No Riesgo

Falta de controles de acceso al área de bodega de

documentos, que impacta en la confidencialidad y la
1 Integridad de los documentos resguardados de los
clientes

2 Posible Suplantación de Identidad.

Perdida de disponibilidad, Integridad y

Confidencialidad de la Información por no contar con
3 una definición y documentación de los roles de
seguridad de la información que deben estar
definidos

4 Exposicion de todos los usuarios del CRM.

Acceso a varios segmentos de red (por red

5 cableada).
 Plan de Accion o
Descripción de la Situacion
Tratamiento del riesgo

En el proceso de gestión documental, se evidencia una situación en la que

la información de los clientes puede ser susceptibles de manipulación por
personal no autorizado. Podemos decir para esta situación que existe un Mitigar
riesgo de pérdida de confidencialidad e integridad de los documentos
custodiados por la empresa Segurito S.A.

Los usuarios que salen a vacaciones dejan sus datos de acceso a otros
compañeros con autorización de su jefe inmediato, si se les olvida su
Mitigar
claves, deben llamar a la mesa de servicio de Medellin y se conceden los
cambios sin realizar la validación de la identidad.

La administración de la plataforma se realiza con el mismo usuario

genérico que comparten las 3 personas encargadas del área de
Mitigar
Tecnología de Medellin. No se ha establecido reglas sobre la caducidad,
longitud mínima o el manejo de históricos

Se evidencia que el acceso al CRM es administrado por un líder del área

comercial, el cual almacena los usuarios y contraseñas de acceso en un Eliminar
documento de Excel compartido en red con toda el área comercial.

Se puede verificar desde una sala de reuniones destinada a proveedores,

se tiene acceso a varios segmentos de red (por red cableada). La
Mitigar
definición es que el acceso de red para proveedores es el mismo de
visitantes y es por inalámbrica.
 Riesgos Segurid
Descripción del Plan de Accion o Tratamiento Responsable

La implementación de un apropiado etiquetado y

sellado de los documentos de acuerdo con el cliente y
Jefe del Almacén y la
en el etiquetado la naturaleza de la información que se
Bodega
almacena, al igual la implementación de un acceso
restringido a la bodega por control biométrico

Enviar notificación al jefe inmediato, quien a su vez

notficia al Administrador TI de Aplicaciones, para que
Administardor TI de
inactive al usuario por el periodo solicitado, y sean
Aplicativos
asignados los roles a otro funcionario que cubra el
periodo de vaciones.

Estandarizar y documentar procesos, procedimientos y

demás lineamientos de gestión de TI, para quienes
administran plataforma tecnológica al interior, asi Gerencia de
mismo se debe definir un proceso de ciclo de vida del Tecnología
desarrollo de software que involucre en las diferentes
etapas criterios de seguridad

Suprimir el registro de usuarios en el archivo de Excel

y retirar estos registros de la carpeta compartida con
Administardor TI de
toda el área comercial, los registros producto de la
Aplicativos
gestión de altas o bajas de usuarios en el CRM deben
ser almacenados en sistemas seguros y custodiados.

Autenticación a nivel de la red, Listas de Control de

Gerencia de
Acceso (ACLs) y Software de auditoria de integridad
Tecnología
de archivos.
 Riesgos Seguridad de la Información frente a Gestión de la
Amenaza Vulnerabilidad

La falta de control y restricciones en el acceso a

los documentos custodiados por la empresa. Ya
El acceso de personal no autorizado en el área de
que cualquier funcionario administrativo, tiene
almacenamiento de documentos y al contenido de las cajas,
acceso a estos, al estar el área de bodega de
ya sea de forma involuntaria o predeterminada.
documentos en el pasillo que conduce a las
oficinas de la administración

Posibles alteraciones no autorizadas de la información. No existe controles de acceso de los usuarios.

Debiido a Factores Humanos por divulgación de la

información. Al presentarse estas situaciones se presenta
Se detecta la vulnerabilidad al establecer
una amenaza hacia el objetivo de autenticidad y
contraseñas compartidas de usuarios genéricos,
trazabilidad, ya que esto dificulta responsabilizar a alguien
que pueden ser compartidas por estos y a su vez
en particular de la realización de una actividad con
redundar en que se conocen masivamente los
privilegios. Si los administradores no cuentan con
accesos a los usuarios administradores de
credenciales únicas, los usuarios malintencionados pueden
servidores y plataformas
ocultarse detrás del anonimato proporcionado por una
cuenta compartida.

Se puede ver afectado fácilmente el acceso debido a la

falencia de seguridad detectada en el registro de usuarios el No existe un sistema apropiado para salvaguardar
cual no cumple con una adecuada gestión de información las credenciales de los usuarios.
confidencial de autenticación de usuarios.

Debido a Factores Humanos por la manipulación no

apropiada de la información. Al presentarse estas
Se presenta la vulnerabilidad a tener acceso a
situaciones se presenta una amenaza hacia el objetivo de
varios segmentos de red por medio de puntos de
autenticidad y trazabilidad. Si los administradores no
red cableada en salas de reuniones, donde se
cuentan con credenciales únicas, los usuarios
permite el ingreso a proveedores.
malintencionados pueden ocultarse detrás del anonimato
proporcionado por una cuenta compartida.
a Gestión de la Seguridad y Control de Acceso
Descripción del control
La implementación de un
apropiado etiquetado y sellado de
los documentos de acuerdo con el
cliente y en el etiquetado la
naturaleza de la información que
se almacena y/o la implementación
de un acceso restringido a la
bodega por control biométrico.
Se deben implementar
mecanismos de validación de
identidad.
Definir los roles de Seguridad de la
Información indicando sus
actividades, responsabilidades y
destrezas, así mismo definiendo
segregación de funciones.
Realizar la unificación del acceso a
todas las aplicaciones.
Los controles técnicos utilizan la
tecnología como una base para
controlar el acceso y uso de datos
confidenciales a través de una
estructura física y sobre la red. Los
controles técnicos son mucho más
extensos en su ámbito e incluyen
tecnologías tales como:
• Autenticación a nivel de la red
• Listas de control de acceso
(ACLs)
• Software de auditoría de
integridad de archivos
Descripción de la categoria de
Categoría del control
control
Se define como Fsico, ya que se
implementan para controlar el
acceso del personal a las áreas
Físicos restringidas de la bodega, al igual
controla el acceso del personal a
las áreas restringidas de la
bodega.
Se define como Administrativo,
debido a que se debe mejorar la
Administrativos
politica respecto a los responsables
de las cuentas de usuarios.
se consideran Administrativos, ya
que el acceso a la administración
de la plataforma se determina de
Administrativos
acuerdo con roles establecidos y
de acuerdo con esto los accesos
permitidos.
Se define como Tecnico, por la
necesidad de tener centralizados
Tecnico
los usuarios para los diferentes
aplicativos.
Se define como Técnico, ya que el
acceso a la administración de la
plataforma se determina de
Tecnico
acuerdo con roles establecidos y
de acuerdo con esto los accesos
permitidos
Tipo de Control Descripción del Control

Se define como control Correctivo porque se

pretende la corrección de todos los errores
identificados. Cada control cumple un objetivo
Correctivo
principal en donde se controlan las actividades
realizadas, cumpliendo con los procedimientos y
normas legales.

Se define el control como Correctivo, porque se

Correctivo deben aplicar correcciones sobre las politicas del
control de acceso.

Se definen de índole Preventivo y Disuasivo, ya

que trata de establecer las responsabilidades de
accesos a la plataforma de acuerdo con el rol y
actividades determinadas. Con esto se pretende
Preventivo y
tener una trazabilidad de las acciones ejecutadas
Disuasivo
por usuario, lo cual permite prevenir cualquier
evento y disuadir de cometer una acción
malintencionada a los responsables de los
accesos.

Se define Preventivo, porque evita accesos no

Preventivo autorizados al CRM.

Se define Preventivo, porque restringe el acceso

Preventivo a los segmentos de red y posibles intrusiones de
seguridad.
 Responsable del control

La Gerencia de Riesgos. Por que

de acuerdo con el planteamiento es la encargada de
definir las respectivas políticas, normas y lineamientos
relacionados con seguridad de la información.

El Administrador TI de Aplicaciones,
Porque es el encargado de arreglar los problemas
informáticos que puedan existir, en sus actividades
diarias las cuales son necesarias para el éxito de la
empresa

Gerencia de Riesgos y Gerencia de Tecnología,

Ya que la determinación de los
roles y privilegios, al igual que es la segregación de
funciones se debe realizar en conjunto para realizar la
definición de forma apropiada y alertando sobre posibles
riesgos.

El Administrador TI de Aplicaciones
Porque es el encargado de arreglar los problemas
informáticos que puedan existir, en sus actividades
diarias las cuales son necesarias para el éxito de la
empresa

Gerencia de Riesgos y Gerencia de Tecnología.

Ya que la determinación de las
listas de control de acceso se debe realizar en conjunto
para realizar la definición de forma apropiada y alertando
sobre posibles riesgos
 Frecuencia de ejecución
Responsables de la revisión del control
del control

La Gerencia de Riesgos, Por

que de acuerdo con el planteamiento es la encargada
de definir las respectivas políticas, normas y Permanente
lineamientos relacionados con seguridad de la
información.

Oficial de Seguridad, Porque

es el responsable máximo en planificar, desarrollar,
controlar y gestionar las políticas, procedimientos y
Permanente
acciones con el fin de mejorar la seguridad de la
información dentro de sus pilares fundamentales de
confidencialidad, integridad y disponibilidad.

Gerencia de Riesgos
Porque es la encargada de definir las respectivas
Permanente
políticas, normas y lineamientos relacionados con
seguridad de la información.

Oficial de Seguridad
Porque es el responsable máximo en planificar,
desarrollar, controlar y gestionar las políticas,
procedimientos y acciones con el fin de mejorar la Trimestral
seguridad de la información dentro de sus pilares
fundamentales de confidencialidad, integridad y
disponibilidad.

Gerencia de Riesgos.
Poruqe es la encargada de definir las respectivas
Permanente
políticas, normas y lineamientos relacionados con
seguridad de la información.
Frecuencia de revisión del
control

Trimestral

Trimestral

Trimestral

Semestral

Trimestral