Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TESIS
Tarapoto - Perú
2016
3
4
DEDICATORIA
AGRADECIMIENTO
RESUMEN
Este trabajo tiene como objetivo fundamental, diseñar un SGSI para la empresa NET-
Consultores bajo la Norma ISO/IEC 27001 con el fin de clasificar la información,
identificar vulnerabilidades y amenazas en el área de informática; valorar los riesgos
y con base en estos definir controles y políticas de seguridad que deben ser de
conocimiento de la empresa, instrucciones de los procedimientos a realizarse y la
documentación que se debe desarrollar en todo el proceso para la posterior
implementación del SGSI, aplicando el modelo PDCA (Planificar, hacer, verificar y
actuar).
SUMMARY
The following research is made for NET CONSULTORES enterprise SAC, which
implement security control policies to protect information; improving client’s services,
offering quality and efficiency in service to assure business continuing.
The following research has as main objective to design an SGSI system with NET-
consulters under ISO/IEC 27001 Standard aiming to classify information, identify
weaknesses and menace to the communication area; value risks defining security
control and policies based on it, which would be manage by the company, procedure
instructions and documentation that must be developed during the process in order to
implement SGCI system, under PDCA (Planning, Doing, Control and Acting).
As a first step, observation for information gathering must be done and also interview
technic to let have a general idea of security management on the organization.
After, a risk analysis step by step developing the assets inventory is done, quality value
of assets, menaces identification, assets safeguard identification, valuation and
evaluation of risks and its report which let identify the most relevant risks where the
company is exposed.
Following is defining security control and policies which will contribute in less incidence
of risk in the communication area empower security that will be reflected in the
company and its clients giving nimble, efficient, and accurate services.
ÍNDICE
DEDICATORIA ........................................................................................................... 4
AGRADECIMIENTO ................................................................................................... 5
RESUMEN .................................................................................................................. 6
SUMMARY .................................................................................................................. 7
ÍNDICE ........................................................................................................................ 8
NOMENCLATURAS ................................................................................................. 11
INTRODUCCIÓN ...................................................................................................... 13
CAPÍTULO I .............................................................................................................. 15
I. EL PROBLEMA ................................................................................................ 16
CAPÍTULO II ............................................................................................................. 47
3.5. Instrumento........................................................................................... 51
NOMENCLATURAS
a) Lista de tablas
b) Lista de Ilustraciones
Ilustración 1: Frecuentes Incidentes de Seguridad. ...................................... 18
Ilustración 2: Vulnerabilidades asociados a seguridad de información. ..... 19
Ilustración 3: Niveles de riesgo de activos de información. ......................... 20
Ilustración 4: Personal Capacitado en Seguridad de la Información. .......... 20
Ilustración 5: Modelo de desarrollo PDCA...................................................... 30
Ilustración 6: La región crítica o de rechazo a H0 .......................................... 69
12
INTRODUCCIÓN
Desde hace ya algunos años la información se considera uno de los activos más
valiosos de una compañía (los costes derivados de pérdida de seguridad no son sólo
costes económicos directos, sino que también afectan a la imagen de la empresa),
por lo que, cada vez más, la seguridad de la información forma parte de los objetivos
de las organizaciones y, sin embargo, y a pesar de esa concienciación generalizada,
muchas empresas no se enfrentan a este aspecto con la profundidad con la que
debiera tratarse.
Una vez identificado claramente los activos que se encuentran en riesgo y que
generarían mayor impacto en caso de sufrir un ataque, se procede a definir políticas
de seguridad, la declaración y aplicabilidad de los controles y el plan de gestión del
riesgo, para cada uno de estos activos teniendo en cuenta lo expuesto por la Norma
ISO/IEC 27002. Dichas políticas y controles deben ser implementadas en la
organización para cumplir el objetivo fundamental del SGSI que es proteger la
información y disminuir los riesgos, garantizando la continuidad del negocio.
15
CAPÍTULO I
16
I. EL PROBLEMA
4. Pérdida de información.
ÁREA DE TECNOLOGÍA
1 9%
2 8%
4 15%
5 7%
Seguridad de Información
6 6%
7 8%
8 9%
9 12%
10 9%
11 5%
30%
ÁREA DE TECNOLOGÍA
25%
15%
12%
10% Seguridad de Información
8%
1 2 3 4 5 6
Vulnerabilidades asociados a seguridad de información
1. Datos o información.
2. Aplicaciones.
3. Servicios.
4. Tecnología.
5. Local.
20
ÁREA DE TECNOLOGÍA
40%
25%
15%
11% 9% Seguridad de
información
1 2 3 4 5
Niveles de riesgo de activos de información
ÁREA DE TECNOLOGÍA
Personal Capacitado en Seguridad de
Información
10%
Capacitado
No capacitado
90%
Se debe establecer que los dueños de cada uno de los procesos que fueron
analizados para el diseño del SGSI de este proyecto, empiecen a darle
mayor importancia a la seguridad de la información, y que velen para que
de alguna manera se pueda levantar los riesgos encontrados dentro de sus
actividades.
Fuente: http://www.gestion-calidad.com/implantacion-
iso-27001.html
Gestión de recursos:
A.10. Criptografía
A.18. Cumplimiento
Fuente: http://www.iso27000.es/
36
2.3.4.2. Cláusulas
Objetivo
Cláusula o Dominios de
Control
Gestión de activos 3
Control de accesos 4
Criptografía 1
Fuente: http://www.iso27000.es/
2.3.5. Riesgo
Identificar los activos que están dentro del alcance del SGSI y a sus
responsables directos, denominados propietarios.
2.4. Hipótesis
Dimensión
Escala Indicadores
empresa o terceros.
0, 1, 2, 3
(2) Información cuya modificación no autorizada es de
difícil reparación y podría ocasionar un perjuicio
significativo.
para la empresa.
0, 1, 2, 3
(2) Información cuya inaccesibilidad permanente durante
la jornada laboral podría impedir la ejecución de las
actividades de la empresa.
Fuente: www.seguridadinformatica.unlu.edu.ar
Valor
Escala
Porcentual
Numérico
Indicador
Fuente: www.fing.edu.uy
46
2.7. Objetivos
CAPÍTULO II
48
3.1.1. Universo
Activos esenciales 20
Datos o información 14
Claves criptográficas 8
Servicios 14
Aplicaciones de software 14
Equipos informáticos 17
Personal 9
Redes de comunicación 12
Soportes de información 10
Equipamiento auxiliar 13
Instalaciones 11
3.1.2. Muestra
Departamento : Lima.
Provincia : Lima.
Dónde:
O1: Es el pre test, que permitirá diagnosticar el estado de los riesgos antes de
la aplicación del Sistema de Gestión de Seguridad de la Información.
O2: Es el pos test, que permitirá determinar el estado de los riesgos después
de la aplicación del Sistema de Gestión de Seguridad de la Información.
50
3.4.1. Procedimientos
3.4.2. Técnicas
3.4.2.2. Entrevista
3.4.2.3. Cuestionario
3.5. Instrumento
𝑛
𝑥𝑖
𝑋̅ = ∑
n
𝑖=1
̅ )𝟐
∑𝒏 (𝑿𝒊 − 𝑿
𝑺 = √ 𝒊=𝟏
𝒏−𝟏
3.6.1. Hipótesis
Ho : µ1 = µ2
H1 : µ1 ≠ µ2
Zt = ±1.96
Luego de realizar las respectivas observaciones del Pre test y Pos test
aplicado a los activos de información de la empresa NET-Consultores
S.A.C y habiendo obtenido los resultados, se procedió a llenar el
siguiente tabla para la respectiva verificación de la hipótesis, de
acuerdo a la probabilidad con la que ocurre cada riesgo
correspondiente a cada activo de información; la evaluación se llevó a
cabo de acuerdo a los 142 riesgos asociados a los activos encontrados
en la empresa y de los cuales se hizo la respectiva evaluación.
Dif. (Pre-Pos) %
Pos test (%)
Pre test (%)
Riesgo Activo
Equipos
[N.1] Fuego
informáticos. 50 10 40
[N.2] Daños por agua
Instalaciones.
Equipos
[I.1] Fuego
informáticos. 70 50 20
[I.2] Daños por agua
Instalaciones.
Equipos
70 50 20
informáticos.
Soporte de
50 10 40
[N.*] Desastres Información.
naturales
Equipamiento
50 10 40
Auxiliar.
Instalaciones. 50 10 40
55
Equipos
70 50 20
informáticos.
Soporte de
50 10 40
[I.*] Desastres Información.
industriales
Equipamiento
50 10 40
Auxiliar.
Instalaciones. 50 10 40
Equipos
70 70 0
informáticos.
Equipamiento
50 10 40
Auxiliar.
Software -
Aplicaciones 100 70 30
Informáticas.
Equipos
70 50 20
[I.5] Avería de origen informáticos.
físico o lógico
Soportes de
50 10 40
Información.
Equipamiento
50 10 40
Auxiliar.
56
Equipos
100 70 30
Informáticos.
Ups computadores 50 10 40
[I.7] Condiciones
inadecuadas de Equipos
100 70 30
temperatura o Informáticos.
humedad
Redes de
[I.8] Fallo de servicios comunicaciones
100 70 30
de comunicaciones (Red inalámbrica,
red local e internet)
[I.9] Interrupción de
otros servicios y Equipamiento
50 10 40
suministros Auxiliar.
esenciales.
[I.10] Degradación de
los soportes de Soportes de
50 10 40
almacenamiento de la Información.
información.
57
Archivos de
100 70 30
proyectos.
Archivos de Clientes 50 10 40
Archivo de
50 10 40
Contabilidad
Archivos de Informes
100 50 50
y licencias expedidas
usuarios de seguridad de la 50 10 40
información
Datos de
configuración de 50 10 40
servidores y equipos
Datos de Gestión de
50 10 40
proyectos radicados
Contraseñas de
acceso de 50 10 40
empleados
Servicios prestados
a usuarios externos
50 10 40
bajo relación
contractual
Servicios prestados
a trabajadores tanto
al interior como 50 10 40
haciendo uso de
internet.
Servicio de internet
que acceden los 70 50 20
empleados.
Manejo de correos
[E.1] Errores de los 50 10 40
electrónicos
usuarios
Servicio de
almacenamiento de
información en el 70 50 20
servidor de bases de
datos.
Manejo de privilegios
de acuerdo al rol
dentro de la empresa
y el lugar de donde
50 10 40
esté ingresando,
considerando el
desempeño como
teletrabajo.
59
Servidor de
50 10 40
aplicaciones
Gestor base de
datos, aplicación
destinada a realizar
el proceso de
50 10 40
gestión de las bases
de datos manejadas
al interior de la
usuarios
Office 2010 50 10 40
Aplicaciones
Kaspersky original
con actualizaciones 50 10 40
automáticas.
Sistema operativo
Windows 7, en su
versión professional
70 50 20
con actualizaciones
automáticas
activadas.
Datos de
[E.4] Errores de
configuración de 50 10 40
configuración
servidores y equipos
60
Personal 100 70 30
[E.7] Deficiencias en
la organización Administrador de
50 10 40
sistemas
Software –
[E.8] Difusión de
Aplicaciones 50 10 40
software dañino
Informáticas
Servicios 50 10 40
Software –
[E.9] Errores de [re- Aplicaciones 50 10 40
]encaminamiento Informáticas
Redes de
50 10 40
comunicaciones
Activos esenciales 50 10 40
[E.14] Escapes de
información
Datos / información 50 10 40
[E.15] Alteración
accidental de la Datos / información 70 50 20
información
Datos / información 70 50 20
[E.18] Destrucción de
Aplicaciones 50 10 40
la información
Soporte Información 50 10 40
61
Datos / información 70 50 20
Claves criptográficas 50 10 40
[E.19] Fugas de
Servicios 70 50 20
información
Aplicaciones 70 50 20
Personal 70 50 20
Servidor de
50 10 40
aplicaciones
Gestor base de
datos, aplicación
destinada a realizar
el proceso de
70 50 20
gestión de las bases
de datos manejadas
al interior de la
[E.20]
empresa.
Vulnerabilidades de
los programas Office 2010 50 10 40
(software)
Kaspersky original
con actualizaciones 50 10 40
automáticas.
Sistema operativo
Windows 7, en su
versión professional
70 50 20
con actualizaciones
automáticas
activadas
62
Servidor de
50 10 40
aplicaciones
Gestor base de
datos, aplicación
destinada a realizar
el proceso de
70 50 20
gestión de las bases
de datos manejadas
al interior de la
[E.21] Errores de empresa.
mantenimiento /
actualización de Office 2010 50 10 40
programas (software)
Kaspersky original
con actualizaciones 70 50 20
automáticas.
Sistema operativo
Windows 7, en su
versión professional
70 50 20
con actualizaciones
automáticas
activadas
Servicios 50 10 40
Equipos Informáticos 50 10 40
[E.25] Pérdida de
Soporte Información 50 10 40
equipos -Robo
Equipamiento
50 10 40
Auxiliar
Personal de
recepción, área
[E.28] Indisponibilidad
técnica, 70 50 20
del personal
administrativa y
archivo
Datos / información 50 10 40
Claves criptográficas 50 10 40
[A.5] Suplantación de
la identidad del
usuario Servicios 50 10 40
Aplicaciones 50 10 40
Redes de
50 10 40
comunicaciones
64
Datos / información 50 10 40
Claves criptográficas 50 10 40
Servicios 50 10 40
[A.6] Abuso de
privilegios de acceso
Equipos Informáticos 100 70 30
Redes de
70 50 20
comunicaciones
Servicios 50 10 40
Aplicaciones 70 50 20
Redes de
70 50 20
comunicaciones
[A.7] Uso no previsto
Soporte de
50 10 40
Información
Equipamiento
50 10 40
Auxiliar
Instalaciones 70 50 20
[A.8] Difusión de
Aplicaciones 50 10 40
software dañino
65
Datos / información 70 50 20
Claves criptográficas 50 10 40
Servicios 50 10 40
Aplicaciones 70 50 20
Equipos Informáticos 70 50 20
[A.11] Acceso no
Redes de
autorizado 70 50 20
comunicaciones
Soporte de
50 10 40
Información
Equipamiento
50 10 40
Auxiliar
Instalaciones 50 10 40
Datos / información 50 10 40
Aplicaciones 50 10 40
66
Datos / información 50 10 40
Claves criptográficas 50 10 40
Soporte de la
50 10 40
información
Datos / información 70 50 20
[A.22] Manipulación
Aplicaciones 70 50 20
de programas
Soportes de
[A.23] Manipulación 50 10 40
Información
de los equipos
Equipamiento
50 10 40
auxiliar
Equipos Informáticos 50 10 40
Equipos informáticos 50 10 40
[A.25] Robo
Soporte de
50 10 40
Información
Equipo Informáticos 50 10 40
Soporte de
50 10 40
Información
[A.26] Ataque
destructivo
Equipamiento
50 10 40
Auxiliar
instalaciones 50 10 40
[A.28] Indisponibilidad
Personal 50 10 40
del Personal
[A.30] Ingeniería
Personal 50 10 40
Social
𝜇2−𝜇1
Se usa la fórmula: 𝑍𝑐 = 2 2
√𝜎2 +𝜎1
𝑛 𝑛
Entonces se tiene:
23.6620 − 58.3803
𝑍𝑐 = = −15.97
21.35412 14.66592
√ +
142 142
Región Región
De rechazo De rechazo
Región de aceptación
Zc=-15.97
CAPÍTULO III
71
IV. RESULTADOS
Teniendo en cuenta el ciclo PDCA que permite realizar una serie de pasos y
procesos para la construcción de un SGSI, a continuación se procede a
realizar cada una de estas etapas:
4.1.1.1. Alcance
Paso 4: Salvaguardias
activo Magerit
Código grupo
Activos
Datos de Carácter
[per]
[files]
Ficheros [A_ Clientes] Archivos de Clientes
[encrypt]
[CC_ Aplicaciones_
Claves de cifra Claves de cifra de aplicaciones bancarias
bancarias]
76
[ext]
[S _ U _Externo]
una elación contractual) relación contractual (Clientes de proyectos)
[S _ U _ Interno]
propia organización) como haciendo uso de internet.
[www]
empleados.
[email]
[app]
Servidor de aplicaciones [Server _App] Servidor de aplicaciones
Sistema de gestión de
[S_ Base De Datos] realizar el proceso de gestión de las bases de datos
bases de datos
manejadas al interior de la empresa.
[Oficce]
Antivirus [Antivirus]
automáticas.
[host]
de bases de datos,
servidores de aplicación) [S_ Data base] Servidor de Base de Datos
Equipos Informáticos
Redes de Comunicación
[wifi]
Red inalámbrica [R_ wifi] Red Inalámbrica
[printed]
Sistemas de Alimentación
U_ Computadores Ups computadores
ininterrumpida
Equipamiento Auxiliar
[suplly]
[building]
Indicadores
Integridad
(2) Información cuya modificación no
autorizada es de difícil reparación y podría
ocasionar un perjuicio significativo.
empresa.
Fuente: www.seguridadinformatica.unlu.edu.ar
83
Dimensión
activo Magerit Seguridad
Código grupo
Confidencialidad
Activos
Disponibilidad
Integridad
Activo Magerit NET-Consultores NET-Consultores
Datos vitales
Activos Esenciales
Datos de Carácter
[per]
Datos clasificados
[D_Proyectos] Documentación de proyectos. 0 0 1
84
[encrypt]
[CC_ Aplicaciones_
Claves de cifra Claves de cifra de aplicaciones bancarias. 3 3 0
bancarias]
85
[S_U_ Interno] 3 3 0
propia organización) interior como haciendo uso de internet.
[email]
[Oficce]
Antivirus [Antivirus] 3 0 1
automáticas.
Grandes equipos
[S_ Aplicaciones] Servidor Aplicaciones 3 3 1
[host] (Servidor de bases de
datos, servidores de
[S_ Data base] Servidor de Base de Datos 3 3 1
aplicación)
través de red)
[ui]
Redes de Comunicación
[wifi]
Red inalámbrica [R_ wifi] Red Inalámbrica 3 3 1
[Internet] [LAN]
Red local [R_ Local] Red local 3 3 1
[USB]
[printed]
Sistemas de Alimentación
U_ Computadores Ups computadores 0 0 2
ininterrumpida
Equipamiento Auxiliar
[suplly]
[building]
Valor
Escala
Porcentual
Numérico
Indicador
Fuente: www.fing.edu.uy
91
Impacto Valor
Fuente: www.fing.edu.uy
después de la implementación
Antes Después
antes de la implementación
Frecuencia de la amenaza
Frecuencia de la amenaza
SGSI SGSI
Probabilidad
Valor Impacto
Valor Impacto
Impacto
Impacto
Amenaza Activo
Muy
Soporte de Información 0.5 0.1 0.5 0.25 Bajo 0.05
[N.*] Desastres naturales Bajo
Muy Muy
Equipamiento Auxiliar 0.5 0.1 0.4 0.2 0.04
Bajo Bajo
Muy
Instalaciones 0.5 0.1 0.9 0.45 Bajo 0.09
Bajo
94
Muy
Soporte de Información 0.5 0.1 0.5 0.25 Bajo 0.05
Bajo
[I.*] Desastres industriales
Muy Muy
Equipamiento Auxiliar 0.5 0.1 0.4 0.2 0.04
Bajo Bajo
Muy
Instalaciones 0.5 0.1 0.9 0.45 Bajo 0.09
Bajo
Muy Muy
Equipamiento Auxiliar 0.5 0.1 0.4 0.2 0.04
Bajo Bajo
Muy Muy
Equipamiento Auxiliar 0.5 0.1 0.4 0.2 0.04
Bajo Bajo
Muy
Equipos Informáticos 1 0.7 0.9 0.9 0.63 Medio
Alto
Muy
Ups computadores 0.5 0.1 0.8 0.4 Bajo 0.08
Bajo
96
Equipos Informáticos
[I.7] Condiciones inadecuadas Muy
1 0.7 0.9 0.9 0.63 Medio
de temperatura o humedad Alto
Muy Muy
Archivos de proyectos 1 0.7 0.2 0.2 0.14
Bajo Bajo
Muy Muy
Archivos de Clientes 0.5 0.1 0.2 0.1 0.02
Bajo Bajo
Muy
[E.1] Errores de los usuarios Claves Criptográficas 0.5 0.1 0.7 0.35 Bajo 0.07
Bajo
Servicios prestados a usuarios
Muy
externos bajo relación contractual 0.5 0.1 0.2 0.1 Medio 0.02
Bajo
(Clientes de proyectos)
Servicios prestados a trabajadores
tanto al interior como haciendo uso Muy
0.5 0.1 0.2 0.1 Medio 0.02
de internet. Bajo
Muy
Servidor de aplicaciones 0.5 0.1 0.8 0.4 Bajo 0.08
Bajo
Gestor base de datos, aplicación
destinada a realizar el proceso de Muy
0.5 0.1 0.8 0.4 Bajo 0.08
gestión de las bases de datos Bajo
manejadas al interior de la empresa.
Muy
Servicios 0.5 0.1 0.6 0.3 Bajo 0.06
Bajo
[E.9] Errores de [re-
]encaminamiento Muy
Software –Aplicaciones Informáticas 0.5 0.1 0.7 0.35 Bajo 0.07
Bajo
Muy
Redes de comunicaciones 0.5 0.1 0.8 0.4 Bajo 0.08
Bajo
Muy
Activos esenciales 0.5 0.1 0.8 0.4 Bajo 0.08
Bajo
[E.14] Escapes de información
Muy
Datos / información 0.5 0.1 1 0.5 Bajo 0.1
Bajo
[E.18] Destrucción de la
Muy
información Aplicaciones 0.5 0.1 0.7 0.35 Bajo 0.07
Bajo
Muy
Soporte Información 0.5 0.1 0.5 0.25 Bajo 0.05
Bajo
Muy
Claves criptográficas 0.5 0.1 0.7 0.35 Bajo 0.07
Bajo
Muy
Personal 0.7 0.5 0.4 0.28 Bajo 0.2
Bajo
102
Muy
Servidor de aplicaciones 0.5 0.1 0.8 0.4 Bajo 0.08
Bajo
Muy
[E.20] Vulnerabilidades de los Office 2010 0.5 0.1 0.8 0.4 Bajo 0.08
Bajo
programas (software)
Kaspersky original con Muy
0.5 0.1 0.8 0.4 Bajo 0.08
actualizaciones automáticas. Bajo
Muy
Servidor de aplicaciones 0.5 0.1 0.8 0.4 Bajo 0.08
Bajo
Muy
Equipos Informáticos 0.5 0.1 0.9 0.45 Bajo 0.09
Bajo
[E.25] Pérdida de equipos -
Muy
Robo Soporte Información 0.5 0.1 0.5 0.25 Bajo 0.05
Bajo
Muy Muy
Equipamiento Auxiliar 0.5 0.1 0.4 0.2 0.04
Bajo Bajo
[E.28] Indisponibilidad del
Personal de recepción, área técnica, Muy
personal 0.7 0.5 0.4 0.28 Bajo 0.2
administrativa y archivo Bajo
Muy
Datos / información 0.5 0.1 1 0.5 Bajo 0.1
Bajo
Muy
Claves criptográficas 0.5 0.1 0.7 0.35 Bajo 0.07
Bajo
[A.5] Suplantación de la Muy
Servicios 0.5 0.1 0.6 0.3 Bajo 0.06
identidad del usuario Bajo
Muy
Aplicaciones 0.5 0.1 0.7 0.35 Bajo 0.07
Bajo
Muy
Redes de comunicaciones 0.5 0.1 0.8 0.4 Bajo 0.08
Bajo
105
Muy
Datos / información 0.5 0.1 1 0.5 Bajo 0.1
Bajo
Muy
Claves criptográficas 0.5 0.1 0.7 0.35 Bajo 0.07
[A.6] Abuso de privilegios de Bajo
acceso Muy
Servicios 0.5 0.1 0.6 0.3 Bajo 0.06
Bajo
Muy
Equipos Informáticos 1 0.7 0.9 0.9 0.63 Medio
Alto
Redes de comunicaciones 0.7 0.5 0.8 0.56 Medio 0.4 Bajo
Muy
Servicios 0.5 0.1 0.6 0.3 Bajo 0.06
Bajo
Aplicaciones 0.7 0.5 0.7 0.49 Bajo 0.35 Bajo
Muy
Equipos Informáticos 1 0.7 0.9 0.9 0.63 Medio
Alto
[A.7] Uso no previsto
Redes de comunicaciones 0.7 0.5 0.8 0.56 Medio 0.4 Bajo
Muy
Soporte de Información 0.5 0.1 0.5 0.25 Bajo 0.05
Bajo
Muy Muy
Equipamiento Auxiliar 0.5 0.1 0.4 0.2 0.04
Bajo Bajo
Instalaciones 0.7 0.5 0.9 0.63 Medio 0.45 Bajo
106
Muy
Datos / información 0.5 0.1 1 0.5 Bajo 0.1
Bajo
Muy
[A.15] Modificación deliberada Claves criptográficas 0.5 0.1 0.7 0.35 Bajo 0.07
Bajo
de la información
Muy
Servicio 0.5 0.1 0.6 0.3 Bajo 0.06
Bajo
Muy
Aplicaciones 0.5 0.1 0.7 0.35 Bajo 0.07
Bajo
Muy
Datos / información 0.5 0.1 1 0.5 Bajo 0.1
Bajo
Muy
Claves criptográficas 0.5 0.1 0.7 0.35 Bajo 0.07
Bajo
[A.18] Destrucción de
Muy
información Servicios 0.5 0.1 0.6 0.3 Bajo 0.06
Bajo
Muy
Aplicaciones 0.5 0.1 0.7 0.35 Bajo 0.07
Bajo
Muy
Soporte de la información 0.5 0.1 0.5 0.25 Bajo 0.05
Bajo
[A.19] Divulgación de Datos / información 0.7 0.5 1 0.7 Medio 0.5 Bajo
información Muy
Claves criptográficas 0.5 0.1 0.7 0.35 Bajo 0.07
Bajo
108
Muy
Soporte de la información 0.5 0.1 0.5 0.25 Bajo 0.05
Bajo
[A.22] Manipulación de
Aplicaciones 0.7 0.5 0.7 0.49 Bajo 0.35 Bajo
programas
Muy
Equipos Informáticos 1 0.7 0.9 0.9 0.63 Medio
Alto
[A.23] Manipulación de los
Muy
equipos Soportes de Información 0.5 0.1 0.5 0.25 Bajo 0.05
Bajo
Muy Muy
Equipamiento auxiliar 0.5 0.1 0.4 0.2 0.04
Bajo Bajo
Muy
Equipos Informáticos 0.5 0.1 0.9 0.45 Bajo 0.09
Bajo
[A.24] Denegación de servicio Muy
Servicios 0.5 0.1 0.6 0.3 Bajo 0.06
Bajo
Muy
Redes de Comunicación 0.5 0.1 0.8 0.4 Bajo 0.08
Bajo
Muy
Equipos informáticos 0.5 0.1 0.9 0.45 Bajo 0.09
[A.25] Robo Bajo
Muy
Soporte de Información 0.5 0.1 0.5 0.25 Bajo 0.05
Bajo
109
Muy
Equipo Informáticos 0.5 0.1 0.9 0.45 Bajo 0.09
Bajo
Muy
Soporte de Información 0.5 0.1 0.5 0.25 Bajo 0.05
[A.26] Ataque destructivo Bajo
Muy Muy
Equipamiento Auxiliar 0.5 0.1 0.4 0.2 0.04
Bajo Bajo
Muy
instalaciones 0.5 0.1 0.9 0.45 Bajo 0.09
Bajo
[A.28] Indisponibilidad del Muy Muy
Personal 0.5 0.1 0.4 0.2 0.04
Personal Bajo Bajo
Muy Muy
[A.29] Extorsión Personal 0.5 0.1 0.4 0.2 0.04
Bajo Bajo
Muy Muy
[A.30] Ingeniería Social Personal 0.5 0.1 0.4 0.2 0.04
Bajo Bajo
Como podemos observar el impacto de los riesgos en el pre test y en el pos test demostrando hay una variación significativa para
cada riesgo asociado a un activo; de donde podemos demostrar que la implementación de un sistema de gestión de seguridad de la
información influye significativamente sobre el impacto de los riesgos asociados a los activos de información en la empresa.
110
4.1.1.4.4. Salvaguardas
Efecto Tipo
[PR] preventivas
Preventivas:
reducen la [DR] disuasorias
probabilidad
[EL] eliminatorias
[IM] dinamizadoras
Acotan la
[CR] correctivas
degradación
[RC] recuperativas
[MN] de monitorización
[AD] administrativas
NET-Consultores
Código Activo
Código grupo
Protección
Activos
Tipo
Des. Salvaguarda
Información de
[I_Proyectos]
RC Copias de Seguridad
Información de
[I_Licencias]
Normativa
RC Copias de Seguridad
Datos de Carácter
Personal
empresa
[per]
RC Copias de Seguridad de la información de contabilidad
AW Capacitación al personal en el manejo de la información.
AD Puesta en marcha del Plan Director
proyectos realizados
PR Políticas de seguridad para el personal
[D_Históricos]
RC Copias de Seguridad de datos históricos guardadas en sitios seguros
Activos esenciales
Archivos de Clientes
información. Gestión de privilegios
[A_ Clientes]
RC Copias de Seguridad
Datos clasificados
AD Puesta en marcha del Plan
[classified]
EL Gestión de contraseñas
Políticas de seguridad para el personal que tiene acceso a la
Archivo de Contabilidad
PR
[A_ Contabilidad]
información. Gestión de privilegios
Activos esenciales
RC Copias de Seguridad
PR
Archivo de Copias de
Datos de configuración de
[D_ Configuración _ser]
Datos de configuración
PR INFORMACIÓN.
servidores y equipos
Gestión de privilegios.
[conf] RC Copias de Seguridad
[D _ Gestión Proyectos]
Activos esenciales
PR
Datos de Gestión de
información. Gestión de privilegios
proyectos
RC Copias de Seguridad
[int]
empleados
[password]
RC Copias de Seguridad
aplicaciones bancarias
Claves criptográficas PR
[CC_ Aplicaciones _
Gestión de privilegios.
Claves de cifra de
Claves de cifra
IM Detención del servicio en caso de ataque.
bancarias]
[encrypt] MN Gestión de incidentes.
DC Registro de descarga.
Activación de IDS y Firewall, software de monitorización y escaneo,
DC
manejo de antivirus.
A usuarios externos(bajo una relación contractual)
RC Copias de Seguridad.
Servicios
[ext]
[S _ U _ Interno]
RC Copias de Seguridad
[int]
[S _ Internet]
PR confidencial.
[www]
Registro de descarga.
Correo electrónico
[S _ correo]
Políticas de seguridad, Gestión de privilegios
[email]
PR
Copias de Seguridad
RC Capacitación al personal en el manejo de la información.
AD Registro de descarga
Servicios
[S _ A _ Bases de datos]
Manejo de privilegios.
Gestión de privilegios
PR
[G _ privilegios]
Copias de Seguridad
Servicios
Servidor de aplicaciones
PR
confidencial
[Server _ App]
PR Copias de Seguridad
[app]
PR Capacitación al personal
AW Registro de uso y descarga
MN Eliminación de cuentas sin contraseña
EL Capacitación al personal en el manejo de la información.
119
Office 2010
Ofimática
MN Eliminación de cuentas sin contraseña
[Office]
[Office]
EL Políticas de seguridad, Gestión de privilegios
Kaspersky original
AW Registro de uso y descarga
[Antivirus]
Antivirus
Aplicaciones de Software
[OS_Win7]
[os]
Servidor Aplicaciones
[S_ Aplicaciones]
IM Gestión de incidentes
IM Gestión de incidentes
[PC_ trabajadores]
Equipos de mesa
Equipos medios
AW Copias de Seguridad
[mid]
EL Gestión de incidentes
Equipos informáticos
Equipos Portátiles
Equipos que son
AW Copias de Seguridad
[pc]
EL Gestión de incidentes
CR Políticas de seguridad.
[E_ Impresoras]
Impresoras
Equipos de
PR Gestión de incidentes
impresión
[print]
[R_ enrutadores]
IM Gestión de incidentes
Enrutadores
Enrutadores
CR Registro de descarga, registro de acceso
[router] Activación de Firewall, software de monitorización y escaneo, manejo
MN
de antivirus
[E_ personal]
la empresa
Personal
[R_ wifi]
IM Gestión de incidentes
[wifi]
Red
Red
CR Guardias de seguridad
DR Políticas de seguridad, Gestión de privilegios
PR Detención del servicio en caso de ataque
[R_ Local]
Red local
Red local
IM Gestión de incidentes
[LAN]
CR Guardias de seguridad
DR Políticas de seguridad, Gestión de privilegios
123
[Internet]
[Internet]
Internet
Internet
CR Guardias de seguridad
Políticas de seguridad para el personal que tiene acceso a la
DR
información
[A_CD]
Discos
[cd]
Soportes de información
AD Guardias de seguridad
DR Políticas seguridad para personal que tiene acceso a información.
Cederrón (CD_ROM)
CD
AD Guardias de seguridad
Políticas de seguridad para el personal que tiene acceso a la
DR
información
124
Almacenamiento en
[A_ Memorias]
Memorias
Memorias
AW Puesta en marcha del Plan
[USB] AD Guardias de seguridad
Políticas de seguridad para el personal que tiene acceso a la
DR
información
[A_DVD]
en DVD
AW Puesta en marcha del Plan
[dvd]
DVR
AD Guardias de seguridad
DR Políticas seguridad para personal que tiene acceso a la información
cada proyecto
AD Guardias de seguridad
Carpetas de reportes e
PR Capacitación al personal en el manejo de la información.
informes impresos
AW Puesta en marcha del Plan Director
AD Guardias de seguridad
soportes contabilidad
Carpetas facturas y
Material impreso
AD Guardias de seguridad
AD Guardias de seguridad
Equipamiento auxiliar
U_ Computadores
ininterrumpida
Alimentación
Sistemas de
AW Puesta en marcha del Plan
[printed]
AD Guardias de seguridad
Políticas de seguridad para el personal que tiene acceso a la
DR
información
Esenciales
AW Puesta en marcha del Plan Director
[suplly]
Equipamiento auxiliar
AD Guardias de seguridad
Políticas de seguridad para el personal que tiene acceso a la
DR
información
Mobiliario
Mobiliario
AD Guardias de seguridad
DR Alarma de seguridad
[E_ empresa]
Instalaciones
Edificio de la
[building]
empresa
Edificio
DR Detección de Incendios
Generalidades:
Objetivo:
Alcance:
Responsables:
La responsabilidad de la seguridad de la
información está a cargo de la empresa, seguida
por el responsable de la seguridad y el
responsable del mantenimiento y todo el equipo
de trabajo; es decir todos los empleados que
hacen parte de la organización.
Documentación, mantenimiento,
actualización y gestión de políticas de
seguridad para todos los recursos
tecnológicos de la organización (Hardware,
software, red, servidores etc).
Política:
Organización de la seguridad:
Control de Acceso:
Administrador de Operaciones:
Seguridad Física:
Cumplimiento:
Recursos:
b) Organización de la Seguridad de la
Información
Generalidades:
Objetivo:
Alcance:
Responsables:
La responsabilidad de la organización de
seguridad de la información está a cargo de la
empresa y todos sus miembros.
Política
Infraestructura de la seguridad de la
información:
c) Gestión de Activos
Generalidades:
Objetivo:
Alcance:
Responsables:
La responsabilidad de la seguridad de la
información está en manos del encargado de
seguridad de la empresa y se encarga de:
Política
Inventario de Activos:
Rotulado de la información:
Generalidades:
Objetivo:
Alcance:
Responsables:
La responsabilidad de la seguridad de la
información está en manos del encargado de
seguridad de la empresa y se encarga de:
142
Política
Capacitación y formación:
Generalidades:
Objetivo:
Alcance:
Responsables:
La responsabilidad de la seguridad de la
información está en manos del encargado de
seguridad de la empresa y se encarga de:
Política
Suministro de Energía:
Seguridad en el Cableado:
Generalidades:
Objetivo:
Alcance:
Responsables:
Política
Procedimientos y responsabilidades
operativas
El responsable de la seguridad
establecerá protocolo para el manejo de
incidentes tales como: Definir los posibles
tipos de incidentes (Fallas operativas, código
malicioso, intrusiones, fraude informático,
error humano, desastres naturales).
Planificación de la Capacidad:
El responsable de seguridad es el
encargado de evaluar constantemente las
necesidades a futuro de los S.O. para
evitar posibles fallas.
El responsable de la seguridad y el
responsable del área de informática
definen los siguientes criterios de
seguridad y el cumplimiento de los
mismos:
Concientizar al personal de la
importancia de la protección en el
manejo de la información.
Mantenimiento
Resguardo de la información:
Registro de fallas:
Administración de la Red:
Establece procedimiento de
administración y delega un responsable
que debe documentar todos los
procedimientos realizados en la red.
Administración de medios de
almacenamiento:
El responsable de la seguridad y el
responsable del área de informática
establecerán y verificaran el cumplimiento
del correcto almacenamiento de respaldos
de seguridad y eliminación de información
de cintas magnéticas, discos duros para
evitar incidentes con el manejo de la
información.
El responsable de la seguridad y el
responsable del área de informática deben
verificar la correcta eliminación de
información desde dispositivos de
almacenamiento.
Procedimientos de manejo de
información:
Intercambios de Información y de
Software:
Generalidades:
Objetivo:
Alcance:
Responsables:
Política
Segmentar la red.
Registración de usuarios:
Administración de Privilegios:
Administración de contraseñas de
usuario:
157
El responsable de la seguridad es el
encargado de otorgar los permisos para el
acceso a la red y sus recursos, realizar
normas y procedimientos de autorización,
establecer controles y procedimientos de
control de acceso, para autenticación de
usuarios para conexiones externas debe
158
Generalidades:
Objetivo:
Alcance:
Responsables:
La responsabilidad de la seguridad de la
información está en manos del encargado de
seguridad de la empresa y se encargan de:
Política
Controles criptográficos
Administración de claves:
Adquisición de software:
Generalidades:
Objetivo:
Alcance:
Responsables:
La responsabilidad de la seguridad de la
información está en manos del encargado de
seguridad de la empresa y se encargan de:
Política
Responsabilidades y procedimientos:
Recolección de Evidencia:
Generalidades:
Objetivo:
167
Alcance:
Responsables:
La responsabilidad de la seguridad de la
información está en manos del encargado de
seguridad de la empresa y se encargan de:
Política
Proceso de la administración de la
continuidad de la empresa:
k) Cumplimiento
Generalidades:
Objetivo:
Responsables:
La responsabilidad de la seguridad de la
información está en manos del encargado de
seguridad de la empresa y se encargan de:
Política
170
Protección de datos:
Recolección de Evidencia:
Auditorías de sistemas
Actividades para la
Dominios
Estado
Controles según la norma ISO/IEC 27001 Justificación de elección/ no elección
8 Gestión de Activos
8.1 Responsabilidad sobre los activos
Es importante identificar los activos de
Jerarquizar la importancia de
los activos al interior de la
IMPLEMENTAD
dentro de la empresa, en la que se deja
claro que el activo más relevante es la
8.1.1 Inventario de activos Si
base de datos donde se registran los
proyectos, el archivo de licencias y el
empresa.
archivo físico.
8.1.4
8.1.3
8.1.2
Propietario de activos
Devolución de activos
Uso aceptable de los activos
Si
Si
No
Las
seguridad.
políticas
sobre
manejo
de
IMPLEMENTADO
La información debe ser clasificada de
acuerdo a su grado de importancia para
8.2.1 Directrices de clasificación Si
establecer los controles adecuados para
el manejo de la misma.
177
y acceso a la información.
conociendo su naturaleza respete su
IMPLEMENTADO
nivel de confidencialidad, es decir debe
Etiquetado y manipulado de la
8.2.2 Si ser etiquetada relacionando sus
información
restricciones.
y acceso a la información.
identificado para que cada persona
IMPLEMENTADO
conociendo su naturaleza respete su
nivel de confidencialidad, es decir debe
8.2.3 Manipulación de activos Si
ser etiquetada relacionando sus
restricciones.
178
Responsables
Tiempo
Descripción de las actividades Hallazgos
Documentación de todos los procesos a Es necesario que se defina una política para la documentación de
2 meses
desarrollarse para la implementación de la todos los procedimientos en relación con las políticas de manejo de
seguridad la información.
Encargado de la Seguridad
Encargado de la Seguridad
Encargado de la Seguridad
Encargado de la Seguridad
Encargado de la Seguridad
Encargado de la Seguridad
Encargado de la Seguridad
Encargado de la Seguridad
Encargado de la Seguridad
Encargado de la Seguridad
Encargado de la Seguridad
2 meses
Revisión de las políticas de seguridad de la Se revisara periódicamente las políticas de la seguridad de la
NET- Consultores
1 mesConsultores
NET- Consultores
NET- Consultores
NET- Consultores
NET- Consultores
NET- Consultores
NET- Consultores
NET- Consultores
NET- Consultores
NET- Consultores
NET- Consultores
información. información.
NET-
Políticas de gestión de privilegios. a los sistemas de información y verificar los privilegios con los que
tiene acceso.
Es necesario que los empleados que manejan la información
Políticas de seguridad para el personal que
1 mes
2 meses
Planes de capacitación para el personal a cargo
información.
del manejo de la información.
2 meses
Políticas de seguridad para nuevos activos de Es necesaria la definición de políticas de seguridad para nuevos y
información. futuros activos dentro de la empresa.
Acuerdos de confidencialidad para los Es necesario que los acuerdos de confidencialidad para el manejo de
1 mes
Encargado de la Seguridad
empleados de la empresa. la información queden establecidos en el contrato laboral.
NET- Consultores
3 meses
Definir canales seguros para el manejo de la Definir políticas de seguridad para evitar fallas en los canales de
información. comunicación.
2 meses
Políticas para el manejo de la información al
y cumplimiento de las políticas de seguridad para el manejo de la
interior de la organización.
información al interior de la empresa.
Políticas pensadas en futuros activos que 3 meses 3 meses Es necesaria la definición de políticas de seguridad para nuevos y
formaran parte de la empresa. futuros activos dentro de la empresa.
Clasificación de los activos y establecimiento Es necesario que se clasifiquen los activos de acuerdo al nivel de
del nivel de importancia de los mismos. seguridad.
181
3 meses 3 meses
Es necesario definir, documentar e informar sobre el manejo de los
Políticas de manejo de activos.
activos y las políticas de seguridad a aplicarse a dichos activos.
2 meses
Políticas de acceso a la información. y cumplimiento de las políticas de seguridad para el acceso a la
Encargado de la Seguridad
información.
NET- Consultores
Es necesario definir e informar las políticas de confidencialidad dentro
1 mes
Claridad en las políticas de contratación.
de la organización,
3 meses
definir la competencia de manejo de la misma y garantizar el
información, acompañadas de planes de
conocimiento de las mismas por parte de todas las personas que
capacitación.
tienen acceso a la misma.
Es necesario que se definan políticas para la verificación de acceso
3 meses
Implementación de políticas de manejo de
a los sistemas de información y verificar los privilegios con los que
privilegios sobre la información.
tiene acceso.
Ya se encuentran implementados controles para acceso a la empresa
3 meses
1 mes
Políticas de control de acceso físico. mediante clave y al archivo solo a personal autorizado, es ideal que
es extiendan a todas las áreas.
3 meses
Protección contra factores atmosféricos como Es necesario establecer controles ambientales para evitar el
temperatura, humedad, etc. deterioro de activos derivado de estos factores.
Encargado de la Seguridad
3 meses
Verificación del nivel de seguridad de las áreas
seguridad a aplicar en cada área de trabajo de acuerdo a la
NET- Consultores
de trabajo.
información que se maneje en cada dependencia.
1 mes
donde se debe seleccionar el personal que tiene acceso a esta y las
de la empresa.
responsabilidades que esto implica ejemplo: Área de archivo
3 meses
Implementar planes de mantenimiento de Es necesario que se establezca un plan para el mantenimiento de
equipos al interior de la empresa equipos al interior de la empresa.
3 meses
Políticas para la documentación de
debidamente documentado de seguridad de la información que
procedimientos.
permita cubrir cada uno de los aspectos que han sido enumerados.
Es necesario implementar controles y políticas de seguridad
Encargado de la Seguridad
3 meses
Implementación de políticas de manejo de
aplicados a los grupos de trabajos y adicionalmente realizar controles
NET- Consultores
privilegios sobre la información.
que permitan gestionar la gestión de privilegios dentro del sistema.
3 meses 3 meses
Definición de políticas para la integración de Es necesario definir controles que se deben tener en cuenta en el
nuevos elementos al sistema de información. caso de que ingresen nuevos elementos al sistema de información.
Definición de políticas de administración y uso Es necesario definir políticas de seguridad para el manejo y
de redes. administración de la red.
3 meses
Definir políticas para la gestión y eliminación de
memorias usb y papel firmado o sellado ya que si es desechado de
medios de almacenamientos.
forma incorrecta puede ser utilizado de forma indebida por terceros y
ocasionar problemas a la organización.
Implementar mecanismos de protección de
6 meses
información como por ejemplo encriptación (se Es necesario definir políticas de seguridad para el manejo de
Encargado de la Seguridad
garantiza con los controles con que cuenta la herramientas criptográficas, en caso de ser implementadas.
NET- Consultores
empresa).
Es necesario que sean definidos sistemas de registros de actividad
3 meses
Políticas de implementación y control de
para tener control de cualquier cambio en los sistemas de
registros de actividad.
información.
3 meses 3 meses
Políticas de control y gestión de fallas en el Es necesario definir políticas de seguridad para implantar la gestión
sistema. de fallos (notifican, visualización y reparación de fallos).
Políticas de implementación y control de Es necesario definir políticas de seguridad para la administración del
registros de actividad. registro de actividades.
Definir políticas para el control de acceso Es necesario definir políticas a seguir para controlar el acceso a áreas
1 mes
teniendo en cuenta áreas críticas. restringidas (llevar un registro detallado de ingreso a estas áreas)
185
3 meses
Definir políticas para el ingreso o eliminación de Es necesario definir políticas de seguridad a seguir en los procesos
usuarios del sistema. de eliminación de usuarios.
3 meses
privilegios, esta labor la debe realizar el administrador del sistema
Definir políticas para la gestión de privilegios.
que se encargara de definir los roles y permisos a los usuarios del
sistema.
Encargado de la Seguridad
Es necesario establecer políticas de seguridad que permitan
NET- Consultores
3 meses
Establecer políticas para la asignación de implementar el uso de contraseñas. Es decir para cada usuario y
contraseñas. equipo una contraseña la cual debe cumplir con todas las condiciones
de una contraseña segura.
3 meses
Establecer políticas para la verificación regular Implementar políticas de seguridad que permitan verificar los accesos
del acceso a sistemas de información. a los sistemas de información.
Establecer políticas para que los usuarios Es necesario definir políticas que los trabajadores de la empresa
3 meses
realicen un adecuado manejo de los sistemas deben poner en práctica para la utilización de los sistemas de
de información ofrecidos por la empresa. información de la empresa adicionales a los ya existentes.
3 meses
Establecer políticas de manejo de credenciales Es necesario definir políticas de seguridad para el manejo de
de usuarios. credenciales de usuarios.
Establecer políticas de uso de aplicaciones de Es necesario definir políticas de seguridad para el uso de
carácter administrativo propias del sistema. aplicaciones de carácter administrativo propias del sistema.
Encargado de la Seguridad
NET- Consultores
Es necesario definir políticas de seguridad para la integración de
3 meses
Establecer políticas para la integración de
sistemas de información para que la información sea compartida de
sistemas de información.
forma segura.
3 meses
Es necesario definir políticas de seguridad para a cada aplicación
seguridad de las aplicaciones en
manejada en la empresa.
funcionamiento.
Definir políticas para la gestión de 3 meses
Es necesario definir políticas de seguridad para la gestión de
vulnerabilidades de aplicaciones o sistemas
vulnerabilidades de aplicaciones usadas por la empresa.
usados por la empresa.
Es necesario definir políticas de seguridad para la gestión de
3 meses
6 meses
Definir políticas de seguridad de la información
la información a implementarse encaminadas a garantizar la
que garanticen la continuidad del negocio.
continuidad del negocio
Encargado de la Seguridad
6 meses
NET- Consultores
Definir políticas de protección de información Es necesario definir políticas de seguridad a implementarse con el fin
alineadas con requerimientos de carácter legal. de proteger la información teniendo en cuenta las normas legales.
Revisar el uso de procedimientos de seguridad Es necesario establecer políticas de seguridad que permitan verificar
6 meses
de conformidad con los lineamientos de la que los procedimientos se estén realizando de acuerdo a las políticas
empresa y estándares. y estándares definidos por la empresa.
6 meses
Establecer políticas para el desarrollo de Es necesario definir políticas de seguridad que permitan desarrollar
procesos de auditoria. futuras auditorias.
Para la prueba de hipótesis se realizó dos encuestas (Pre test y Pos test) a
los 23 trabajadores de la empresa NET-Consultores S.A.C; De lo cual se
seleccionó el resultado más alto (pre test y post test) de la encuesta aplicada
de acuerdo a la frecuencia con la que se presenta cada amenaza por cada
activo de información y se le asignó un respectivo valor de acuerdo a la
siguiente tabla y a la metodología aplicada:
Valor
Escala
Porcentual
Numérico
Indicador
Fuente: www.fing.edu.uy
Antes Después
Frecuencia SGSI SGSI
de la
Amenaza Activo
Amenaza
(Indicador) N° N°
Valor Valor
Enc. Enc.
1 2 10
[N.2] Daños
[N.1] Fuego
por agua
Equipos informáticos 2 10 2
50 10
Instalaciones 3 0 0
4 0 0
1 1 2
[I.2] Daños
[I.1] Fuego
por agua
Equipos informáticos 2 2 9
70 50
Instalaciones 3 9 1
4 0 0
1 3 9
[N.2] Daños
[N.1] Fuego
por agua
Soporte de 2 8 3
50 10
almacenamiento 3 1 0
4 0 0
1 3 7
[I.2] Daños
[I.1] Fuego
por agua
Soporte de 2 8 5
50 10
almacenamiento 3 1 0
4 0 0
1 2 8
[N.2] Daños por agua
[N.1] Fuego
2 9 4
Equipamiento
50 10
Auxiliar
3 1 0
4 0 0
190
1 2 7
4 0 0
1 1 1
2 4 7
Equipos informáticos 70 50
3 7 4
4 0 0
1 2 8
Soporte de 2 9 4
50 10
N.*] Desastres naturales
Información
3 1 0
4 0 0
1 2 9
Equipamiento 2 9 3
50 10
Auxiliar
3 1 0
4 0 0
1 2 10
2 9 2
Instalaciones 50 10
3 1 0
4 0 0
191
1 1 1
2 2 8
Equipos informáticos 70 50
3 9 3
4 0 0
1 2 8
[I.*] Desastres industriales
Soporte de 2 8 4
50 10
Información 3 2 0
4 0 0
1 3 9
Equipamiento 2 7 3
50 10
Auxiliar
3 2 0
4 0 0
1 2 8
2 9 4
Instalaciones 50 10
3 1 0
4 0 0
1 2 2
2 1 2
Equipos informáticos 70 70
3 9 8
[I.3] Contaminación mecánica
4 0 0
1 2 9
Soporte de 2 9 3
50 10
Información 3 1 0
4 0 0
1 4 8
Equipamiento 2 8 4
50 10
Auxiliar 3 0 0
4 0 0
192
1 0 0
electromagnética
Contaminación
Router de acceso 2 2 4
[I.4]
100 70
inalámbrico.
3 3 6
4 7 2
1 0 0
Software -
2 2 1
Aplicaciones 100 70
3 1 9
Informáticas
4 9 2
[I.5] Avería de origen físico o lógico
1 0 0
2 1 7
Equipos informáticos 70 50
3 10 4
4 1 1
1 1 8
Soportes de 2 8 3
50 10
Información 3 2 1
4 1 0
1 2 7
Equipamiento 2 9 4
50 10
Auxiliar 3 1 1
4 0 0
1 1 1
2 2 1
Equipos informáticos 100 70
[I.6] Corte del suministro eléctrico
3 3 7
4 6 3
1 4 8
Soporte de
2 7 3
Información 50 10
3 1 1
(electrónicos)
4 0 0
1 3 8
2 7 3
Ups computadores 50 10
3 2 1
4 0 0
[E.1] Errores de los [I.10] Degradación [I.9] Interrupción de otros [I.8] Fallo de [I.7] Condiciones
usuarios de los soportes de servicios y suministros servicios de inadecuadas de
Datos/Información almacenamiento de esenciales. comunicaciones temperatura o humedad
la información.
Auxiliar
Redes de
proyectos
Archivos de
Información
Soportes de
Equipamiento
comunicaciones
(Red inalámbrica,
red local e internet)
Equipos Informáticos
4
3
2
1
4
3
2
1
4
3
2
1
4
3
2
1
4
3
2
1
9
3
0
0
0
1
8
3
0
1
9
2
7
2
1
2
6
2
3
1
50
50
100
100
100
2
9
1
0
0
1
4
7
0
1
5
6
1
8
2
1
3
8
1
0
70
10
10
70
70
193
194
1 3 7
Datos/Información
3 2 2
4 1 1
1 5 9
Archivo de 2 7 3
50 10
Contabilidad 3 0 0
4 0 0
1 0 0
Archivos de Informes 2 1 1
100 70
y licencias expedidas 3 3 8
4 8 3
1 1 9
Archivo de Copias
2 9 2
de seguridad de la 50 10
3 2 1
[E.1] Errores de los usuarios
información
4 0 0
Datos/Información
1 3 9
Datos de
2 6 2
configuración de 50 10
3 2 1
servidores y equipos
4 1 0
1 2 9
Datos de Gestión de 2 9 2
50 10
proyectos radicados 3 1 1
4 0 0
1 2 6
Contraseñas de
2 9 5
acceso de 50 10
3 1 1
empleados
4 0 0
1 3 8
de los usuarios
[E.1] Errores
Claves 2 7 3
50 10
Criptográficas 3 2 1
4 0 0
195
Servicios prestados 1 3 8
a usuarios externos 2 6 2
bajo relación 3 2 50 1 10
contractual (Clientes
4 1 0
[E.1] Errores de los usuarios
de proyectos)
Servicios prestados 1 1 7
a trabajadores tanto 2 9 4
Servicios
al interior como 3 2 50 1 10
haciendo uso de 4
0 0
internet.
1 0 0
Servicio de internet
2 4 10
al que pueden
3 7 70 2 50
acceder los
4
empleados. 1 0
1 1 8
Manejo de correos 2 9 3
50 10
electrónicos 3 2 1
4 0 0
1 2 0
Servicio de
[E.1] Errores de los usuarios
2 1 9
almacenamiento de
información en el 3 9 70 3 50
servidor de bases de
Servicios
4 0 0
datos.
Manejo de privilegios 1 1 6
de acuerdo al rol
2 8 4
dentro de la empresa
y el lugar de donde
3 3 50 2 10
esté ingresando,
considerando el
desempeño como 4 0 0
teletrabajo.
196
1 1 6
Servidor de 2 8 5
50 10
aplicaciones 3 3 1
4 0 0
Gestor base de 1 1 8
datos, aplicación 2 8 3
destinada al proceso 3 2 1
de gestión de las 50 10
bases de datos
4 1 0
manejadas al interior
[E.1] Errores de los usuarios
de la empresa.
1 3 7
Aplicaciones
2 6 4
Office 2010 50 10
3 2 1
4 1 0
1 1 8
Kaspersky original
2 10 3
con actualizaciones 50 10
3 1 1
automáticas.
4 0 0
1 2 2
Sistema operativo
2 1 7
Windows 7, en su
3 9 3
versión professional
70 50
con actualizaciones
automáticas 4 0 0
activadas.
1 2 3
usuarios. Soporte de
[E.1] Errores de los
2 1 8
información
Soportes de
70 50
Información. 3 9 1
4 0 0
197
1 2 9
configuración
[E.4] Errores
Datos de
2 9 3
configuración de 50 10
de
3 1 0
servidores y equipos
4 0 0
Personal de 1 0 0
recepción, área 2 1 2
[E.7] Deficiencias en la
técnica, 3 3 100 7 70
organización
administrativa y
4 8 3
archivo
1 1 8
Administrador de 2 8 3
50 10
sistemas 3 3 1
4 0 0
1 2 8
[E.8] Difusión
de software
Software –
2 9 3
dañino
Aplicaciones 50 10
3 1 1
Informáticas
4 0 0
1 2 8
2 9 3
Servicios 50 10
[E.9] Errores de [re-]encaminamiento
3 1 1
4 0 0
1 3 7
Software –
2 6 4
Aplicaciones 50 10
Informáticas 3 2 1
4 1 0
1 2 9
Redes de 2 9 2
50 10
comunicaciones 3 1 1
4 0 0
198
1 3 9
2 6 2
Activos esenciales 50 10
[E.14] Escapes de
3 2 1
información
4 1 0
1 1 8
2 9 3
Datos / información 50 10
3 2 1
4 0 0
1 1 1
[E.15] Alteración
accidental de la
información
2 3 7
Datos / información 70 50
3 8 4
4 0 0
1 3 1
2 1 9
[E.18] Destrucción de la información
Datos / información 70 50
3 8 2
4 0 0
1 2 9
2 7 2
Aplicaciones 50 10
3 2 1
4 1 0
1 1 7
2 11 5
Soporte Información 50 10
3 0 0
4 0 0
1 3 4
[E.19] Fugas de
2 1 6
información
Datos / información 70 50
3 8 2
4 0 0
199
1 2 9
2 6 2
Claves criptográficas 50 10
3 3 1
4 1 0
[E.19] Fugas de información
1 3 0
2 1 9
Servicios 70 50
3 8 3
4 0 0
1 1 3
2 3 6
Aplicaciones 70 50
3 8 3
4 0 0
1 3 2
2 2 9
Personal 70 50
3 7 1
4 0 0
1 3 7
Servidor de 2 8 4
[E.20] Vulnerabilidades de los programas (software)
50 10
aplicaciones 3 1 1
4 0 0
Gestor base de 1 3 3
datos, aplicación 2 1 8
destinada a realizar 3 8 1
el proceso de
70 50
gestión de las bases
de datos manejadas 4 0 0
al interior de la
empresa.
1 1 8
2 8 3
Office 2010 50 10
3 3 1
4 0 0
200
1 3 8
Kaspersky original
2 7 3
con actualizaciones 50 10
3 2 1
automáticas.
4 0 0
Sistema operativo 1 3 3
Windows 7, en su 2 1 8
versión professional 3 8 1
70 50
con actualizaciones
automáticas 4 0 0
activadas
1 3 9
Servidor de 2 8 3
50 10
[E.21] Errores de mantenimiento / actualización de programas (software)
aplicaciones 3 1 0
4 0 0
1 3 3
Gestor base de 2 1 8
70 50
datos 3 8 1
4 0 0
1 1 8
2 8 3
Office 2010 50 10
3 2 1
4 1 0
1 0 0
Kaspersky original
2 3 10
con actualizaciones 70 50
3 8 2
automáticas.
4 1 0
Sistema operativo 1 3 1
Windows 7, en su 2 1 9
versión professional 3 8 2
70 50
con actualizaciones
automáticas 4 0 0
activadas
201
1 3 9
4 1 0
1 3 3
2 1 8
Equipos Informáticos 70 50
3 8 1
4 0 0
1 1 7
Redes de 2 11 5
50 10
comunicaciones
3 0 0
4 0 0
1 3 9
2 6 2
Equipos Informáticos 50 10
[E.25] Pérdida de equipos -Robo
3 2 1
4 1 0
1 1 7
2 8 4
Soporte Información 50 10
3 3 1
4 0 0
1 1 8
Equipamiento 2 10 3
50 10
Auxiliar 3 1 1
4 0 0
1 1 3
Indisponibilida
d del personal
Personal de la
[E.28]
2 3 5
70 50
empresa 3 8 4
4 0 0
202
1 3 8
2 7 3
Datos / información 50 10
3 2 1
4 0 0
1 3 8
[A.5] Suplantación de la identidad del usuario
2 8 3
Claves criptográficas 50 10
3 1 1
4 0 0
1 1 7
2 8 4
Servicios 50 10
3 3 1
4 0 0
1 3 9
2 6 2
Aplicaciones 50 10
3 2 1
4 1 0
1 1 8
Redes de 2 11 4
50 10
comunicaciones 3 0 0
4 0 0
1 3 9
2 8 3
[A.6] Abuso de privilegios de acceso
Datos / información 50 10
3 1 0
4 0 0
1 1 9
2 10 3
Claves criptográficas 50 10
3 1 0
4 0 0
1 1 9
2 10 3
Servicios 50 10
3 1 0
4 0 0
203
1 1 0
acceso
4 6 1
1 1 0
Redes de 2 3 9
70 50
comunicaciones 3 8 3
4 0 0
1 3 9
2 6 2
Servicios 50 10
3 2 1
4 1 0
1 0 0
2 3 10
Aplicaciones 70 50
3 8 2
4 1 0
[A.7] Uso no previsto
1 1 1
2 2 3
Equipos Informáticos 100 70
3 3 7
4 6 1
1 1 2
Redes de 2 3 7
70 50
comunicaciones 3 8 3
4 0 0
1 1 7
Soporte de 2 8 4
50 10
Información 3 3 1
4 0 0
1 1 8
[A.7] Uso no
2 8 3
previsto
Equipamiento
50 10
Auxiliar 3 3 1
4 0 0
204
1 1 1
[A.7] Uso no
previsto
2 3 8
Instalaciones 70 50
3 8 3
4 0 0
1 1 7
[A.8] Difusión
de software
2 10 5
dañino
Aplicaciones 50 10
3 1 0
4 0 0
1 1 2
2 3 7
Datos / información 70 50
3 8 3
4 0 0
1 3 9
2 6 2
Claves criptográficas 50 10
3 2 1
4 1 0
1 2 10
[A.11] Acceso no autorizado
2 10 2
Servicios 50 10
3 0 0
4 0 0
1 1 2
2 3 7
Aplicaciones 70 50
3 8 3
4 0 0
1 3 3
2 1 8
Equipos Informáticos 70 50
3 8 1
4 0 0
1 0 0
Redes de 2 3 9
70 50
comunicaciones 3 9 3
4 1 0
205
1 1 9
Soporte de 2 10 3
50 10
Información 3 1 0
2 7 3
[A.13]
Servicios 50 10
3 0 0
4 0 0
1 2 9
de información
Interceptación
Redes de 2 9 3
[A.14]
50 10
comunicaciones 3 1 0
4 0 0
1 2 9
2 9 3
[A.15] Modificación deliberada de la
Datos / información 50 10
3 1 0
4 0 0
1 2 9
información
2 10 3
Claves criptográficas 50 10
3 0 0
4 0 0
1 1 7
2 7 4
Servicio 50 10
3 3 1
4 1 0
206
información
Interceptación
1 4 9
2 7 3
Aplicaciones 50 10
3 1 0
(escucha
[A.14]
4 0 0
de
1 3 9
2 8 3
Datos / información 50 10
3 1 0
4 0 0
1 2 9
2 9 3
Claves criptográficas 50 10
3 1 0
[A.18] Destrucción de información
4 0 0
1 1 8
2 9 3
Servicios 50 10
3 2 1
4 0 0
1 3 9
2 9 3
Aplicaciones 3 0 50 0 10
4 0 0
1 2 9
2 9 3
Soporte de la
3 1 50 0 10
información
4 0 0
1 2 3
Divulgación de
información
2 1 7
[A.19]
Datos / información 3 70 50
9 2
4 0 0
207
1 3 9
2 6 2
Claves criptográficas 50 10
3 2 1
4 1 0
1 2 7
Soporte de la 2 9 5
50 10
información 3 1 0
4 0 0
1 1 2
Manipulación de
programas
2 3 7
[A.22]
Aplicaciones 70 50
3 8 3
4 0 0
1 1 2
2 2 2
Equipos Informáticos 100 70
3 3 6
4 6 2
[A.23] Manipulación de los equipos
1 3 8
Soportes de 2 7 3
50 10
Información 3 2 1
4 0 0
1 2 8
2 9 4
Equipamiento
50 10
auxiliar 3 1 0
4 0 0
208
1 3 8
2 6 3
Equipos Informáticos 50 10
3 2 1
4 1 0
[A.24] Denegación de servicio
1 2 8
2 7 3
Servicios 50 10
3 3 1
4 0 0
1 3 9
2 8 3
Redes de
50 10
Comunicación 3 1 0
4 0 0
1 3 8
2 6 3
3 2 1
Equipos informáticos 50 10
[A.25] Robo
4 1 0
1 1 8
Soporte de 2 9 3
50 10
Información 3 2 1
4 0 0
209
1 3 8
2 7 3
4 0 0
1 2 7
Soporte de 2 10 5
50 10
Información 3 0 0
4 0 0
1 1 9
[A.26] Ataque destructivo
2 8 2
Equipo Informáticos 50 10
3 3 1
4 0 0
1 4 10
2 7 2
instalaciones 50 10
3 1 0
4 0 0
1 4 10
Indisponibilidad
del Personal
2 7 2
[A.28]
Personal 50 10
3 1 0
4 0 0
1 4 8
Extorsión
2 7 4
[A.29]
Personal 50 10
3 1 0
4 0 0
1 4 9
Ingeniería
2 7 3
Social
[A.30]
Personal 50 10
3 1 0
4 0 0
Luego de realizar las respectivas observaciones del Pre test y Pos test
aplicado a los riesgos asociados de los activos de información de la empresa
NET-Consultores S.A.C y habiendo obtenido los resultados, se procedió a
llenar el siguiente cuadro para la respectiva verificación de la hipótesis, de
acuerdo a la probabilidad con la que ocurre cada riesgo correspondiente a
cada activo de información; la evaluación se llevará a cabo de acuerdo a los
142 activos encontrados en la empresa NET-Consultores S.A.C.
Dif. (Pre-Pos) %
Pos test (%)
Pre test (%)
Riesgo Activo
[N.1] Fuego
Equipamiento Auxiliar. 50 10 40
[N.2] Daños por agua
[I.1] Fuego
Equipamiento Auxiliar. 50 10 40
[I.2] Daños por agua
211
Equipos informáticos. 70 50 20
Soporte de Información. 50 10 40
[N.*] Desastres naturales
Equipamiento Auxiliar. 50 10 40
Instalaciones. 50 10 40
Equipos informáticos. 70 50 20
Soporte de Información. 50 10 40
[I.*] Desastres
industriales
Equipamiento Auxiliar. 50 10 40
Instalaciones. 50 10 40
Equipos informáticos. 70 70 0
[I.3] Contaminación
Soporte de Información. 50 10 40
mecánica
Equipamiento Auxiliar. 50 10 40
Software - Aplicaciones
100 70 30
Informáticas.
Equipamiento Auxiliar. 50 10 40
212
Ups computadores 50 10 40
[I.7] Condiciones
inadecuadas de Equipos Informáticos. 100 70 30
temperatura o humedad
Redes de
[I.8] Fallo de servicios de comunicaciones (Red
100 70 30
comunicaciones inalámbrica, red local e
internet)
Archivos de Clientes 50 10 40
Archivo de Contabilidad 50 10 40
Archivos de Informes y
100 50 50
licencias expedidas
Archivo de Copias de
[E.1] Errores de los seguridad de la 50 10 40
usuarios información
Datos de configuración
50 10 40
de servidores y equipos
Datos de Gestión de
50 10 40
proyectos radicados
Contraseñas de acceso
50 10 40
de empleados
214
Servicios prestados a
usuarios externos bajo 50 10 40
relación contractual
Servicios prestados a
trabajadores tanto al
50 10 40
interior como haciendo
uso de internet.
Manejo de correos
50 10 40
electrónicos
[E.1] Errores de los
usuarios
Servicio de
almacenamiento de
información en el 70 50 20
servidor de bases de
datos.
Manejo de privilegios de
acuerdo al rol dentro de
la empresa y el lugar de
donde esté ingresando, 50 10 40
considerando el
desempeño como
teletrabajo.
215
Servidor de aplicaciones 50 10 40
Sistema operativo
Windows 7, en su
versión professional con 70 50 20
actualizaciones
automáticas activadas.
Personal 100 70 30
[E.7] Deficiencias en la
organización Administrador de
50 10 40
sistemas
216
Servicios 50 10 40
Software –Aplicaciones
[E.9] Errores de [re- 50 10 40
Informáticas
]encaminamiento
Redes de
50 10 40
comunicaciones
Activos esenciales 50 10 40
[E.14] Escapes de
información
Datos / información 50 10 40
[E.15] Alteración
accidental de la Datos / información 70 50 20
información
Datos / información 70 50 20
[E.18] Destrucción de la
información Aplicaciones 50 10 40
Soporte Información 50 10 40
Datos / información 70 50 20
Claves criptográficas 50 10 40
[E.19] Fugas de
Servicios 70 50 20
información
Aplicaciones 70 50 20
Personal 70 50 20
217
Servidor de aplicaciones 50 10 40
[E.20] Vulnerabilidades
Office 2010 50 10 40
de los programas
(software)
Sistema operativo
Windows 7, en su
versión professional con 70 50 20
actualizaciones
automáticas activadas
218
Servidor de aplicaciones 50 10 40
Sistema operativo
Windows 7, en su
versión professional con 70 50 20
actualizaciones
automáticas activadas
Servicios 50 10 40
por agotamiento de
recursos
Redes de
50 10 40
comunicaciones
219
Equipos Informáticos 50 10 40
[E.25] Pérdida de
Soporte Información 50 10 40
equipos -Robo
Equipamiento Auxiliar 50 10 40
Personal de recepción,
[E.28] Indisponibilidad
área técnica, 70 50 20
del personal
administrativa y archivo
Datos / información 50 10 40
Claves criptográficas 50 10 40
[A.5] Suplantación de la
identidad del usuario Servicios 50 10 40
Aplicaciones 50 10 40
Redes de
50 10 40
comunicaciones
220
Datos / información 50 10 40
Claves criptográficas 50 10 40
Redes de
70 50 20
comunicaciones
Servicios 50 10 40
Aplicaciones 70 50 20
Redes de
70 50 20
[A.7] Uso no previsto comunicaciones
Soporte de Información 50 10 40
Equipamiento Auxiliar 50 10 40
Instalaciones 70 50 20
221
[A.8] Difusión de
Aplicaciones 50 10 40
software dañino
Datos / información 70 50 20
Claves criptográficas 50 10 40
Servicios 50 10 40
Aplicaciones 70 50 20
[A.11] Acceso no
autorizado Equipos Informáticos 70 50 20
Redes de
70 50 20
comunicaciones
Soporte de Información 50 10 40
Equipamiento Auxiliar 50 10 40
Instalaciones 50 10 40
Datos / información 50 10 40
Aplicaciones 50 10 40
222
Datos / información 50 10 40
Claves criptográficas 50 10 40
información
Aplicaciones 50 10 40
Soporte de la
50 10 40
información
Datos / información 70 50 20
[A.22] Manipulación de
Aplicaciones 70 50 20
programas
Equipos Informáticos 50 10 40
Redes de Comunicación 50 10 40
Equipos informáticos 50 10 40
[A.25] Robo
Soporte de Información 50 10 40
223
Equipo Informáticos 50 10 40
Soporte de Información 50 10 40
[A.26] Ataque destructivo
Equipamiento Auxiliar 50 10 40
instalaciones 50 10 40
[A.28] Indisponibilidad
Personal 50 10 40
del Personal
CAPÍTULO IV
227
VI. CONCLUSIONES
VII. RECOMENDACIONES
http://www.govannom.org/seguridad/seg_general/seg_com.pdf
http://www.iso27001certificates.com/
16. ISO/IEC Guide 73:2002, Risk management – Vocabulary – Guidelines for use
in standards.
http://www.iso27000.es/certificacion.html#section5b.
http://qualitas.com.pe/normas/iso-27001
IX. ANEXO
Por medio del presente instrumento se va a verificar la frecuencia con la que sucede
una amenaza o riesgo con respecto a un determinado activo dentro de la empresa
NET-Consultores S.A.C.
PREGUNTAS ESPECÍFICAS
Frecuencia
de la
Amenaza Activo
amenaza
[N.1] Fuego Equipos informáticos
1 2 3 4
[N.2] Daños por agua Instalaciones
[I.1] Fuego Equipos informáticos
1 2 3 4
[I.2] Daños por agua Instalaciones
N.1] Fuego
Soporte de almacenamiento 1 2 3 4
[N.2] Daños por agua
[I.1] Fuego
Soporte de almacenamiento 1 2 3 4
[I.2] Daños por agua
[N.1] Fuego
Equipamiento Auxiliar 1 2 3 4
[N.2] Daños por agua
[I.1] Fuego
Equipamiento Auxiliar 1 2 3 4
[I.2] Daños por agua
233
Equipos informáticos 1 2 3 4
[N.*] Desastres naturales Soporte de Información 1 2 3 4
Equipamiento Auxiliar 1 2 3 4
Instalaciones 1 2 3 4
Equipos informáticos, 1 2 3 4
[I.*] Desastres industriales Soporte de Información 1 2 3 4
Equipamiento Auxiliar 1 2 3 4
Instalaciones 1 2 3 4
Equipos informáticos, 1 2 3 4
[I.3] Contaminación mecánica
Soporte de Información 1 2 3 4
Equipamiento Auxiliar 1 2 3 4
[I.4] Contaminación
Router de acceso inalámbrico. 1 2 3 4
electromagnética
Software - Aplicaciones
1 2 3 4
[I.5] Avería de origen físico o Informáticas
lógico Equipos informáticos 1 2 3 4
Soportes de Información 1 2 3 4
Equipamiento Auxiliar 1 2 3 4
Equipos Informáticos 1 2 3 4
[I.6] Corte del suministro eléctrico Soporte de Información
1 2 3 4
(electrónicos)
Ups computadores 1 2 3 4
[I.7] Condiciones inadecuadas de Equipos Informáticos
1 2 3 4
temperatura o humedad
[I.8] Fallo de servicios de
Redes de comunicaciones (Red
comunicaciones 1 2 3 4
inalámbrica, red local e internet)
Administrador de sistemas 1 2 3 4
Software–Aplicaciones
[E.8] Difusión de software dañino 1 2 3 4
Informáticas
Servicios 1 2 3 4
[E.9] Errores de [re-
Software–Aplicaciones
]encaminamiento 1 2 3 4
Informáticas
Redes de comunicaciones 1 2 3 4
Activos esenciales 1 2 3 4
[E.14] Escapes de información
Datos / información 1 2 3 4
[E.15] Alteración accidental de la
Datos / información 1 2 3 4
información
236
Datos / información 1 2 3 4
[A.5] Suplantación de la identidad Claves criptográficas 1 2 3 4
del usuario Servicios 1 2 3 4
Aplicaciones 1 2 3 4
Redes de comunicaciones 1 2 3 4
Datos / información 1 2 3 4
[A.6] Abuso de privilegios de Claves criptográficas 1 2 3 4
acceso Servicios 1 2 3 4
Equipos Informáticos 1 2 3 4
Redes de comunicaciones 1 2 3 4
Servicios 1 2 3 4
Aplicaciones 1 2 3 4
Equipos Informáticos 1 2 3 4
[A.7] Uso no previsto
Redes de comunicaciones 1 2 3 4
Soporte de Información 1 2 3 4
Equipamiento Auxiliar 1 2 3 4
Instalaciones 1 2 3 4
[A.8] Difusión de software dañino Aplicaciones 1 2 3 4
238
Datos / información 1 2 3 4
Claves criptográficas 1 2 3 4
Servicios 1 2 3 4
Aplicaciones 1 2 3 4
[A.11] Acceso no autorizado
Equipos Informáticos 1 2 3 4
Redes de comunicaciones 1 2 3 4
Soporte de Información 1 2 3 4
Equipamiento Auxiliar 1 2 3 4
Instalaciones 1 2 3 4
[A.13] Repudio Servicios 1 2 3 4
[A.14] Interceptación de
Redes de comunicaciones 1 2 3 4
información (escucha pasiva)
Datos / información 1 2 3 4
[A.15] Modificación deliberada de
Claves criptográficas 1 2 3 4
la información
Servicio 1 2 3 4
Aplicaciones 1 2 3 4
Datos / información 1 2 3 4
[A.18] Destrucción de Claves criptográficas 1 2 3 4
información Servicios 1 2 3 4
Aplicaciones 1 2 3 4
Soporte de la información 1 2 3 4
Datos / información 1 2 3 4
[A.19] Divulgación de información
Claves criptográficas 1 2 3 4
Soporte de la información 1 2 3 4
[A.22] Manipulación de
Aplicaciones 1 2 3 4
programas
[A.23] Manipulación de los Equipos Informáticos 1 2 3 4
equipos Soportes de Información 1 2 3 4
Equipamiento auxiliar 1 2 3 4
Equipos Informáticos 1 2 3 4
[A.24] Denegación de servicio
Servicios 1 2 3 4
Redes de Comunicación 1 2 3 4
239
Interrupción de los
procesos de la empresa
ALTO NIVEL DE RIESGO DE LOS ACTIVOS DE INFORMACIÓN CON LA QUE CUENTA LA EMPRESA DE
NET-Consultores S.A.C
Numerosas vulnerabilidades
No se cuenta con la Personal no concientizado Carencia de controles de seguridad de información
documentación en seguridad de de seguridad de no atendidas
necesaria información información
241
Continuidad de los
procesos de la empresa
Cumplir con la legislación Implementar una política de Capacitar al 100% al Gestionar y monitorear de
vigente en seguridad de la seguridad de la información que personal en los procesos manera eficiente las
información sea desplegada a todos los de tecnología en vulnerabilidades de
trabajadores seguridad de información seguridad de información