Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Confidencialidad
Financiero
Nombre del activo de información Descripción
Imagen
Legal
Listados en Excel que contienen información de
A1. Bases de Datos de
Nombres, números de cedula, georeferenciacion,
Beneficiarios de los tres 3 5 2
lineas productivas de todos los beneficiarios
Instrumentos
vinculados a cada instrumento.
A2. Bases de datos de Vehiculos Informacion parametrizada que contiene placa, tipo de los
2 3 4
vehiculos que han ingresado al parqueadero
Confidencialidad
Disponibilidad
Impacto
Financiero
Financiero
Integridad
Contenedor
Consolidado
Imagen
Imagen
Legal
Legal
3 5 5 3 1 1 5 5 3 5 Físico
3 3 4 2 3 3 4 4 3 4 Físico
4 3 2 5 4 3 4 5 3 4 Tecnológico
4 2 3 4 4 2 3 5 4 5 tecnologicos
3 2 1 4 5 4 2 4 5 3 fidsico
2 3 1 5 3 4 2 4 5 4 fisico
3 2 4 4 3 5 1 3 5 5 fisico
4 3 4 4 3 5 3 4 5 4 tecnologicos
2 3 1 4 3 5 2 4 5 3
3 2 2 4 3 3 2 3 4 5
3 4 1 4 5 2 3 5 4 5
4 3 2 4 3 5 3 5 3 4
3 4 2 5 4 5 2 3 4 4
3 5 2 4 3 4 3 4 5 3
3 4 2 5 4 3 3 5 4 5
2 3 1 4 4 5 3 5 3 4
4 3 1 2 4 3 3 5 2 5
3 4 2 4 5 3 2 4 3 4
3 5 2 4 3 4 3 5 2 5
Tipología de Información Evidencia de solicitud
Área Responsable de la
(de acuerdo a el area (Fuente de la Soporte de Información
Información
responsable) información)
Administrativa
administrativa Tecnológico
Activo Amenaza Vulnerabilidad
comprobantes de egreso Pérdida de servicios soporte Única copia, sólo una copia de la información
MATRIZ DE R
Riesgo
Impacto Riesgo Inherente (R)
Probabilidad (P)
consolidado (I) I*P
PLAN
120,000,000
Catálogo de amenazas (ISO 27001)
Acceso físico no autorizado
Acceso no autorizado a la red
Acceso no autorizado al sistema de información
Amenaza de bomba
Ataques terroristas
Código malicioso
Contaminación
Daños ocasionados durante pruebas de intrusión
Daños provocado por actividades de terceros
Descarga de un rayo
Destrucción de registros
Deterioro de soportes
Error de usuario
Errores de aplicaciones
Errores de mantenimiento
Escuchas encubiertas
Espionaje industrial
Explosión de bomba
Falla en los vínculos de comunicación
Fallas en equipos
Falsificación de registros
Fraude
Fraudes
Fuga o revelación de información
Huelgas
Identidad de usuario camuflada
Incendio
Incumplimiento de leyes
Incumplimiento de relaciones contractuales
Ingeniería social
Instalación no autorizada de software
Interceptación de información
Interrupción del suministro eléctrico
Inundación
Modificación accidental de datos del sistema de información
Modificación no autorizada de registros
Otros desastres (naturales)
Otros desastres (ocasionados por el hombre)
Pérdida de servicios soporte
Revelación de contraseñas
Robo
Uso de códigos no autorizados o no probados
Uso erróneo de herramientas de auditoría
Uso erróneo de sistemas de información
Uso no autorizado de materiales patentados
Uso no autorizado de software
Vandalismo
Catálogo de vulnerabilidades (ISO 27001)
Acceso no autorizado a instalaciones
Bases de datos con protección desactualizada contra códigos maliciosos
Claves criptográficas accesibles a personas no autorizadas
Colocación de cables
Conexiones de red pública sin protección
Contraseñas inseguras
Copiado sin control
Cuentas de usuario generadas por sistema en las que las contraseñas permanecen sin
modificación
Descargas de Internet sin control
Elección inadecuada de datos de prueba
Eliminación de soportes de almacenamiento sin borrado de datos
Empleados desmotivados o disconformes
Equipamiento móvil proclive a ser robado
Falta de control en datos de entrada y salida
Falta de desactivación de cuentas de usuario luego de finalizado el empleo
Falta de evidencia en envío o recepción de mensajes
Falta de separación de entornos de prueba y operativos
Falta de validación de datos procesados
Inadecuada capacidad de gestión
Inadecuada gestión de redes
Inadecuada o falta de implementación de auditoría interna
Inadecuada separación de tareas
Inadecuada supervisión de proveedores externos
Inadecuada supervisión del trabajo de los empleados
Inadecuado control de cambios
Inadecuado nivel de conocimiento y/o concienciación de empleados
Inadecuados derechos de usuario
Información disponible para personas no autorizadas
Interfaz de usuario complicada
Mantenimiento inadecuado
Nivel de confidencialidad no definido con claridad
Poderes de gran alcance
Redes accesibles a personas no autorizadas
Reglas criptográficas no definidas con claridad
Reglas organizacionales no definidas con claridad
Reglas para control de acceso no definidos con claridad
Reglas para trabajo afuera de las instalaciones no definidas con claridad
Requisitos para desarrollo de software no definidos con claridad
Sesiones activas después del horario laboral
Sistemas desprotegidos ante acceso no autorizado
Sobredependencia en un dispositivo o sistema
Software no documentado
Susceptibilidad del equipamiento a alteraciones en el voltaje
Susceptibilidad del equipamiento a la humedad y a la contaminación
Susceptibilidad del equipamiento a la temperatura
Ubicación susceptible a desastres naturales
Ubicación susceptible a pérdidas de agua
Única copia, sólo una copia de la información
Uso de equipamiento obsoleto
Uso no controlado de sistemas de información
Controles (ISO 27002)
Aceptación de sistemas
Acuerdos de confidencialidad
Acuerdos de intercambio
Administración de Claves
Administración de la Capacidad
Administración de medios informáticos removibles
Aislamiento de sistemas sensibles
Análisis y especificaciones de requerimientos de Seguridad
Aprendizaje a partir de incidentes de seguridad de la Información
Areas de acceso público, entrega y carga
Asignación de Responsabilidades de seguridad de la información
Atención a la seguridad en el trato con los clientes
Atención a la seguridad en los acuerdos con terceros
Autenticación de usuarios para conexiones externas
Chequeos de conformidad Técnica
Comercio Electrónico
Compromiso Gerencial a la seguridad de la información
Computación y comunicaciones móviles
Concientización, formación y entrenamiento en seguridad de la información
Conformidad con la política de seguridad
Contactos con autoridades
Contactos con grupos de intereses especiales
Continuidad de Negocios y Valuación de Riesgos
Control de Acceso a las biblioteca de los fuentes de programas
Control de conexiones de red
Control de enrutados en la red
Control de vulnerabilidades técnicas
Control del procesamiento interno
Control del Software Operacional
Controles contra código malicioso
Controles contra código Móvil
Controles de acceso físico
Controles de Auditoría de Sistemas de Información
Controles de Red
Coordinación en seguridad de la información
Derechos de Propiedad Intelectual
Desarrollo de software por parte de terceros
Desarrollo e implementación de planes de continuidad que incluyan seguridad de la
información
Descarte de medios de almacenamiento
Descarte o reuso seguros del equipamiento
Devolución de activos
Diagnóstico remoto y protección del puerto de configuración
Documentación de la Política de Seguridad de Información
Documentación de los procedimientos operativos
Entrega de Servicios
Equipamiento no atendido de usuarios
Etiquetado y manejo de la Información
Fuga de Información
Gestión de Cambios
Gestión de cambios en servicios de terceros
Gestión de contraseñas de usuarios
Identificaci{on de legislaciones aplicables
Identificación del equipamiento en redes
Identificación del riesgo relacionado con terceros
Identificación y autenticación de usuarios
Inclusión de la Seguridad de la Información en el proceso de gestión de continuidad de
negocios
Información disponible públicamente
Integridad de Mensajes
Inventario de Activos
Limitación del tiempo de conexión
Mantenimiento de equipos
Marcos de trabajo para la planificación de continuidad de los negocios
Medida de los Privilegios
Medios físicos en tránsito
Mensajería Electrónica
Monitoreo del uso del sistema
Monitoreo y revisión de servicios de terceros
Pautas de clasificación
Perímetro de seguridad física
Política de Control de Acceso
Política sobre el uso de controles criptográficos
Política sobre el uso de servicios de red
Políticas de escritorio y pantalla limpias
Políticas y procedimientos de intercambio de información
Prevención del mal uso de las facilidades de procesamiento de la información
Procedimientos de Control de Cambios
Procedimientos de registro seguro
Procedimientos para el manejo de la información
Proceso de autorización para las facilidades de Procesamiento de la Información
Proceso disciplinario
Propiedad de los activos
Protección contra amenazas externas y del ambiente
Protección de datos y privacidad de la información personal
Protección de herramientas de auditoría de sistemas de información
Protección de la información de registros (logs)
Protección de los datos de prueba de sistemas
Protección de registros de la organización
Prueba, mantenimiento y revaluación de planes de continuidad de negocios
Recolección de evidencia
Registración de usuarios
Registro de Auditoría
Registro de Fallas
Registros (logs) de administradores y operadores
Regulación de controles criptográficos
Remoción de derechos de acceso
Reportes de debilidades de seguridad
Reportes de eventos de seguridad de la información
Respaldo de la Información
Responsabilidad Gerencial
Responsabilidades en la terminación de la relación laboral
Responsabilidades y Procedimientos
Restricciones al acceso a la Información
Restricciones en los cambios en paquetes de software
Retiro de bienes
Revisión de derechos de acceso de usuarios
Revisión de la Política de Seguridad de la Información
Revisión independiente de la seguridad de la información
Revisión técnica de las aplicaciones luego de cambios en el Sistema Operativo
Roles y Responsabilidades
Seguridad de la documentación del sistema
Seguridad de los servicios de Red
Seguridad del cableado
Seguridad del equipamiento propio fuera de la empresa
Seguridad en oficinas, recintos e instalaciones
Selección
Separación de funciones
Separación de las facilidades de desarrollo y operación
Sincronización de relojes
Sistema de Administración de Contraseñas
Sistemas de Información de Negocios
Subdivisión de redes
Suministro de energía
Teletrabajo
Términos y condiciones de empleo
Time-out de sesiones
Trabajo en áreas seguras
Transacciones en línea
Ubicación y protección del equipamiento
Uso aceptable de los activos
Uso de Contraseñas
Uso de utilitarios del sistema
Validación de datos de entrada
Validación de datos de salida
Tipos de Control Tipos de Contenedor Tratamiento del Riesgo Soporte de Información
1
2
3
4
5
Valoración de la Probabilidad
Escal
Probabilidad Criterio 1
a
1 Muy baja Amenaza poco motivada
2 Baja Amenaza con motivación media
Criterio 2
1 vez al año o nunca ha
ocurrido
2 veces al año
3 veces al año
4 veces al año