Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Implementacion de Sgsi Iso 27001 Gestion de Riesgos
Implementacion de Sgsi Iso 27001 Gestion de Riesgos
Aplicar controles de
seguridad
Transferir el riesgo
Evitar el riesgo
Aceptar el riesgo.
Declaración de aplicabilidad.
Basándose en los resultados del tratamiento de riesgo, se necesitará una lista
de todos los controles que ha de implementarse, por qué se han aplicado y
cómo. Este documento también es muy importante porque el auditor de
certificación lo usará como guía principal para la auditoría.
Plan de tratamiento de riesgos.
El propósito de este documento es definir exactamente quién va a
implementar cada control, en qué tiempo, con qué presupuesto, etc.
1. Identificación de los Activos de las información.
2. Tasación de Activos.
3. Identificación de las Amenazas y Vulnerabilidades.
4. Cálculo de las Amenazas y Vulnerabilidades.
1. IDENTIFICACION DE ACTIVOS
En el proceso de identificación y
tasación de activos se deber realizar
con un grupo multidisciplinario
compuesto por persona involucradas
en los procesos y subprocesos.
PROCESO: LICENCIAS DE CONDUCIR
Fotografías
Escuela de Manejo
Cumple
Centro Médico
Emite
con los resultados Emite
estandare resultados
s
Recepción
Elaboració
Área de de
Examen n de
información documento
Licencia
s
Apoya en Clientes
Solicita
Informaci la
Emite identificaci
ón Recepcio
Clientes naDocum
resultados ón
entos
Solicitados RENIEC
Banco de la Nación MTC
Copias
CATEGORIZA
Procedimientos
Sistema Registro de informes
Sistema de Maestro de Licencias
Software
Internet
CIÓN DE
Sistema Web de Identificación - RENIEC
Examen teórico de MTC - Servicio en
Linea
Base de datos Consulta de
ACTIVOS
Procedimientos
Repositorios de Base de datos Sistema Registro de
información Informes
Base de datos Maestro de Licencias
Auxiliar de Informes
Analista de Procesamiento.
Personal
Analista Tecnico de Elaboracion de
Licencias
Teléfono Analogico 1
Teléfono Analogico 4
Teléfono Analogico 3
Teléfono Analogico 2
Switch 32 Puertos
Impresoras Licencias 4
Impresora 1 Hp LASER 3
Hardware Impresora 1 Hp LASER 2
Impresora 1 Hp a Inyección 1
Equipo de Computo HP 4
Equipo de Computo HP 3
Equipo de Computo HP 2
Equipo de Computo HP 1
Emicadora
Aparato Biometrico - Huella Digital
Manual de Tramites de Licencias
Manual de Organización y Funciones
Documentos Papel
CATEGORIA ACTIVO PROPIETARIO
Sistema de Consulta de Procedimientos SISTEMAS
IDENTIFICACI Software
Sistema Registro de informes
Sistema de Maestro de Licencias
Internet
SISTEMAS
SISTEMAS
LICENCIAS
ON DEL
Sistema Web de Identificación - RENIEC RENIEC
Examen teórico de MTC - Servicio en Linea MTC
Base de datos Consulta de Procedimientos SISTEMAS
Repositorios de
Base de datos Sistema Registro de Informes SISTEMAS
PROPIETARIO
información
Base de datos Maestro de Licencias SISTEMAS
Auxiliar de Informes RRHH
Personal Analista de Procesamiento. RRHH
Analista Tecnico de Elaboracion de Licencias RRHH
Teléfono Analogico 1 LICENCIAS
Teléfono Analogico 4 LICENCIAS
Teléfono Analogico 3 LICENCIAS
Teléfono Analogico 2 LICENCIAS
Switch 32 Puertos SISTEMAS
Impresoras Licencias 4 LICENCIAS
Impresora 1 Hp LASER 3 LICENCIAS
Hardware Impresora 1 Hp LASER 2 LICENCIAS
Impresora 1 Hp a Inyección 1 LICENCIAS
Equipo de Computo HP 4 LICENCIAS
Equipo de Computo HP 3 LICENCIAS
Equipo de Computo HP 2 LICENCIAS
Equipo de Computo HP 1 LICENCIAS
Emicadora LICENCIAS
Aparato Biometrico - Huella Digital LICENCIAS
Manual de Tramites de Licencias ADMINISTRACION
Documentos Papel Manual de Organización y Funciones ADMINISTRACION
Archivos: Documentos recepcionados del día ADMINISTRACION
2. TASACION ACTIVO
Sistema de Consulta de Procedimientos
C
3
I
3
D
3
TOTAL
9
DEL ACTIVO
Sistema Registro de informes 3 3 3 9
Sistema de Maestro de Licencias 3 3 3 9
Software Internet 1 2 2 5
Sistema Web de Identificación - RENIEC 1 3 3 7
RECURSOS HUMANOS
Carencia de toma de conciencia
Falta de mecanismos de monitoreo,
Falta de políticas para el uso correcto de sistemas
No eliminar accesos al término del contrato de trabajo
carencia de procedimientos para la entrega de activos al
término del contrato empleados desmotivados
IDENTIFICACIÓN DE VULNERABILIDADES
CONTROL DE ACCESOS
Segregación inapropiada de redes.
Falta de políticas sobre escritorio y pantalla limpia.
Falta de protección al equipo de comunicación móvil.
Política incorrecta para control de acceso.
Contraseña sin modificación.
IDENTIFICACIÓN DE VULNERABILIDADES
OPERACIONES Y COMUNICACIONES
Interfaces complicadas para usuarios.
Control de cambio inadecuado.
Gestión de red inadecuada.
Carencia de mecanismos que aseguren el envío y recepción de mensajes.
Carencia tareas segregadas.
Carencia de control de copiado.
Falta de protección en redes públicas de conexión.
IDENTIFICACIÓN DE VULNERABILIDADES
Circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias
negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o
pérdida de valor.
CLASIFICACIÓN
AMENAZAS
Grupo ID Amenaza
N1 Fuego
Desastres N2 Daños por agua
Naturales [N] N3 Tormenta Eléctrica
N4 Terremoto
I1 Fuego
I2 Daños por agua
I3 Sobrecarga eléctrica
I4 Explosión
I5 Derrumbe
I6 Contaminación mecánica
I7 Contaminación electromagnética
I8 Avería de origen física o lógica
Origen Industrial [I] I9 Corte eléctrico
Condiciones inadecuadas de temperatura y/o
I10
humedad
I11 Fallo del servicio de comunicaciones
I12 Interrupción de otros servicios y suministros esenciales
Degradación de los soportes de almacenamiento de
I13 la
información
Grupo ID Amenaza
E1 Errores de usuarios
E2 Errores de los técnicos de TI
Errores y fallos no E3 Errores de los administradores de sirio
intencionados E4 Errores de monitorización (log)
[E] E5 Errores de configuración
E6 Deficiencias en la organización
E7 Difusión de software dañino
E8 Errores de [re-]encaminamiento
AMENAZAS
E9 Errores de secuencia
E10 Escapes de información
E11 Alteración accidental de la información
E12 Destrucción de información
E13 Fugas de información
Errores y fallos no
E14 Vulnerabilidad de los programas (software)
intencionados
Errores de mantenimiento / actualización de programas
[E] E15
(software)
Errores de mantenimiento / actualización de equipos
E16
(hardware)
E17 Caída del sistema por agotamiento de recursos
E18 Pérdida de equipos
E19 Indisponibilidad del personal
Grupo ID Amenaza
A1 Manipulación de los registros de actividad (log)
A2 Manipulación de la configuración
A3 Suplantación de la identidad del usuario
A4 Abuso de privilegios de acceso
A5 Uso no previsto
A6 Difusión de software dañino
AMENAZAS
A7 [Re-]encaminamiento de mensajes
A8 Alteración de secuencia
A9 Acceso no autorizado
A10 Análisis de tráfico
A11 Repudio
Ataques A12 Interceptación de información (escucha)
intencionados [A] A13 Modificación deliberada de la información
A14 Destrucción de información
A15 Divulgación de información
A16 Manipulación de programas
A17 Manipulación de los equipos
A18 Denegación de servicio
A19 Robo
A20 Ataque destructivo
A21 Ocupación enemiga
A22 Indisponibilidad del personal
A23 Extorsión
A24 Ingeniería social (picaresca)
Valoración de impactos