Matriz Riesgos

MATRIZ DE INVENTARIO, CLASIFICACIÓN Y RIESGO DE ACTIVOS DE INFORMACIÓN
FEDERACIÓN COLOMBIANA DE MUNICIPIOS

DIRECCIÓN NACIONAL SIMIT
RESUMEN EJECUTIVO
Clasificación general y Número de activos Clasificación de activos según su valor

Riesgos Activos
Tipo de activo Cantidad
Número de activos de clientes o terceros
Tipo Dato Err:508 Err:508
que deben protegerse
Tipo Aplicación Err:508
Tipo Personal Err:508 Activos de información que deben ser
Tipo Instalación Err:508 restringidos a un número limitado de Err:508
Tipo Servicio Err:508 empleados
Tipo Tecnología Err:508
Número de activos de información que
Err:508 Err:508
deben ser restringidos a personas externas Extremo
Alto
Clasificación según impacto a la seguridad Activos de información que pueden ser Medio
alterados o comprometidos para fraudes o Err:508 Bajo
Leve Err:508 corrupción
Importante Err:508 Número de activos de información que
Grave Err:508 son muy críticos para las operaciones Err:508
internas
Resumen de nivel de riesgo en los activos Número de activos de información que

son muy críticos para el servicio hacia Err:508
Extremo 0 terceros
Alto 0
Medio 0
Bajo 0
Resumen de Valoración de los activos en escala C.C Eficiente
Nombre Riesgo Confidencialidad Integridad Disponibilidad Valor

Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Actas de Segui
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Actualizacione
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Aplicativo SIM
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Archivo de pla
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Archivos Conta
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Archivos de Re
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Archivos Infor
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Backups base d
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Banco de Proy
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Bancos -Token
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Base de datos a
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Base de datos d
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Base de Datos
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Base de datos p
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Bases de datos
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Bases de datos
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Bitacora de Ca
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Bodega de Da
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Borrador de res
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Canal de comu
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Capitulo de Au
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Carpeta Corrre
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Carpeta daf tes
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Carpeta de serv
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Carpeta DIR
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Carpeta evento
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Carpeta Presup
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Carpetas de Ge
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Certificaciones
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Certificaciones
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Chip (consolid
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Comodato
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Computador in
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Conciliaciones
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Consecionarios
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Consolidación
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Consolidados d
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Consultas y co
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Contraloría (Se
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Contratos de co
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Contratos de In
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Contratos Inter
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Control de Ingr
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Copias de corre
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Correo electrón
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Cronograma de
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Cuadro consoli
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Cuadro de aten
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Cuadro de cum
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Cuadro de reas
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Cuadro de resu
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Cuadro de segu
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Cuentas por pa
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Datacenter.
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Derechos de pe
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Directorio de A
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Distribucio Rec
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Documentos de
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Documentos de
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Estadísticas co
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Estados financi
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Estudios previo
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Facturación Cl
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Firewall.
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Firma digital c
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Firma digital D
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Firma Escanea
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Fondos de Cob
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Gastos de perso
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Historia Labora
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Informes
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Informes a Dia
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Informes contr
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Informes de Al
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Inventario y m
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Inventarios Do
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Jefe Administr
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Jefe de Asunto
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Jefe de Operac
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Jefe de Proyect
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Listas de asiste
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Logística de ev
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Manuales de op
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Mesa de ayuda
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Modulo Proyec
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Pagos especiale
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Planes de acció
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Política pública
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Portafolio de se
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Portales Empre
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Procedimientos
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Procesos Contr
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Procesos Judic
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Recaudo Local
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Relación de Inf
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Reportes
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Reportes Dane
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Reportes y Esta
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Secretaria de h
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Seguimiento a
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Seguimiento a
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Seguimiento de
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Seguimiento T
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Servicios de Im
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Servidores stor
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 SIGECCOM
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Sistema de info
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Software de de
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Software de Di
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Software gesto
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Software Visió
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Sofware Gestió
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Solicitud de co
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Solicitud de Pe
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Soporte a Capa
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Soportes de pa
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Switch core.
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Tesorería.
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 Tutelas
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 UPS.
Err:509 Err:508 Err:508 Err:508 Err:508 Err:508 VPN site to site
OBJETIVO
ALCANCE
Nombre de la Empresa:
Sitio web:
CONTEXTO LEGAL
ENFOQUE METODOLOGICO
TRATAMIENTO
Realizar la identificación, análisis y evaluación de los activos y riesgos de seguridad de la información para generar p
control de acceso.
Aplica para los activos dela Empresa
NTC ISO/IEC 27001 - NTC ISO/IEC 27005 - NTC ISO/IEC 31000
El enfoque de gestión de riesgos a aplicar está basado en la metodología MAGERIT
Se tratarán los riesgos cuyos niveles sean:

INACEPTABLE
Se aceptarán los riesgos cuyo resultado después de la valoración de riesgos sean:
MODERADO
Niveles de aceptación del riesgo (1 a 5 aceptable (A), 6 a 15 moderado (M), 16 a 26 inaceptable(I))
Una vez aplicados los controles se acepta un riesgo de residual en niveles APRECIABLE o IMPORTANTE
Criticidad residual (1 a 4 despreciable (d), 5 a 9 baja (B), 10 a 15 apreciable (a), 16 a 20 importante (i), 21 a 25 crítico
MATRIZ DE INVENTARIO; PROB
METODOLOGÍA PARA LA
PROBABILIDAD DEL RIESGO IMPACTO DEL RIESGO
Nomenclatura Categoría Valoración Nomenclatura
MA Prácticamente seguro 5 MA
A Probable 4 A
Probabilidad
Impacto
M Posible 3 M
B Poco probable 2 B
MB muy raro 1 MB
Z DE INVENTARIO; PROBABILIDAD, IMPACTO Y VALORACIÓN DEL RIESGO DE ACTIVOS DE INFORMACIÓN
METODOLOGÍA PARA LA VALORACIÓN DEL RIESGO EN LOS ACTIVOS DE INFORMACIÓN MAGERIT
IMPACTO DEL RIESGO VALORACIÓN DEL RIESGO
Categoría Valoración MA
Muy Alto 5 A
IMPACTO
Alto 4 M
Medio 3 B
Bajo 2 MB
Muy Bajo 1 RIESGO MB B M A
PROBABILIDAD
ORMACIÓN
GERIT
VALORACIÓN DEL RIESGO
Nomenclatura Categoría Valoración
MA Critico 21 a 25
A Importante 16 a 20
Valoracion del riesgo
M Apreciable 10 a 15
B Bajo 5a9
MA MB Despreciable 1a4
AD
información
No. Nombre del activo de
5 Nombre Entrevistado 5:
NORMA ISO 27001:2013
INFORMACION DE ACTIVOS
SEGÚN METODOLOGIA MAGERIT Y
MATRIZ DE LEVANTAMIENTO DE
Empresa: 0
del activo
Proceso propietario
Ana Lucía mesa Garavito
Juan Camilo Lujan Acevedo
DATOS DEL ACTIVO DE INFORMACION
Responsable
[D] DATOS
[K] CLAVES CRIPTOGRAFICAS
[S] SERVICIOS
[SW] SOFTWARE
[HW] EQUIPAMENTO INFORMÁTICO

TIPO
[COM] REDES DE COMUNICACIONES
[Media] SOPORTE DE INFORMACIÓN
[AUX] EQUIPAMENTO AUXILIAR
[L] INSTALACIONES
[P] PERSONAL
Dimensión Autenticidad(B / M /A / MA/
MB)
Dimensión Trazabilidad (B / M /A / MA/

MB)
Dimensión Confidencilidad
Cargo
Cargo
Cargo
Cargo
Cargo
(B / M /A / MA/ MB)
INFORMACIÓN DE LOS ACTIVOS
DIMENSION
Dimensión Integridad
(B / M /A / MA/ MB)
Dimensión Disponibilidad
(B / M /A / MA/ MB)
¿Es activo de información de terceros o de

LEVANTAMIENTO DE INFORMACIÓN, INVENTARIO Y CLASIFICACiÓN DE ACTIVOS - SEGURIDAD DE LA INFORMACIÓN
clientes que debe protegerse?
¿Activo de información que debe ser

restringido a un número limitado de
Director de sistemas
empleados?
Directora de Planeación
Activo de información que debe ser

restringido a personas externas
Activo de información que puede ser

alterado o comprometido para fraudes ó
corrupción
ATRIBUTOS
LASIFICACiÓN DE ACTIVOS - SEGURIDAD DE LA INFORMACIÓN
Director de sistemas Proceso TICS
Directora de Planeación Proceso Planeación
Proceso
Proceso
Proceso
INFORMACIÓN DE LOS ACTIVOS

ATRIBUTOS UBICACIÓN
Activo de información que es muy crítico
Activo de información que es muy crítico

para el servicio hacia terceros
para las operaciones internas
Activo de información que en caso
de ser conocido, utilizado o
modificado por alguna persona o
sistema sin la debida autorización,
impactaría negativamente a los Físico Electrónico
sistemas y/o procesos de la
empresa, de manera:
Leve Importante Grave

Resumen de Valoración de Riesgos de los Activos
METODOLO
Nombre
[www] Página Web
Servidor de Impresión
Servidor de Archvivos FTP
Router TP - LINK
Router Huawei
Equipos de computo Lenovo
Teclados HP
Disco duro SATA
Disco duro externo Toshiba
Firewall Cisco Meraki MX64W
Dispositivo Protectli Firewall con 4 puertos Intel Gigabit
Finiti - Contable
Software de Sistemas de camaras
Software Biometrico
Impresora HP
Scaner HP
Scaner Epson
Reloj Biometrico lector de hulla
METODOLOGIA DE MAGERIT: VALORACION DEL RIESGO - APROBADA POR EL DIRECTOR.
Riesgo AUTENTICIDAD TRAZABILIDAD CONFIDENCIALIDAD

CRITICO 25 25 25
CRITICO 25 25 20
CRITICO 25 25 25
CRITICO 25 25 20
CRITICO 25 25 20
IMPORTANTE 20 20 9
DESPRECIABLE 4 4 4
CRITICO 20 20 20
CRITICO 20 20 20
CRITICO 25 25 25
CRITICO 25 25 25
CRITICO 25 20 25
IMPORTANTE 20 20 20
IMPORTANTE 20 20 20
BAJO 9 9 9
BAJO 9 9 9
BAJO 9 9 9
APRECIABLE 15 15 15
DIRECTOR.
CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD VALOR

25 25 25 25
20 25 25 24
25 25 25 25
20 25 20 23
20 25 20 23
9 20 15 17
4 4 4 4
20 25 20 21
20 25 20 21
25 25 25 25
25 25 25 25
25 20 20 22
20 20 20 20
20 20 20 20
9 9 9 9
9 9 9 9
9 9 9 9
15 15 15 15
[www] Página Web 25 25
Servidor de Impresión 24 24
Servidor de Archvivos FTP 25 25
Router TP - LINK 23 23
Router Huawei 23 23
Equipos de computo Lenovo 17 17
Teclados HP 4 4
Disco duro SATA 21 21
Disco duro externo Toshiba 21 21
Firewall Cisco Meraki MX64W 25 25
Dispositivo Protectli Firewall con 4 pu 25 25
Finiti - Contable 22 22
Software de Sistemas de camaras 20 20
Software Biometrico 20 20
Impresora HP 9 9
Scaner HP 9 9
Scaner Epson 9 9
Reloj Biometrico lector de hulla 15 15
MATRIZ DE ANALISIS Y TRATAMIENTO DE RIESGOS
SEGÚN METODOLOGIA MAGERIT Y NORMA ISO 27001:2013
EMPRESA:
IDENTIFICACIÓN DE AMENAZAS, VULNERABILIDADES, ANALISIS DE RIESGOS, ESTRATEGIA DE CONTROLES Y PLAN DE TRATAMIENTO A APLICAR
INFORMACIÓN DE LOS ACTIVOS DE INFORMACION
GESTION DE RIESGOS: ANALISIS DE RIESGOS Y TRATAMIENTO DE LOS RIESGOS
Calculo del riesgo neto (Valoracion del riesgo *
Calificación de Gestión (1 control no existe, 2

Criticidad neta (1 a 4 despreciable (d), 5 a 9
Probabilidad de vulneración (1 Muy raro, 2
VALORACIÓN DEL RIESGO DE LOS ACTIVOS
existe pero no efectivo, 3 efectivo pero no

documentado, 4 efectivo y documentado)
poco probable, 3 posible, 4 probable, 5
baja (B), 10 a 15 apreciable (a), 16 a 20

No. De Amenazas y Vulnerabilidades
importante (i), 21 a 25 crítico(C))

probabilidad de vulneración)
practicamente seguro)
Nombre del activo de Amenazas Si la opción es 2 - 3 o 4 Indique
Activos de Informacion Vulnerabilidades
información Metodologia Magerit el Control aplicado actual
[I8] Fallo de servicios de

[S] SERVICIOS 1 [www] Página Web 25 comunicaciones 5 125 C 1
[HW] EQUIPAMENTO [E15] Alteración accidental de la

INFORMÁTICO 2 Servidor de Impresión 24 información 3 72 C 4
[S] SERVICIOS 3 Servidor de Archvivos FTP 25 [I9] Interrupción de otros servicios y 5 125 C 1
suministros esenciales
[HW] EQUIPAMENTO
INFORMÁTICO 4 Router TP - LINK 23 [I5] Avería de origen físico o lógico 3 69 C 1
[HW] EQUIPAMENTO 5 Router Huawei 23 [I5] Avería de origen físico o lógico 5 115 C 1
INFORMÁTICO
[HW] EQUIPAMENTO 6 Equipos de computo Lenovo 17 [I5] Avería de origen físico o lógico 1 17 I 1
INFORMÁTICO
[HW] EQUIPAMENTO
INFORMÁTICO 7 Teclados HP 4 [I5] Avería de origen físico o lógico 1 4 D 1
[HW] EQUIPAMENTO 8 Disco duro SATA 21 [I5] Avería de origen físico o lógico 1 21 C 1
INFORMÁTICO
[HW] EQUIPAMENTO
INFORMÁTICO 9 Disco duro externo Toshiba 21 [I5] Avería de origen físico o lógico 1 21 C 1
[SW] SOFTWARE 10 Firewall Cisco Meraki MX64W 25 [E2] Errores del administrador 1 25 C 1
[SW] SOFTWARE
11 Dispositivo Protectli Firewall con 25 [E2] Errores del administrador 1 25 C 1
4 puertos Intel Gigabit
[SW] SOFTWARE 12 Finiti - Contable 22 [E1] Errores de los usuarios 1 22 C 1
[SW] SOFTWARE
13 Software
camaras
de Sistemas de 20 [E4] Errores de configuración 1 20 I 1
[SW] SOFTWARE 14 Software Biometrico 20 [E4] Errores de configuración 1 20 I 1
[HW] EQUIPAMENTO
15 Impresora HP 9 [I5] Avería de origen físico o lógico 1 9 B 1
INFORMÁTICO
[HW] EQUIPAMENTO 16 Scaner HP 9 [I5] Avería de origen físico o lógico 2 18 I 2
INFORMÁTICO
[HW] EQUIPAMENTO
INFORMÁTICO 17 Scaner Epson 9 [I5] Avería de origen físico o lógico 3 27 C 3
[HW] EQUIPAMENTO 18 Reloj Biometrico lector de hulla 15 [I5] Avería de origen físico o lógico 4 60 C 4
INFORMÁTICO
APLICAR
Riesgo residual (riesgo neto dividido entre la
22
25
25
21
21
17
69
18
115
125
125
calificación de gestión)
Criticidad residual (1 a 4 despreciable (d), 5 a 9

I
I
C
C
C
C
C
C
C
C
C
D baja (B), 10 a 15 apreciable (a), 16 a 20

importante (i), 21 a 25 crítico(C))
Niveles de aceptación del riesgo (1 a 5
I
I
I
I
I
I
I
I
I
I
I
aceptable (A), 6 a 15 moderado (M), 16 a 26

inaceptable(I))
FERZAMHER
20 I I
20 I I
9 B M
9 B M
9 B M
15 A I
APETITO POR EL RIESGO Y ZONAS DE ADMISIBILIDAD
IMPACTO
Insignificante Menor Moderado Mayor
MUY ALTA
ALTA
IMPACTO
MEDIA
BAJA
MUY BAJA
RIESGO MUY BAJA BAJA MEDIA ALTA
PROBABILIDAD
AD
✘ Evaluar riesgo moderado
Catastrófico
MUY ALTA
DIMENSION Probabilidad de vulneración
B Bajo 1 Muy raro
M Medio 2 Poco probable
A Alto 3 Posible
MA Muy Alto 4 Probable
MB Muy Bajo 5 Practicamente serguro
Calificación de Gestión Activos
[D] DATOS
1 Control no Existente
[K] CLAVES CRIPTOGRAFICAS
2 Existe pero no efectivo
[S] SERVICIOS
3 Efectivo pero no documentado
[SW] SOFTWARE
4 Efectivo y documentado
[HW] EQUIPAMENTO INFORMÁTICO
[COM] REDES DE COMUNICACIONES

[Media] SOPORTE DE INFORMACIÓN
[AUX] EQUIPAMENTO AUXILIAR
[L] INSTALACIONES
[P] PERSONAL
Orden TIPO Codificacion
A9.1.1
51 C
A9.1.2
52 C
A9.2.1
55 C
56 C A9.2.2
A9.2.3
57 C
A9.2.4
58 C
A9.2.5
59 C
A9.2.6
60 C
A9.3.1
63 C
A9.4.1
66 C
A9.4.2
67 C
A9.4.3
68 C
A9.4.4
69 C
70 C A9.4.5
48 D A9
49 O A9.1
53 O A9.2
61 O A9.3
64 O A9.4
TITULO
Política de control de acceso
Acceso a redes y a servicios en red
Registro y cancelación del registro de usuarios
Suministro de acceso de usuarios

Gestión de derechos de acceso privilegiado
Gestión de información de autenticación secreta de usuarios
Revisión de los derechos de acceso de usuarios
Retiro o ajuste de los derechos de acceso
Uso de información de autenticación secreta
Restricción de acceso a la información
Procedimiento de ingreso seguro
Sistema de gestión de contraseñas
Uso de programas utilitarios privilegiados
Control de acceso a códigos fuente de programas

CONTROL DE ACCESO
Requisitos del negocio para el control de acceso
Gestión de acceso de usuarios
Responsabilidades de los usuarios
Control de acceso a sistemas y aplicaciones
Descripción si no JUSTIFICACION
Control: Se debe establecer, documentar y revisar una
política de control de acceso con base en los requisitos
del negocio y de la seguridad de la información.
Control: Solo se debe permitir acceso de los usuarios a la

red y a los servicios de red para los que hayan sido
autorizados específicamente.
Control: Se debe implementar un proceso formal de

registro y de cancelación de registro de usuarios, para
posibilitar la asignación de los derechos de acceso.
Control: Se debe implementar un proceso de suministro

de accesoSeformal
Control: de usuarios
debe restringir para asignar
y controlar o revocarylos
la asignación uso
derechos de acceso
de derechos para
de acceso todo tipo de usuarios para todos
privilegiado
los sistemas y servicios.
Control: La asignación de información de autenticación
secreta se debe controlar por medio de un proceso de
gestión formal.
Control: Los propietarios de los activos deben revisar los

derechos de acceso de los usuarios, a intervalos
regulares.
Control: Los derechos de acceso de todos los empleados y

de usuarios externos a la información y a las instalaciones
de procesamiento de información se deben retirar al
terminar su empleo, contrato o acuerdo, o se deben
ajustar cuando se hagan cambios.
Control: Se debe exigir a los usuarios que cumplan las

prácticas de la organización para el uso de información de
autenticación secreta.
Control: El acceso a la información y a las funciones de los

sistemas de las aplicaciones se debe restringir de acuerdo
con la política de control de acceso.
Control: Cuando lo requiere la política de control de

acceso, el acceso a sistemas y aplicaciones se debe
controlar mediante un proceso de ingreso seguro.
Control: Los sistemas de gestión de contraseñas deben

ser interactivos y deben asegurar la calidad de las
contraseñas.
Control: Se debe restringir y controlar estrictamente el

usos de programas utilitarios que podrían tener capacidad
de anular el sistema y los controles de las aplicaciones.
Control: Se debe restringir el acceso a los códigos fuente

de los programas.
RL RC RIESGO
TIPO AMENAZA
[N] Desastres naturales
[I] De origen industrial
[E] Errores y fallos no intencionados
[A] Ataques intencionados
AMENAZA
[N1] Fuego
[N2] Daños por agua
[N*] Desastres naturales
[I1] Fuego
[I2] Daños por agua
[I*] Desastres industriales
[I3] Contaminación mecánica
[I4] Contaminación electromagnética
[I5] Avería de origen físico o lógico
[I6] Corte del suministro eléctrico
[I7] Condiciones inadecuadas de temperatura o humedad
[I8] Fallo de servicios de comunicaciones
[I9] Interrupción de otros servicios y suministros esenciales
[I10] Degradación de los soportes de almacenamiento de la información
[I11] Emanaciones electromagnéticas
[E1] Errores de los usuarios
[E2] Errores del administrador
[E3] Errores de monitorización (log)
[E4] Errores de configuración
[E7] Deficiencias en la organización
[E8] Difusión de software dañino
[E9] Errores de [re-]encaminamiento
[E10] Errores de secuencia
[E14] Escapes de información
[E15] Alteración accidental de la información
[E18] Destrucción de información
[E19] Fugas de información
[E20] Vulnerabilidades de los programas (software)
[E21] Errores de mantenimiento / actualización de programas (software)
[E23] Errores de mantenimiento / actualización de equipos (hardware)
[E24] Caída del sistema por agotamiento de recursos
[E25] Pérdida de equipos
[E28] Indisponibilidad del personal
[A3] Manipulación de los registros de actividad (log)
[A4] Manipulación de la configuración
[A5] Suplantación de la identidad del usuario
[A6] Abuso de privilegios de acceso
[A7] Uso no previsto
[A8] Difusión de software dañino
[A9] [Re-]encaminamiento de mensajes
[A10] Alteración de secuencia
[A11] Acceso no autorizado
[A12] Análisis de tráfico
[A13] Repudio
[A14] Interceptación de información (escucha)
[A15] Modificación deliberada de la información
[A18] Destrucción de información
[A19] Divulgación de información
[A22] Manipulación de programas
[A23] Manipulación de los equipos
[A24] Denegación de servicio
[A25] Robo
[A26] Ataque destructivo
[A27] Ocupación enemiga
[A28] Indisponibilidad del personal
[A29] Extorsión
[A30] Ingeniería social (picaresca)
✘ Evaluar riesgo
1 moderado
C I A
Insignificante Menor Moderado Mayor Catastrófico Menor Moderado Mayor Catastrófico Menor Moderado Mayor
, R1
, R2 , R1
, R2 , R3, R1
, R4, R2 , R3, R1
, R4, R2 , R5, R3, R1
, R4, R2 , R5, R3, R1
, R4, R2 , R5, R3, R1
, R8 , R4, R2 , R5, R3, R1
, R9, R8 , R4, R2 , R5, R3, R1
, R10, R9, R8 , R4, R2 , R5, R3, R1
, R11, R10, R9, , R4, R2 , R5, R3, R1
, R12, R11, R10, , R4, R2 , R5, R3, R1
, R12, R11, R10, , R4, R2 , R5, R3, R1
, R12, R11, R10, , R4, R2 , R5, R3, R1
, R12, R11, R10, , R4, R2 , R5, R3, R1
Err:508 Err:508 Err:508 Err:508 Err:508 Err:508 Err:508 Err:508 Err:508 Err:508 Err:508 Err:508
IMPA
A B
Insignificant
D e
Catastrófico Moderado Mayor Catastrófico Catastrófico
IMPACTO
a
RIESGO 1
Err:508 Err:508 Err:508 Err:508 Err:508
Err:508 Err:508 Err:508 Err:508 Err:508 PROBAB
Valor que nutre la matriz
IMPACTO
Menor Moderado Mayor Catastrófico
2 3 4 5
PROBABILIDAD

Matriz Riesgos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Matriz Riesgos

Cargado por

Copyright:

Formatos disponibles

MATRIZ DE INVENTARIO, CLASIFICACIÓN Y RIESGO DE ACTIVOS DE INFORMACIÓN

FEDERACIÓN COLOMBIANA DE MUNICIPIOS

Clasificación general y Número de activos Clasificación de activos según su valor

Resumen de nivel de riesgo en los activos Número de activos de información que

Nombre Riesgo Confidencialidad Integridad Disponibilidad Valor

Aplica para los activos dela Empresa

NTC ISO/IEC 27001 - NTC ISO/IEC 27005 - NTC ISO/IEC 31000

El enfoque de gestión de riesgos a aplicar está basado en la metodología MAGERIT

Se tratarán los riesgos cuyos niveles sean:

PROBABILIDAD DEL RIESGO IMPACTO DEL RIESGO

Nomenclatura Categoría Valoración Nomenclatura

METODOLOGÍA PARA LA VALORACIÓN DEL RIESGO EN LOS ACTIVOS DE INFORMACIÓN MAGERIT

IMPACTO DEL RIESGO VALORACIÓN DEL RIESGO

Muy Bajo 1 RIESGO MB B M A

VALORACIÓN DEL RIESGO

Nomenclatura Categoría Valoración

DATOS DEL ACTIVO DE INFORMACION

[K] CLAVES CRIPTOGRAFICAS

[HW] EQUIPAMENTO INFORMÁTICO

[COM] REDES DE COMUNICACIONES

[Media] SOPORTE DE INFORMACIÓN

[AUX] EQUIPAMENTO AUXILIAR

Dimensión Trazabilidad (B / M /A / MA/

¿Es activo de información de terceros o de

clientes que debe protegerse?

¿Activo de información que debe ser

Activo de información que debe ser

Activo de información que puede ser

INFORMACIÓN DE LOS ACTIVOS

Activo de información que es muy crítico

Activo de información que es muy crítico

Leve Importante Grave

Riesgo AUTENTICIDAD TRAZABILIDAD CONFIDENCIALIDAD

CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD VALOR

Calculo del riesgo neto (Valoracion del riesgo *

Calificación de Gestión (1 control no existe, 2

existe pero no efectivo, 3 efectivo pero no

baja (B), 10 a 15 apreciable (a), 16 a 20

importante (i), 21 a 25 crítico(C))

[I8] Fallo de servicios de

[HW] EQUIPAMENTO [E15] Alteración accidental de la

Riesgo residual (riesgo neto dividido entre la

Criticidad residual (1 a 4 despreciable (d), 5 a 9

D baja (B), 10 a 15 apreciable (a), 16 a 20

Niveles de aceptación del riesgo (1 a 5

aceptable (A), 6 a 15 moderado (M), 16 a 26

RIESGO MUY BAJA BAJA MEDIA ALTA

[COM] REDES DE COMUNICACIONES

Acceso a redes y a servicios en red

Registro y cancelación del registro de usuarios

Suministro de acceso de usuarios

Gestión de información de autenticación secreta de usuarios

Revisión de los derechos de acceso de usuarios

Retiro o ajuste de los derechos de acceso

Uso de información de autenticación secreta

Restricción de acceso a la información

Procedimiento de ingreso seguro

Sistema de gestión de contraseñas

Uso de programas utilitarios privilegiados

Control de acceso a códigos fuente de programas

Control: Solo se debe permitir acceso de los usuarios a la

Control: Se debe implementar un proceso formal de

Control: Se debe implementar un proceso de suministro