seguridad los importante activo de grado muy seguido ya
del sistema de soporte seguro y servidores de porque permite bajo porque que los correos
comercio soporte a confiable para el correo la cualquier electrónicos,
electrónico, usuarios cliente, ofrecer comunicación malentendido reciben su
servidor de Amenaza 2: servidores de segura y que se tenga configuración de
correo Ingreso de alta calidad para estable entre el entre algún seguridad con
electrónico datos falsos o la buena cliente con los usuario con la anterioridad.
Windows corruptos comunicación servidores de empresa por los
exchange con el cliente. la empresa. Si servicios que se
Amenazas: en se presenta ofrecen para el
la amenaza 1: algún soporte del
ofrecer charlas a inconveniente, correo, se puede
los usuarios para se tiene un solucionar
el buen uso de la área brindando las
plataforma. Para especializada ventajas que se
la amenaza 2: que se encarga tendría al
verificación de de dar solución utilizar estos
los datos que se al medios. Tomaría
vayan a ingresar inconveniente. poco tiempo en
en la plataforma, solucionarse.
llevar un control
constante de las
actividades que
 realicen los
usuarios.
Redes Amenaza 1: Activo: Mal Permite Activo de grado 16 Ocasional En ocasiones, no
Windows, Código Comprobar de mantenimiento software alto porque si no se les hace el
Linux malicioso forma constante de las salas de especializados se trabajan con mantenimiento a
como virus, el buen computo para cada equipos de las salas de
troyano funcionamiento equipo de cómputos que cómputo de
Amenaza 2: de los equipos cómputo que garanticen que forma correcta.
Interceptació de cómputo con se tenga en la su software es Esto perjudica a
n estos sistemas empresa, que confiable y de los ordenadores
operativos con este presto alta calidad, los que se
este tipo para la procesos de encuentran en
Amenazas: para seguridad en administración las mismas.
la amenaza1: caso de la de datos,
contar con inserción de comunicación
software y algún virus. entre servidores,
hardware aptos tomara más
para recibir tiempo en
antivirus llevarse a cabo.
potentes,
monitorear las
actividades
internas dentro
del equipo de
cómputo y en la
red. En la
amenaza 2:
proteger los
datos de
información de
forma segura,
 sin dejar rastro
de actividad
alguna,
mantener el
sistema
operativo y el
navegador
actualizados.
creación y Amenaza 1: Activo Asigna Falta de Se crean Se presenta un 2 Probable Esto tiene la
eliminación Procesamient dos seguridad de en cuentas donde activo de grado probabilidad de
de cuentas o ilegal de profesionales área de trabajo los usuarios se insignificante ya ocurrir ya que en
datos para estas pueden que los algunas
Amenaza 2: funciones, comunicar con acontecimientos ocasiones no se
Ingreso de subordina al la empresa, que se presenten les capacita de
datos falsos director esperando una en la creación y forma adecuada
administrativo respuesta eliminación de a los
financiero. inmediata para cuentas no trabajadores,
Amenazas: en cada solicitud afectarán de como deben de
la amenaza 1: dada. forma directa a mantener los
asignar a una la empresa. equipos, que sus
persona datos estén
especializada guardados en
para vigilar el bases de datos
paso de datos de confiables.
forma interna y
externa. Para la
amenaza 2:
encriptar los
datos de usuario
y contraseñas de
forma segura.
sistema de Amenaza 1: Activo: Falta de cuidado Si este activo Activo de grado 16 Ocasional En horarios de
circuito Falla en los garantizar con los no estuviese alto, ya que, si receso, algunos
cerrado de equipos de equipos de alta dispositivos en presente en la no se garantiza trabajadores no
tv computo calidad, horas de empresa, no se el perfecto cuidan sus
Amenaza 2: tecnologías descanso contará con la estado y equipos, lo que
Uso no adaptadas para seguridad funcionamiento trae consigo la
autorizado la seguridad. adecuada, por de os equipos, la falla de estos en
del equipo Amenazas: en lo tanto, es de empresa no un futuro.
la amenaza 1: suma evolucionará en
asegurar que los importancia sus procesos.
equipos estén para la
aptos para empresa, se
trabajar de mejora la
forma segura y confidencialida
estable, d para cada
realizando un uno de los
análisis de estos servidores, de
de forma los sistemas.
temporal. Para
la amenaza 2:
colocar de forma
segura el usuario
y contraseña del
equipo para
evitar el robo de
información,
evitar dejar el
equipo de
cómputo en
espacios donde
es vulnerable su
 utilización.
Roteadores Amenaza 1: Activo: Un atacante Se permite la Activo de grado 6 Ocasional En ocasiones,
para acceso Sabotaje en Contiene una puede adivinar conectividad bajo, debido a personas ajenas
a internet la calidad de cantidad los paquetes entre los que si llega a a la empresa,
los routers considerable de TCP diferentes faltar por intentan adivinar
Amenaza 2: routers (3) por si dispositivos de ejemplo un los protocolos
Perturbación en algún la red, de una router en un de los puertos de
debido a la momento falla red local a punto los routers y esto
radiación uno, están los internet. especifico, la puede conllevar
otros para su conectividad a que en un
reemplazo, hay puede funcionar futuro se
uno en cada sed. perfectamente presenten fallos
Amenazas: para con otros routers en la red.
la amenaza 1: que están en
tener a una otro punto.
persona
encargada de la
verificación de
los productos.
En la amenaza
2: determinar el
espacio correcto
donde se
instalarán los
routers.
computador Amenaza 1: Activo: Visible los Sin ellas no se Activo de grado 12 Probable Resulta probable
as portátiles Inserción de Contiene una cables de los podría trabajar alto, sino se que ocurra que
virus cantidad equipos en procesos de cuenta con al realizar el
Amenaza 2: considerable de red, en computadores montaje de los
Fuego portátiles (10) procesos de portátiles, los equipos en las
para la comunicación procesos de salas, queden
 dirección, están con los datos, de redes varios cables
totalmente proveedores o tomarían más sueltos y esto
liberados para su sucursales. tiempo en perjudicaría por
funcionamiento completarse. ejemplo la
Amenazas: en comodidad en el
la amenaza 1: puesto de
proteger de trabajo, se
forma segura el confundirían
equipo de algunos cables.
cómputo con
antivirus
especializados.
En la amenaza
2: alejar a los
equipos de
cómputo donde
son más
propensos a
dañarse por
efecto del fuego,
tener en la
organización
mecanismos de
protección
contra
incendios.
servidor de Amenaza 1: Activo: Sistema Poca Se mantienen Se considera un 16 Ocasional Ocasionalmente
correo/antiv Defecto de operativo libre responsabilidad los equipos activo de grado los proveedores
irus software (Linux Debian), por los protegidos alto, ya que si o contratistas
Amenaza 2: contiene solo un contratistas contra los servidores y que proveen los
Falsificación control para este amenazas equipos, no programas como
 de derechos activo. externas, cuentan con los antivirus, no
Amenazas: en protegiendo las protección de lo realizan de
la primera cuentas de antivirus, se forma adecuada
amenaza: contar correo y los pueden infectar y confiable o le
con servidores de por terceros en quedan mal a la
herramientas la empresa. cualquier empresa,
inteligentes que Alejándolos de momento. presentando
ayuden a softwares programas de
identificar este maliciosos. baja calidad.
defecto, evaluar
en primera
instancia a los
proveedores que
proporcionan el
software. Para la
segunda
amenaza, se
emplean
mecanismos y
métodos para
evitar la
piratería,
asegurar los
derechos que
tienen los
trabajadores y
los clientes en la
empresa.
punto de Amenaza 1: Activo: la Instalación por A través de Activo de grado 12 Frecuente Lo anterior
acceso Interferencia organización personal sin este activo, se alto, ya que, si ocurre
inalámbrico Amenaza 2: cuenta con un conocimiento o logra que la no está frecuentemente
 Radiación proveedor aprobación conectividad a funcionando de porque muchas
electromagné global para la internet sea forma correcta, empresas envían
tica solución de más fluida y se pierde la a personas que
redes y estable, para conexión no están en
comunicaciones, obtener cuando se esté capacidad para
contiene solo un procesos de realizando instalar el
control para este datos más cualquier acceso
activo. eficientes. proceso inalámbrico.
Amenazas: para importante en la Después de
la amenaza 1: empresa, varias pruebas,
proteger los perjudicando de la empresa se da
cables de red, esta manera el cuenta que este
asegurar el cierre en los servicio no
sistema negocios de la quedó instalado
electrónico. empresa. correctamente
Amenaza 2:
asegurar de
forma adecuada
los lugares de
instalación del
punto
inalámbrico para
evitar
interferencias.
salas de Amenaza 1: Activo: la El sistema de Se brindan Activo de grado 16 Ocasional Esto depende
reuniones fallos en los organización vigilancia y la espacios en la alto, sino se del tiempo que
con equipos de cuenta con un puerta de empresa, con tienen estos se especifica en
conexión video, de buen número de seguridad no componentes o equipos, no se la vulnerabilidad
conexión salas de funcionan hace herramientas llevarán (6 meses). Por lo
Amenaza 2: reuniones (7), si 6 meses integradas, que reuniones tato se cumple
Hurto de en alguna se permiten el importantes en que
equipo presenta una desarrollo de la empresa. ocasionalmente
falla, se puede actividades este sistema no
acceder a otra en importantes, de cuente con los
el instante. forma estable y implementos
Contiene solo un eficaz. necesarios para
control para este la protección.
activo.
Amenazas: en
la amenaza 1:
asegurar que los
equipos estén
aptos para
cualquier tipo de
actividad,
revisar la
calidad de estos
con pruebas
anteriores. Para
la amenaza 2:
evitar el ingreso
de personas
desconocidas en
áreas
restringidas.