Val

Confidencialidad

Financiero
Nombre del activo de información Descripción

Imagen
Legal
Listados en Excel que contienen información de
A1. Bases de Datos de
Nombres, números de cedula, georeferenciacion,
Beneficiarios de los tres 3 5 2
lineas productivas de todos los beneficiarios
Instrumentos
vinculados a cada instrumento.

A2. Bases de datos de Vehiculos Informacion parametrizada que contiene placa, tipo de los
2 3 4
vehiculos que han ingresado al parqueadero

contiene los numeros de inventarios de todos los productos

A3. Bases de datos de inventarios que vende el supermercado junto con sus de ventas 2 2 3
incluye la informacion solicitada a los proveedores que
A4. Bases de datos de proveedores tienen una relacion actual o pasada con el supermercado 5 3 1
A5. Aplicación, gestion de inventario aplicación para gestion de inventarios precios y costos 5 3 1
A6. acceso a internet servicio de acceso controlado a internet 3 1 2
implementacion para garantizar el éxito del proyecto y la
A7. Impresora calidad del producto implementado 2 3 1
suministrara los equipos de impresión de codigo de barras
A8. Terminales portatiles para la marcacion del producto que se requiere 2 3 1
documento que evidencia el desarrollo de una reunion,
puntos tratados evidencia de toma de desiciones ,
Actas compromisos y acurdos 1 3 1
incluye informacion personal de los empleados directos del
supermercado incluyendo nombres completos numero de
identificacion fecha de nacimiento fecha de ingreso a la
Bases de datos de empleados empresa deireccion telefono entre otras 2 5 1
Consola de antivirus consola de antivirus y antispyware corporativo 2 3 2
Control de registro reporte de control de la documentacion fisica 2 4 1
repositorio de ventas de tirillas de
ventas realizadas contiene el historico de todas las tirillas de pagos 2 3 1
correo elctronico correo electronico corporativo 1 2 3
telefonia local y larga distancia telefonia local y larga distancia 2 3 1
seguridad perimetral srvicio de proteccion de acceso del perimetro de la red 3 4 1
almacenamiento de archivos y
carpetas compartidas almacenamiento de archivos y carpetas compartidas 3 4 2
repositorio de copias de respaldo de corresponde a un repositorio centralizado donde se
configuraciones de dispositivos de almacenasn copias de respaldo de las configuraciones de
infraestructura y seguridad firewall routers switches y entre otras 1 3 2
 sirven para que una empresa o negocio pueda mantener sus
comprobantes de egreso registros de la mayoria de los gastos que realiza 2 5 2
 Descripción del Inventario de Información

Valoración del Activo

Integridad Disponibilidad Criticidad

Confidencialidad

Disponibilidad
Impacto
Financiero

Financiero

Integridad
Contenedor
Consolidado
Imagen

Imagen
Legal

Legal

3 5 5 3 1 1 5 5 3 5 Físico

3 3 4 2 3 3 4 4 3 4 Físico

4 3 2 5 4 3 4 5 3 4 Tecnológico

4 2 3 4 4 2 3 5 4 5 tecnologicos
3 2 1 4 5 4 2 4 5 3 fidsico
2 3 1 5 3 4 2 4 5 4 fisico

3 2 4 4 3 5 1 3 5 5 fisico

4 3 4 4 3 5 3 4 5 4 tecnologicos

2 3 1 4 3 5 2 4 5 3

3 2 2 4 3 3 2 3 4 5
3 4 1 4 5 2 3 5 4 5
4 3 2 4 3 5 3 5 3 4

3 4 2 5 4 5 2 3 4 4
3 5 2 4 3 4 3 4 5 3
3 4 2 5 4 3 3 5 4 5
2 3 1 4 4 5 3 5 3 4

4 3 1 2 4 3 3 5 2 5

3 4 2 4 5 3 2 4 3 4
3 5 2 4 3 4 3 5 2 5
 Tipología de Información Evidencia de solicitud
Área Responsable de la
(de acuerdo a el area (Fuente de la Soporte de Información
Información
responsable) información)

Económica y Comercial Interna/Administración Fisico

Administrativa

administrativa Tecnológico
 Activo Amenaza Vulnerabilidad

A1. Bases de Datos de Beneficiarios de

Error de usuario Descargas de Internet sin control
los tres Instrumentos

A2. Bases de datos de Vehiculos Explosión de bomba Acceso no autorizado a instalaciones

Bases de datos con protección desactualizada

A3. Bases de datos de inventarios Acceso no autorizado a la red
contra códigos maliciosos

Bases de datos con protección desactualizada

A4. Bases de datos de proveedores Acceso no autorizado a la red
contra códigos maliciosos

Instalación no autorizada de Falta de evidencia en envío o recepción de

A5. Aplicación, gestion de inventario
software mensajes

A6. acceso a internet Acceso no autorizado a la red Contraseñas inseguras

Daños provocado por actividades

A7. Impresora Equipamiento móvil proclive a ser robado
de terceros

daños provocado por actividades de

A8. Terminales portatiles Equipamiento móvil proclive a ser robado
terceros

Incumplimiento de relaciones Información disponible para personas no

Actas
contractuales autorizadas

Bases de datos de empleados Acceso no autorizado a la red Acceso no autorizado a instalaciones

Consola de antivirus Código malicioso poderes de gran alcance

Control de registro Destrucción de registros Copiado sin control
repositorio de ventas de tirillas de ventas Eliminación de soportes de almacenamiento
realizadas Fallas en equipos sin borrado de datos

correo elctronico
telefonia local y larga distancia
seguridad perimetral
almacenamiento de archivos y carpetas
compartidas
repositorio de copias de respaldo de
configuraciones de dispositivos de
infraestructura y seguridad
comprobantes de egreso
Fraude
Errores de mantenimiento
Revelación de contraseñas
Uso erróneo de sistemas de
información
Fallas en equipos
Pérdida de servicios soporte
Cuentas de usuario generadas por sistema en
las que las contraseñas permanecen sin
modificación
Colocación de cables
Mantenimiento inadecuado
Software no documentado
Eliminación de soportes de almacenamiento
sin borrado de datos
Única copia, sólo una copia de la información
 MATRIZ DE R

VALORACIÓN DEL RIESGO

Riesgo
Impacto Riesgo Inherente (R)
Probabilidad (P)
consolidado (I) I*P

R1. Empleado desmotivado que roba

información de la Bases de Datos de 5 4 20
Beneficiarios
R2.Empleado desmotivado que accede a
el reservorio con el fin de implantar
4 3 12
elementos explosivos con el objetivo de
dañar la base de datos de vehiculos.

empleados que ingresan a la base de atos

4 4
sin estar autorizados

empleados que ingresan a la base de atos

5 4
sin estar autorizados

empleados que no tienen la capcidad ni

3 4
capacitacion sobre la aplicación

empleados que intenta conseguir las

4 5
contraseñas

empleados que no utlizan con agrado los

4 5
dispositivos

empleados que no saben utilizar los

4 5
dispositivos

empleados que roban documentos con

3 4
firmas para falsificarlas

empleados que roban informacion 5 5

empleados que dañan los documentos 3 4

empleados que botan las tirillas para
robar 2 4
empleados que roban la informacion del
negocio 4 5
abuso de la linea telefonica por
empleados 5 4

documentos robados por empleados para

mirar archivos de la empresa 3 3

falsificacion del comprobante para robar

dinero delas compras 5 5
 MATRIZ DE RIESGOS

PLAN

Efectividad del Nivel de Probabilidad Impacto

Control Tipo de Control
Control (EC) control Residual (PR) Residual (IR)

Acuerdos de confidencialidad Prevención 2 Bueno 2 2

Contactos con autoridades Corrección 1 Malo 2 2

Acuerdos de confidencialidad correccion

Acuerdos de confidencialidad correccion

Aprendizaje a partir de incidentes de

prevencion
seguridad de la Información

Contactos con autoridades prevencion

Aprendizaje a partir de incidentes de

correcion
seguridad de la Información

Aprendizaje a partir de incidentes de

correccion
seguridad de la Información

Contactos con autoridades prevencion

Contactos con autoridades prevencion

contactos con autoridades prevencion

contactos con autoridades prevencion

contactos con autoridades prevencion

Acuerdos de intercambio correccion

contactos con autoridades prevencion

acuerdos de confidencialidad correccion

contactos con autoridades prevencion

 PLAN DE TRATAMIENTO

Riesgo Residual Duración

Actividades Responsables
PR*IR (meses)

Acuerdo de confidencialidad al momento Área de TI

4 N/A
de vincular un colaborador Oficina Jurídica

Investigacion interna forense con el fin de

4 Area de Sistemas 3
recuperar la información

TOTAL INVERSIÓN ($)

 Costo Beneficio

Reducir la probabilidad de fuga de

0
información

Soportar y evidenciar la violación del

120000000 delito presentado/Recuperacion
parcial de la información afectada.

120,000,000
Catálogo de amenazas (ISO 27001)
Acceso físico no autorizado
Acceso no autorizado a la red
Acceso no autorizado al sistema de información
Amenaza de bomba
Ataques terroristas
Código malicioso
Contaminación
Daños ocasionados durante pruebas de intrusión
Daños provocado por actividades de terceros
Descarga de un rayo
Destrucción de registros
Deterioro de soportes
Error de usuario
Errores de aplicaciones
Errores de mantenimiento
Escuchas encubiertas
Espionaje industrial
Explosión de bomba
Falla en los vínculos de comunicación
Fallas en equipos
Falsificación de registros
Fraude
Fraudes
Fuga o revelación de información
Huelgas
Identidad de usuario camuflada
Incendio
Incumplimiento de leyes
Incumplimiento de relaciones contractuales
Ingeniería social
Instalación no autorizada de software
Interceptación de información
Interrupción del suministro eléctrico
Inundación
Modificación accidental de datos del sistema de información
Modificación no autorizada de registros
Otros desastres (naturales)
Otros desastres (ocasionados por el hombre)
Pérdida de servicios soporte
Revelación de contraseñas
Robo
Uso de códigos no autorizados o no probados
Uso erróneo de herramientas de auditoría
Uso erróneo de sistemas de información
Uso no autorizado de materiales patentados
Uso no autorizado de software
Vandalismo
Catálogo de vulnerabilidades (ISO 27001)
Acceso no autorizado a instalaciones
Bases de datos con protección desactualizada contra códigos maliciosos
Claves criptográficas accesibles a personas no autorizadas
Colocación de cables
Conexiones de red pública sin protección
Contraseñas inseguras
Copiado sin control
Cuentas de usuario generadas por sistema en las que las contraseñas permanecen sin
modificación
Descargas de Internet sin control
Elección inadecuada de datos de prueba
Eliminación de soportes de almacenamiento sin borrado de datos
Empleados desmotivados o disconformes
Equipamiento móvil proclive a ser robado
Falta de control en datos de entrada y salida
Falta de desactivación de cuentas de usuario luego de finalizado el empleo
Falta de evidencia en envío o recepción de mensajes
Falta de separación de entornos de prueba y operativos
Falta de validación de datos procesados
Inadecuada capacidad de gestión
Inadecuada gestión de redes
Inadecuada o falta de implementación de auditoría interna
Inadecuada separación de tareas
Inadecuada supervisión de proveedores externos
Inadecuada supervisión del trabajo de los empleados
Inadecuado control de cambios
Inadecuado nivel de conocimiento y/o concienciación de empleados
Inadecuados derechos de usuario
Información disponible para personas no autorizadas
Interfaz de usuario complicada
Mantenimiento inadecuado
Nivel de confidencialidad no definido con claridad
Poderes de gran alcance
Redes accesibles a personas no autorizadas
Reglas criptográficas no definidas con claridad
Reglas organizacionales no definidas con claridad
Reglas para control de acceso no definidos con claridad
Reglas para trabajo afuera de las instalaciones no definidas con claridad
Requisitos para desarrollo de software no definidos con claridad
Sesiones activas después del horario laboral
Sistemas desprotegidos ante acceso no autorizado
Sobredependencia en un dispositivo o sistema
Software no documentado
Susceptibilidad del equipamiento a alteraciones en el voltaje
Susceptibilidad del equipamiento a la humedad y a la contaminación
Susceptibilidad del equipamiento a la temperatura
Ubicación susceptible a desastres naturales
Ubicación susceptible a pérdidas de agua
Única copia, sólo una copia de la información
Uso de equipamiento obsoleto
Uso no controlado de sistemas de información
Controles (ISO 27002)
Aceptación de sistemas
Acuerdos de confidencialidad
Acuerdos de intercambio
Administración de Claves
Administración de la Capacidad
Administración de medios informáticos removibles
Aislamiento de sistemas sensibles
Análisis y especificaciones de requerimientos de Seguridad
Aprendizaje a partir de incidentes de seguridad de la Información
Areas de acceso público, entrega y carga
Asignación de Responsabilidades de seguridad de la información
Atención a la seguridad en el trato con los clientes
Atención a la seguridad en los acuerdos con terceros
Autenticación de usuarios para conexiones externas
Chequeos de conformidad Técnica
Comercio Electrónico
Compromiso Gerencial a la seguridad de la información
Computación y comunicaciones móviles
Concientización, formación y entrenamiento en seguridad de la información
Conformidad con la política de seguridad
Contactos con autoridades
Contactos con grupos de intereses especiales
Continuidad de Negocios y Valuación de Riesgos
Control de Acceso a las biblioteca de los fuentes de programas
Control de conexiones de red
Control de enrutados en la red
Control de vulnerabilidades técnicas
Control del procesamiento interno
Control del Software Operacional
Controles contra código malicioso
Controles contra código Móvil
Controles de acceso físico
Controles de Auditoría de Sistemas de Información
Controles de Red
Coordinación en seguridad de la información
Derechos de Propiedad Intelectual
Desarrollo de software por parte de terceros
Desarrollo e implementación de planes de continuidad que incluyan seguridad de la
información
Descarte de medios de almacenamiento
Descarte o reuso seguros del equipamiento
Devolución de activos
Diagnóstico remoto y protección del puerto de configuración
Documentación de la Política de Seguridad de Información
Documentación de los procedimientos operativos
Entrega de Servicios
Equipamiento no atendido de usuarios
Etiquetado y manejo de la Información
Fuga de Información
Gestión de Cambios
Gestión de cambios en servicios de terceros
Gestión de contraseñas de usuarios
Identificaci{on de legislaciones aplicables
Identificación del equipamiento en redes
Identificación del riesgo relacionado con terceros
Identificación y autenticación de usuarios
Inclusión de la Seguridad de la Información en el proceso de gestión de continuidad de
negocios
Información disponible públicamente
Integridad de Mensajes
Inventario de Activos
Limitación del tiempo de conexión
Mantenimiento de equipos
Marcos de trabajo para la planificación de continuidad de los negocios
Medida de los Privilegios
Medios físicos en tránsito
Mensajería Electrónica
Monitoreo del uso del sistema
Monitoreo y revisión de servicios de terceros
Pautas de clasificación
Perímetro de seguridad física
Política de Control de Acceso
Política sobre el uso de controles criptográficos
Política sobre el uso de servicios de red
Políticas de escritorio y pantalla limpias
Políticas y procedimientos de intercambio de información
Prevención del mal uso de las facilidades de procesamiento de la información
Procedimientos de Control de Cambios
Procedimientos de registro seguro
Procedimientos para el manejo de la información
Proceso de autorización para las facilidades de Procesamiento de la Información
Proceso disciplinario
Propiedad de los activos
Protección contra amenazas externas y del ambiente
Protección de datos y privacidad de la información personal
Protección de herramientas de auditoría de sistemas de información
Protección de la información de registros (logs)
Protección de los datos de prueba de sistemas
Protección de registros de la organización
Prueba, mantenimiento y revaluación de planes de continuidad de negocios
Recolección de evidencia
Registración de usuarios
Registro de Auditoría
Registro de Fallas
Registros (logs) de administradores y operadores
Regulación de controles criptográficos
Remoción de derechos de acceso
Reportes de debilidades de seguridad
Reportes de eventos de seguridad de la información
Respaldo de la Información
Responsabilidad Gerencial
Responsabilidades en la terminación de la relación laboral
Responsabilidades y Procedimientos
Restricciones al acceso a la Información
Restricciones en los cambios en paquetes de software
Retiro de bienes
Revisión de derechos de acceso de usuarios
Revisión de la Política de Seguridad de la Información
Revisión independiente de la seguridad de la información
Revisión técnica de las aplicaciones luego de cambios en el Sistema Operativo
Roles y Responsabilidades
Seguridad de la documentación del sistema
Seguridad de los servicios de Red
Seguridad del cableado
Seguridad del equipamiento propio fuera de la empresa
Seguridad en oficinas, recintos e instalaciones
Selección
Separación de funciones
Separación de las facilidades de desarrollo y operación
Sincronización de relojes
Sistema de Administración de Contraseñas
Sistemas de Información de Negocios
Subdivisión de redes
Suministro de energía
Teletrabajo
Términos y condiciones de empleo
Time-out de sesiones
Trabajo en áreas seguras
Transacciones en línea
Ubicación y protección del equipamiento
Uso aceptable de los activos
Uso de Contraseñas
Uso de utilitarios del sistema
Validación de datos de entrada
Validación de datos de salida
Tipos de Control Tipos de Contenedor Tratamiento del Riesgo Soporte de Información

Prevención Físico Mitigarlo Digital

Detección Proceso Aceptarlo Fisico
Corrección Recurso Humano Transferirlo
Tecnológico Eliminarlo
Escala de valoracion del activo

1
2
3
4
5
 Valoración de la Probabilidad

Escal
Probabilidad Criterio 1
a
1 Muy baja Amenaza poco motivada
2 Baja Amenaza con motivación media

3 Media Amenaza motivada con capacidad baja

4 Alta Amenaza motivada con capacidad media

Amenaza muy motivada y con alta
5 Muy alta
capacidad
obabilidad

Criterio 2
1 vez al año o nunca ha
ocurrido
2 veces al año

3 veces al año

4 veces al año

5 o más veces al año

 niveles de controles

Asignacion Rango inicial Rango Final Reduccion

Malo 0 50 0
Regular 51 75 1
Bueno 76 100 2