Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Análisis de riesgos
ID Amenaza Vulnerabilidad
riesgo
Acceso, divulgación,
No está implementado el control de pantallas
06 modificación y/o uso no
limpias
autorizados
Acceso, divulgación,
No está implementado el control de escritorios
07 modificación y/o uso no
limpios
autorizados
Acceso, divulgación, Contratos con proveedores no disponibles.
08 modificación y/o uso no Anexo del contrato con Telecom firmado no
autorizados disponible
Acceso, divulgación,
Repositorio SharePoint compartido sin
09 modificación y/o uso no
restricciones
autorizados
Acceso, divulgación,
InvGate tiene 3 administradores, no
10 modificación y/o uso no
corresponden con el administrador definido
autorizados
Acceso, divulgación,
15 modificación y/o uso no Conflicto de permisos en SAP
autorizados
Acceso, divulgación, No existe una herramienta para relevar ofertas
16 modificación y/o uso no de proveedores asegurando el resguardo y
autorizados trazabilidad de las mismas
Acceso, divulgación,
No existe un monitoreo de los mensajes de
17 modificación y/o uso no
correo electrónico
autorizados
Acceso, divulgación,
El ABM de accesos a las oficinas de Genneia
44 modificación y/o uso no
es realizado por la intendencia del edificio.
autorizados
No puede asegurarse que el SVN contenga la
45 Error o falla versión productiva de todas las aplicaciones
web en uso.
48
Descripción de escenario Clasificación Activos de información afectados (marcar con x)
del riesgo
4 Altamente probable 3
Algunas restricciones de
x permisos implementadas por 4 Altamente probable 3
Infraestructura
4 Altamente probable 3
3 Probable 1
3 Probable 3
x 3 Probable 1
Inhabilitación de cuentas de
correo ajenas a Genneia sólo
para el personal de planeamiento 4 Altamente probable 3
financiero (a pedido del jefe)
x 3 Probable 3
x 3 Probable 3
Gestión de incidentes
x
implementado 3 Probable 3
Armarios con llave 2 Poco probable 3
3 Probable 3
x 3 Probable 1
3 Probable 1
3 Probable 1
3 Probable 2
x x 5 Casi cierta 1
Los usuarios que tienen laptops
x pueden conectarse vía VPN a la 3 Probable 1
red de Genneia
x x 2 Poco probable 1
Existe un generador en el
x x x
subsuelo del edificio 1 Remota 1
x x 3 Probable 3
x x 3 Probable 3
x x 3 Probable 3
x x x 3 Probable 3
x 3 Probable 1
3 Probable 1
3 Probable 1
Impacto de la ocurrencia Valor del Impacto Riesgo
Q3 2019
Centros Operativos Asumir No aplica
Q2 3019
Trasladar la administración de
TI Procesos Evitar Q1 2019
InvGate a Procesos TI
Portal de Licitaciones
Implementar el etiquetado de
información, ajustes en los permisos
en función de la matriz de
clasificación de información.
TI Infraestructura Reducir Q3 2019
Implementar data loss prevention.
No aplica
Implementar la actualización de
parches de acuerdo al procedimiento
seguridad en las operaciones.
Definir la política de actualización en
TI Infraestructura Reducir Q2 2019
WSUS.
Analizar la posibilidad de
TI Infraestructura Reducir implementar un wipe de los archivos Q2 2019
en los teléfonos.
Analizar la posibilidad de
implementar un MDM, Mobile Device
Management.
Implementar un procedimiento de
TI Infraestructura Reducir Q1 2019
limpieza del data center.
Implementar un procedimiento de
Q1 2019
limpieza del data center.
TI Infraestructura Reducir
Definir reinicios periódicos
Q2 2019
controlados.
Asignar una laptop con conexión
VPN para cada usuario
TI Infraestructura Reducir Q3 2019
Acceso de VPN robusto (FortiToken)
Servicios
Asumir No aplica No aplica
Generales
Incorporar en el programa de
capacitación de la compañía
TI Seguridad Reducir actividades de capacitación y Q1 2019
sensibilización sobre seguridad de la
información
Evaluar la posibilidad de
implementar conexión por VPN para
las aplicaciones
TI Seguridad Reducir No aplica
Implementación de certificados SSL
Capacitar al personal
Proyecto Gestión de
Correspondencia
Gerencia TI
Confirmar con Asumir No aplica No aplica
Carlos Grossi
Probabilidad de Impacto de la ocurrencia
Ocurrencia Residual
Marcos Fernández
2 Poco probable 1 Bajo 2 Medio 3 Alto
Marcos Fernández
Diego Avendaño
2 Poco probable 1 Bajo 3 Alto 3 Alto
Mauricio Caraballo
Diego Avendaño
3 Probable 1 Bajo 3 Alto 3 Alto
Mauricio Caraballo
Diego Avendaño
2 Poco probable 3 Alto 2 Medio 2 Medio
Mauricio Caraballo
Diego Avendaño
Adriana Shimabukuro 2 Poco probable 3 Alto 3 Alto 3 Alto
Diego Avendaño
Rodrigo Elo 1 Remota 1 Bajo 1 Bajo 1 Bajo
Daniel Díaz
Diego Avendaño
Marcos Fernandez 1 Remota 3 Alto 3 Alto 3 Alto
Iván Osorio
Diego Avendaño 2 Poco probable 3 Alto 3 Alto 3 Alto
Iván Osorio
Diego Avendaño 3 Probable 3 Alto 1 Bajo 1 Bajo
Marcos Fernandez
2 Poco probable 3 Alto 3 Alto 3 Alto
Diego Avendaño
Diego Avendaño/Ivan
Osorio 2 Poco probable 3 Alto 3 Alto 3 Alto
Marcos Fernandez
2 Poco probable 3 Alto 3 Alto 3 Alto
Diego Avendaño
Mauricio Caraballo 1 Remota 3 Alto 3 Alto 3 Alto
Daniel Díaz
2 Poco probable 1 Bajo 3 Alto 3 Alto
Gustavo Galleguillo
Marcos Fernández
Diego Avendaño
Adriana Shimabukuro
2 Poco probable 1 Bajo 1 Bajo 3 Alto
Marcos Fernandez
Diego Avendaño
Ivan Osorio 2 Poco probable 1 Bajo 3 Alto 3 Alto
Daniel Díaz
Iván Osorio
Marcos Fernández
Diego Avendaño
Adriana Shimabukuro
Carlos Grossi
Diego Avendaño
Rodrigo Elo 1 Remota 1 Bajo 1 Bajo 1 Bajo
Daniel Díaz
6 3 Moderado 6 Moderado
7 4 Mayor 8 Moderado
7 4 Mayor 12 Moderado
7 4 Mayor 8 Moderado
9 5 Significativo 10 Moderado
9 5 Significativo 10 Moderado
8 4 Mayor 8 Moderado
9 5 Significativo 10 Moderado
3 1 Bajo 1 Mínimo
3 1 Bajo 1 Mínimo
9 5 Significativo 10 Moderado
9 5 Significativo 5 Moderado
9 5 Significativo 10 Moderado
7 4 Mayor 8 Moderado
8 4 Mayor 12 Moderado
5 3 Moderado 6 Moderado
5 3 Moderado 9 Moderado
5 3 Moderado 9 Moderado
6 3 Moderado 9 Moderado
9 5 Significativo 10 Moderado
9 5 Significativo 10 Moderado
9 5 Significativo 10 Moderado
9 5 Significativo 10 Moderado
9 5 Significativo 10 Moderado
9 5 Significativo 5 Moderado
9 5 Significativo 10 Moderado
5 3 Moderado 6 Moderado
9 5 Significativo 10 Moderado
7 4 Mayor 8 Moderado
5 3 Moderado 3 Menor
5 3 Moderado 6 Moderado
7 4 Mayor 8 Moderado
6 3 Moderado 6 Moderado
6 3 Moderado 3 Menor
6 3 Moderado 6 Moderado
6 3 Moderado 9 Moderado
5 3 Moderado 6 Moderado
7 4 Mayor 16 Mayor
6 3 Moderado 6 Moderado
5 3 Moderado 6 Moderado
8 4 Mayor 4 Menor
9 5 Significativo 5 Moderado
8 4 Mayor 8 Moderado
8 4 Mayor 8 Moderado
8 4 Mayor 8 Moderado
3 1 Bajo 1 Mínimo
6 3 Moderado 9 Moderado
Comentario status
Riesgos 2018/2019
3
Minimo
0
3
Menor
1
Moderado
27
1
Mayor
17
0 5 10 15 20 25
Column C Column I
Asumir 2019
0
1 Chart Title
3 41
1 3 30
3
48 25
No Aceptable
20 Mayor
Moderado
15 Menor
Minimo
10
0
2018 Q1 Q2 Q3 Q4 Asumir
50
45
40
os 2018/2019 35
30
25
20
15 17
10
5
41
0 2
27
No Ace
Menor
17
20 25 30 35 40 45
umn C Column I
No Aceptable
Mayor
Moderado
Menor
Minimo
Asumir
47
27
17
0
2 1
No Aceptable Mayor Moderado
Menor Minimo Total
ID Amenaza Vulnerabilidad
riesgo
Acceso, divulgación,
No está implementado el control de pantallas
06 modificación y/o uso no
limpias
autorizados
Acceso, divulgación,
No está implementado el control de escritorios
07 modificación y/o uso no
limpios
autorizados
Acceso, divulgación,
InvGate tiene 3 administradores, no
10 modificación y/o uso no
corresponden con el administrador definido
autorizados
Acceso, divulgación,
15 modificación y/o uso no Conflicto de permisos en SAP
autorizados
Acceso, divulgación, No existe una herramienta para relevar ofertas
16 modificación y/o uso no de proveedores asegurando el resguardo y
autorizados trazabilidad de las mismas
Acceso, divulgación,
No existe un monitoreo de los mensajes de
17 modificación y/o uso no
correo electrónico
autorizados
Gerencia TI
Errores en la información por manejo manual de
9 Moderado Confirmar con Asumir
archivos con gran caudal de registros
Carlos Grossi
Control(es) a mejorar o Fecha de Responsables
implementar implementación
Eliminar embalajes de
equipamiento, materiales
Q1 2019 Marcos Fernández
sueltos, equipos en desuso
Implementar un proceso de
Q2 2019 Marcos Fernández
limpieza periódica del data
center
Revisar la necesidad de
conservar registros en papel y
optimizar el espacio. Diego Avendaño
Incorporar armarios ignífugos
Q3 2019
para la conservación de los
registros necesarios o trasladar Mauricio Caraballo
a depósitos de archivos
externos.
Diego Avendaño
Q3 2019
No aplica
Q2 3019
Mauricio Caraballo
Revisar la necesidad de
conservar registros en papel y
optimizar el espacio. Q3 2019 Diego Avendaño
Contratación de un proveedor
de almacenamiento de Q2 2019 Mauricio Caraballo
documentos próximo a la sede
central.
Reestructurar el disco Z
Adecuar el acceso a la
información en función de la Q3 2019 Diego Avendaño
matriz de activos de
información
Implementar el control de
Diego Avendaño
pantallas limpias Q1 2019
Adriana Shimabukuro
(concientización)
Implementar el control de
escritorios limpios
Etiquetar la información en
función de su clasificación Q2 2019 Diego Avendaño
Migración de Sharepoint a
Intraneia
Trasladar la administración de
Q1 2019 Daniel Díaz
InvGate a Procesos TI
Implementar el control
periódico de logs
Iván Osorio
Implementar el bloqueo de Q4 2019
Diego Avendaño
usuario después de 5 intentos
fallidos
Implementar la revisión
periódica de los conflictos de
Q2 2019 Diego Avendaño
permisos en SAP reportados
por la herramienta GRC Link
Implementar una herramienta
que centralice las propuestas
(licitaciones) de proveedores y
controle el acceso a las Q3 2019 Carlos Grossi
mismas
Portal de Licitaciones
Determinar la política de
Genneia respecto del
monitoreo de los mensajes de
correo electrónico. Q2 2019 Diego Avendaño
Determinar la política de
Genneia respecto del acceso a
correos ajenos a la compañía.
Implementar el etiquetado de
información, ajustes en los
permisos en función de la
matriz de clasificación de
información. Implementar data Q3 2019 Iván Osorio
loss prevention. Diego Avendaño
Determinar la política de
Genneia respecto del bloqueo
de puertos: Bloqueo selectivo
de puertos.
Implementar la actualización
de parches de acuerdo al
procedimiento seguridad en las
operaciones. Definir la política
Q2 2019 Iván Osorio
de actualización en WSUS.
Verificar si el escaneo
automático se activa, y si
Marcos Fernandez
puede ser cancelado por el
Q2 2019
usuario.
Diego Avendaño
Definir una política para el uso
de medios removibles.
Realizar un análisis de
Q2 2019
vulnerabilidades/pentest sobre Diego Avendaño/Ivan Osorio
Q4 2019
el sitio web
Realizar un análisis de
Q2 2019
vulnerabilidades/pentest sobre Diego Avendaño
Q4 2019
las aplicaciones web
Implementar el análisis de logs Marcos Fernandez
con una herramienta robusta Q4 2019
que facilite la tarea Diego Avendaño
Revisar la necesidad de
conservar registros en papel.
Incorporar armarios ignífugos
para la conservación de los
registros necesarios
Adquirir muebles con mayor
Q2 2019 Mauricio Caraballo
nivel de seguridad para
almacenar datos sensibles.
Analizar qué información
amerita este cuidado y cuál
puede mantenerse en los
armarios existentes.
Analizar la posibilidad de
implementar un wipe de los Q2 2019 Marcos Fernandez
archivos en los teléfonos.
Analizar la posibilidad de
implementar un MDM, Mobile
Device Management.
Definir tiempo de conservación
de la información almacenada
en Plumada.
Contrastar la información en
Plumada con esta definición
para determinar la posibilidad
de reducir el volumen
almacenado.
Analizar si existe alguna Q3 2019 Mauricio Caraballo
cláusula sobre la
responsabilidad de Plumada
durante el transporte de la
información.
Considerar la posibilidad de
trasladar la información a un
proveedor más cercano a la
sede de Genneia.
Implementar el proceso de
gestión de eventos. Daniel Díaz
Q4 2019
Implementar una herramienta Gustavo Galleguillo
de monitoreo
Evaluar la posibilidad de
cambiar la cuenta personal por
una cuenta corporativa.
Adriana Shimabukuro
Analizar si es posible Q2 2019
descargar la información Marcos Fernandez
existente asociada a la cuenta
personal antes de hacer la
migración (para evitar pérdida).
Definir la temperatura y
humedad estándar del data
center y los límites en que
deben enviarse alertas al Q1 2019 Marcos Fernández
personal. Asegurar el seteo de
acuerdo a los estándares
definidos.
Implementar un procedimiento
Q1 2019 Marcos Fernández
de limpieza del data center.
Implementar un procedimiento
Q1 2019
de limpieza del data center.
Marcos Fernández
Definir reinicios periódicos
Q2 2019
controlados.
Implementar un plan de
continuidad de los servicios de
Q4 2019 Marcos Fernández
TI
Analizar posibilidades de
resolver la indisponibilidad de
teléfonos
Evaluar la posibilidad de
Q3 2019 Marcos Fernández
implementar conexión por VPN
para las aplicaciones
Implementación de certificados
SSL
Q1 2019 Diego Avendaño
Capacitar al personal
Adriana Shimabukuro
Incorporar medidas de
seguridad para los formularios
Q1 2019 Diego Avendaño
en la nueva versión del sitio
web
Carlos Grossi
Analizar la posibilidad de
adoptar la gestión de acceso a Q2 2019 Mauricio Caraballo
las oficinas por Genneia
Implementar la herramienta
SGD para gestión documental
Adecuar el acceso a la
información en función de la
matriz de activos de
información
Diego Avendaño
Q3 2019 Rodrigo Elo
Contemplar la implementación
Daniel Díaz
en InvGate o SGD de las
herramientas desarrolladas en
SharePoint
Proyecto Gestión de
Correspondencia
8
7
7
5
4
4
3
3
2
6
5
4
4
3
3
Definir la temperatura y
humedad estándar del data
center y los límites en que
Marcos
deben enviarse alertas al Finalizado N/A
Fernández
personal. Asegurar el seteo de
acuerdo a los estándares
definidos.
Implementar un procedimiento Marcos
Finalizado N/A
de limpieza del data center. Fernández
Implementar un procedimiento
de limpieza del data center.
Marcos
En Proceso Marzo
Fernández
Definir reinicios periódicos
controlados.
Riesgos Q1
En Proceso Finalizado Total
4 3 7
7
3
3