Matriz de Riesgos de SI Seguimiento 2019 Q1

Gestión de riesgos de seguridad de la información
Análisis de riesgos
ID Amenaza Vulnerabilidad
riesgo
Inexistencia de sistema automático de extinción

01 Incendio
de incendios
Registros en papel almacenados en armarios

no ignífugos en la sede central
02 Incendio
Registros en papel almacenados fuera de los
armarios ignífugos de la sede central por falta
de espacio

03 Incendio no ignífugos en los obradores y centros
operativos
Registros en papel almacenados en áreas de la

Acceso, divulgación,
sede central sin restricción de acceso por falta
04 modificación y/o uso no
de espacio (ej. Cajas en la sala donde se
autorizados
conservan las cintas de backup)
Discos compartidos sin las restricciones

necesarias (en algunos casos se almacenan
contraseñas y usuarios, denuncias de
autorizados
compliance)
No está implementado el control de pantallas
limpias
autorizados
No está implementado el control de escritorios
limpios
autorizados
Acceso, divulgación, Contratos con proveedores no disponibles.
08 modificación y/o uso no Anexo del contrato con Telecom firmado no
autorizados disponible
Repositorio SharePoint compartido sin
restricciones
autorizados
InvGate tiene 3 administradores, no
corresponden con el administrador definido
autorizados
Acceso, divulgación, Administración de la herramienta fuera de TI

11 modificación y/o uso no (Loyal, Intraneia), no están claros los niveles de
autorizados permiso
La puerta principal de las salas de data center
tienen control de acceso biométrico. No
obstante, tienen una puerta trasera que se abre
sólo con una llave. Servicios Generales reportó
autorizados
que la llave está en poder de la intendencia del
edificio.
Acceso, divulgación, No se realiza un análisis de logs. No se

13 modificación y/o uso no bloquean las contraseñas tras X intentos
autorizados fallidos.
El proveedor del servicio sobre el sitio web de

Genneia mantiene permisos sobre el ambiente
en producción. El sitio web no es administrado
autorizados
por TI Genneia.
15 modificación y/o uso no Conflicto de permisos en SAP
autorizados
Acceso, divulgación, No existe una herramienta para relevar ofertas
16 modificación y/o uso no de proveedores asegurando el resguardo y
autorizados trazabilidad de las mismas
No existe un monitoreo de los mensajes de
correo electrónico
autorizados
Acceso, divulgación, No existe una política para gestión de medios

18 modificación y/o uso no removibles (seguridad en las operaciones).
autorizados Los puertos no están bloqueados.
Diferencias de procedimientos de acceso físico

Acceso, divulgación, entre centros operativos, imposibilidad de
19 modificación y/o uso no comprobar que el control se cumple.
autorizados No hay un estándar definido para seguridad
física en los centros operativos.
Virus informático, código Demoras en la actualización de parches de

20
malicioso, ataques seguridad
Virus informático, código Los puertos de la mayoría de las PC no se

21
malicioso, ataques encuentran bloqueados.
No se cuenta con auditoría sobre el código del

Virus informático, código
22 sitio web/pentest. Sitio web no administrado por
malicioso, ataques
TI.
Virus informático, código No se cuenta con auditoría sobre el código de

23
malicioso, ataques las aplicaciones web/pentests.
No existe un monitoreo continuo de la

Virus informático, código seguridad de la red (logs). No existe una
24
malicioso, ataques análisis de los incidentes más allá de su
resolución.
bajo llave en la sede central de Genneia, los
que son fácilmente violables.
25 Robo
armarios ignífugos en la sede central de
Genneia por falta de espacio

26 Robo bajo llave en los centros operativos, los que son
fácilmente violables
Los medios externos no son encriptados. No

27 Robo puede hacerse un wipe completo de la
información en el teléfono móvil.
Debe recorrerse una gran distancia con los

28 Pérdida archivos físicos, ya que la sede de Plumada se
encuentra en Salta.
Los logs de aplicaciones y sistemas no son

29 Destrucción o eliminación
monitoreados
Inexistencia de resguardo de información de
30 Destrucción o eliminación Comunicaciones almacenada en Google Fotos
y en YouTube
La cuenta de LinkedIn Recruiter Lite está

asociada a una cuenta personal. La licencia
actual permite el acceso a 100% de la base, sin
restricción de búsquedas. Además, todo el
Acceso, divulgación, historial (búsquedas, comentarios, carpetas,
31 modificación y/o uso no proyectos) se queda en la licencia y puede ser
autorizados transferido a otro reclutador.
Este link muestra las funcionalidades del

Recruiter: https://www.youtube.com/watch?
v=4ZBVGpH5qgc&t=127s
Sólo se hace backup de la información

32 Destrucción o eliminación contenida en la carpeta "Mis Documentos" y de
"Escritorio" de los equipos
No existe una herramienta para centralizar

33 Destrucción o eliminación contratos con proveedores para asegurar el
resguardo y trazabilidad de los mismos
No está claramente definida la temperatura

34 Error o falla
estándar del data center
No está definida la responsabilidad y plazos de

35 Error o falla
limpieza del data center
El mantenimiento preventivo no se realiza

36 Error o falla
periódicamente
37 Error o falla No todos los empleados poseen laptops
No existe una réplica de todos los servicios

críticos. El disco Z no está replicado en el data
center externo.
38 Error o falla
No hay servicio de teléfono en caso de salir de
servicio el data center de Genneia.
No existe un sitio alternativo de operación
No existe un generador de respaldo para

39 Inundación
reemplazar al existente en caso que falle
Virus informático, código El personal de Genneia no ha recibido

40
malicioso, ataques capacitación sobre seguridad de la información
Virus informático, código El personal se conecta a aplicaciones sensibles

41
malicioso, ataques sin VPN, la comunicación no está encriptada
No existen restricciones para el ingreso de

caracteres especiales en el formulario de carga
de datos personales en el sitio web de Genneia
(formulario Google).
Virus informático, código No se utilizan captchas. No se observan reglas
42
malicioso, ataques implementadas para sanitizar los datos
cargados (restricciones de cantidad y tipo de
caracteres, ejemplo: se permite carga de letras
en teléfono y DNI, 2 líneas completas de
caracteres en el nombre)
Acceso, divulgación, Por decisión de la compañía, no se realiza

43 modificación y/o uso no investigación de antecedentes policiales del
autorizados personal.
El ABM de accesos a las oficinas de Genneia
es realizado por la intendencia del edificio.
autorizados
No puede asegurarse que el SVN contenga la
45 Error o falla versión productiva de todas las aplicaciones
web en uso.
No se puede asegurar trazabilidad del

tratamiento de una comunicación externa con
autoridades de aplicación, organismos, etc.
46 Pérdida
Cada comunicación saliente está en la
herramienta, pero no puede vincularse
información complementaria (respuestas,
adjuntos).
Errores en consolidación, manejo manual de la

información, gran caudal de registros en el
47 Error o falla
informe de gestión y en el seguimiento de
obras.
48
Descripción de escenario Clasificación Activos de información afectados (marcar con x)
del riesgo
Causa Procesos del Información Información

negocio física electrónica
Fuego en el Data Center de Genneia por

accidental x x
cortocircuito (Sede)
Fuego en las oficinas de Genneia que ocasione

varias x
la pérdida de registros físicos
Fuego en los centros operativos de Genneia

varias x x
que ocasione la pérdida de registros físicos
Acceso no autorizado a información sensible en

formato físico por falta de espacio de
varias x x
almacenamiento en áreas con acceso
restringido
Discos compartidos sin restricciones de acceso

para el personal interno que propicia una
varias x x
divulgación o modificación no autorizada
(deliberada o accidental)

formato digital por sesión no bloqueada en la deliberada x x
PC

formato físico por conservación en escritorios varias x x
y/o en las impresoras
Acceso no autorizado por parte del proveedor
Telecom a la información de respaldo de
Genneia (información en servidor y cintas), deliberada x x
permitiendo su divulgación, modificación o
eliminación
Sharepoint sin restricciones de acceso para el

personal interno que genera modificación no varias x x
autorizada (deliberada o accidental)
Modificación no autorizada de información en

deliberada x x
InvGate por niveles de permisos no definidos
Modificación no autorizada por niveles de

deliberada x x
permisos no definidos (deliberada o accidental)
Ingreso de personal no autorizado a las salas

de data center, generando la posibilidad de un deliberada x x
acceso a la información, robo o sabotaje
Distintas personas compartiendo el mismo

usuario, ingreso tras múltiples intentos de deliberada x x
acceso
Modificación no autorizada de código aprobado

del sitio web de Genneia por parte del varias x
proveedor (deliberada o accidental)
Filtración al mercado (deliberada), modificación

o eliminación (accidental o deliberada) de
varias x x
información por acceso no autorizado a datos
en SAP
Filtración al mercado de información de ofertas
de proveedores, generando posible pérdida de deliberada x x
imagen y/u oportunidades de negocio.
Envío no autorizado de información sensible a

personal ajeno a la compañía a través del deliberada x x
correo electrónico
Difusión de información sensible a terceros

deliberada x x
mediante el uso de medios extraíbles
Robo de activos de información por acceso no

deliberada x x
autorizado a los centros operativos
Ataque consumado por vulnerabilidades en el

deliberada x x
servidor en que se alojan las aplicaciones
Propagación de virus por uso de medios

removibles infectados en las PC de Genneia varias x x
Ataque consumado sobre el sitio web de

Genneia por vulnerabilidades en su diseño y deliberada x
configuración
Ataque consumado sobre las aplicaciones web
por vulnerabilidades en su diseño y deliberada x
configuración
Ataques no detectados a la red por falta de

varias x x
monitoreo continuo
Robo o destrucción de información física en
deliberada x x
sede central
Robo o destrucción de información física en los

centros operativos tras violación de la cerradura deliberada x x
del armario donde ésta se conserva
Acceso no autorizado y divulgación de

información sensible por robo o pérdida del
deliberada x x
medio extraíble donde se conserva la misma
(laptop, disco externo, pendrive, teléfono móvil)
Pérdida de los archivos físicos enviados a

accidental x x
Plumada por accidente del transportista
Instancia de SAP apagada no detectada por

deliberada x x
falta de monitoreo de sistemas
Eliminación accidental o intencional de
información del área Comunicaciones varias x
conservada en Google Fotos y en YouTube
Pérdida de acceso a la cuenta tras

desvinculación de la persona. Posible pérdida
deliberada x
de información y posible acceso no autorizado a
información personal de los candidatos.
Falla de PC que lleva a pérdida de información

sensible conservada fuera de las carpetas accidental x x
sujetas a backup
Indisponibilidad de los contratos firmados con

proveedores por eliminación de los mismos varias x x
Apagado de los servidores por recalentamiento

debido a temperatura demasiado elevada en el
accidental x
data center, generando indisponibilidad de los
sistemas

debido a suciedad de los ventiladores interiores, accidental x
generando indisponibilidad de los sistemas
Fallas en el equipamiento de TI que generan

accidental x
indisponibilidad de los sistemas
Inaccesibilidad del personal a la sede central de
Genneia y a los centros operativos,
manteniéndose disponible la red interna (evento varias x
natural como inundación, acción deliberada
como manifestación)

Genneia y de los centros operativos, con
indisponibilidad de la red interna (evento varias x x
natural como inundación o fuego, acción
deliberada como manifestación, sabotaje)
Fallas en el generador en el marco de un corte

de energía, ocasionando la falta de energía en
varias x x
el data center (por accidente, evento natural o
acción deliberada)
Obtención de información sensible de la

compañía o de las personas por medio de deliberada x x
ataques de ingeniería social, phishing
Intercepción de la comunicación tras conexión a

una red wifi pública comprometida, generando deliberada x x
el robo de información
Posibilidad de Inyección de código en el

deliberada x x
formulario del sitio web de Genneia.
Acceso no autorizado, fraude o divulgación de

información sensible persiguiendo un beneficio deliberada x x x
económico
Acceso de personal ajeno a Genneia con tarjeta

deliberada x x x
de acceso habilitada.
Versionado de código incorrecto varias x x
Sanciones por no responder a una

comunicación externa por pérdida de accidental x x
trazabilidad.
Errores en la información por manejo manual de

accidental x x
archivos con gran caudal de registros
Las cintas de backup historico se enceuntran

resguardadas en caja ignifuga en Sede
Situación actual
os (marcar con x) Controles existentes Probabilidad de Impacto de la ocurrencia
ocurrencia
Software Hardware Personas Confidencialidad
Sensor de temperatura y extintor

x x manual. 3 Probable 1
Aspersores para control de

x
incendios 3 Probable 1
Detectores de humo en los

x
obradores y centros operativos 3 Probable 1
4 Altamente probable 3
Algunas restricciones de
x permisos implementadas por 4 Altamente probable 3
Infraestructura
Protector de pantalla activado

automáticamente luego de 15
minutos, requiere que el usuario 3 Probable 3
se loguee para habilitar la sesión
Las impresoras requieren el

ingreso de un PIN para imprimir
los archivos. Cada usuario tiene 4 Altamente probable 3
un pin asignado.
3 Probable 3
3 Probable 1
3 Probable 3
Acceso restringido mediante

x control biométrico en la puerta 3 Probable 3
principal de las salas.
Reporte ad hoc en caso de ser

requerido por algún Gerente o
Director en el marco de una 3 Probable 3
investigación
x 3 Probable 1
GRC Link reporta los conflictos

de permisos en SAP
3 Probable 3
Inhabilitación de cuentas de
correo ajenas a Genneia sólo
para el personal de planeamiento 4 Altamente probable 3
financiero (a pedido del jefe)
Bloqueo de puertos sólo para el

x personal de planeamiento 4 Altamente probable 3
financiero (a pedido del jefe)
En obra, el control es realizado

por el proveedor con una
herramienta digital.
Actualmente se ha retirado la
x
guardia diurna de algunos 3 Probable 2
centros operativos, no obstante
se han instalado cámaras de
vigilancia.
Se realiza el patch mediante

x x
WSUS. 3 Probable 3
Antivirus instalado y actualizado.

Scan automático del medio
x
removible al momento de su 3 Probable 3
conexión al equipo.
x 3 Probable 3
x 3 Probable 3
Gestión de incidentes
x
implementado 3 Probable 3
Armarios con llave 2 Poco probable 3
Armarios con llave 3 Probable 3
Al informar el empleado sobre el

robo del teléfono móvil, se
bloquea el mismo al notificar a la
3 Probable 3
empresa de telefonía.
3 Probable 3
x 3 Probable 1
3 Probable 1
3 Probable 1
Archivos de email en Office 365

Concientización del personal 3 Probable 1
3 Probable 2
Existe un sensor de temperatura

x x
y humedad en el data center 2 Poco probable 1
Existe un sensor de temperatura

x x
en el data center 4 Altamente probable 1
x x 5 Casi cierta 1
Los usuarios que tienen laptops
x pueden conectarse vía VPN a la 3 Probable 1
red de Genneia
x x 2 Poco probable 1
Existe un generador en el
x x x
subsuelo del edificio 1 Remota 1
x x 3 Probable 3
x x 3 Probable 3
x x 3 Probable 3
La selección del personal es

gestionada por RRHH, quien
realiza un examen psicofísico a
x x x los postulantes previo a su 2 Poco probable 3
ingreso a Genneia. En algunos
casos, se hace una verificación
de referencias laborales.
x x x 3 Probable 3
x 3 Probable 1
3 Probable 1
3 Probable 1
Impacto de la ocurrencia Valor del Impacto Riesgo
Confidencialidad Integridad Disponibilidad ( C+I+D) Probabilidad* Criterio

Impacto
Bajo 2 Medio 3 Alto 6 3 Moderado 9 Moderado
Bajo 3 Alto 3 Alto 7 4 Mayor 12 Moderado
Alto 2 Medio 2 Medio 7 4 Mayor 16 Mayor
Alto 3 Alto 3 Alto 9 5 Significativo 20 No aceptable
Alto 3 Alto 3 Alto 9 5 Significativo 15 Mayor
Alto 2 Medio 3 Alto 8 4 Mayor 16 Mayor

Alto 3 Alto 3 Alto 9 5 Significativo 20 No aceptable
Bajo 3 Alto 1 Bajo 5 3 Moderado 9 Moderado
Alto 3 Alto 2 Medio 8 4 Mayor 16 Mayor

Alto 1 Bajo 1 Bajo 5 3 Moderado 9 Moderado
Medio 2 Medio 2 Medio 6 3 Moderado 9 Moderado

Alto 3 Alto 3 Alto 9 5 Significativo 10 Moderado

Bajo 1 Bajo 3 Alto 5 3 Moderado 9 Moderado
Medio 1 Bajo 3 Alto 6 3 Moderado 9 Moderado
Bajo 2 Medio 3 Alto 6 3 Moderado 15 Mayor

Bajo 2 Medio 2 Medio 5 3 Moderado 9 Moderado
Bajo 2 Medio 3 Alto 6 3 Moderado 3 Menor
Alto 3 Alto 2 Medio 8 4 Mayor 12 Moderado

Bajo 3 Alto 2 Medio 6 3 Moderado 9 Moderado

Propuesta de tratamiento de riesgos
Propuesta de Plan de Tratamiento de Riesgos
tratamiento
Dueño Estrategia Control(es) a mejorar o implementar Fecha de

propuesta implementación
Eliminar embalajes de equipamiento,

materiales sueltos, equipos en Q1 2019
desuso
TI Infraestructura Reducir
Implementar un proceso de limpieza Q2 2019
periódica del data center
Revisar la necesidad de conservar

registros en papel y optimizar el
espacio.
Servicios
Reducir Incorporar armarios ignífugos para la Q3 2019
Generales
conservación de los registros
necesarios o trasladar a depósitos
de archivos externos.
Q3 2019
Centros Operativos Asumir No aplica
Q2 3019

registros en papel y optimizar el
Q3 2019
espacio.
Servicios
Reducir
Generales
Contratación de un proveedor de
Q2 2019
almacenamiento de documentos
próximo a la sede central.
Reestructurar el disco Z
Adecuar el acceso a la información
TI Seguridad Reducir Q3 2019
en función de la matriz de activos de
información
Implementar el control de pantallas

TI Infraestructura Reducir Q1 2019
limpias (concientización)
Implementar el control de escritorios

limpios
Etiquetar la información en función
TI Seguridad Reducir de su clasificación Q2 2019
Genneia 2.0 (Nuevo Layout de

oficinas)
Verificar la firma de acuerdo de
confidencialidad / existencia de
TI Procesos Reducir Q3 2019
cláusula de confidencialidad en los
acuerdos con el proveedor
Implementar la herramienta SGD

para gestión documental
información
TI Seguridad Evitar Q4 2019
Contemplar la implementación en
InvGate o SGD de las herramientas
desarrolladas en SharePoint
Migración de Sharepoint a Intraneia
Trasladar la administración de
TI Procesos Evitar Q1 2019
InvGate a Procesos TI
Trasladar la administración de las Q1 2019 (Loyal)

TI Aplicaciones Evitar herramientas a Aplicaciones: Loyal, Q2 2019 (Intraneia)
Intraneia + Intranet, web Q2 2019 (web)
Incorporar cierre lacrado de sobre

TI Infraestructura Reducir conteniendo la llave de acceso para Q1 2019
conservación por la guardia
Implementar el control periódico de

logs
Implementar el bloqueo de usuario
después de 5 intentos fallidos
Se propone asumir el riesgo para la

versión actual del sitio web,
aplicando la estrategia de evitar en
la nueva versión:
Comunicación Evitar Transferir la administración del sitio Q2 2019
web a Aplicaciones en la nueva
versión / Modificar passwords una
vez en producción en caso que el
proveedor haga la publicación.
Implementar la revisión periódica de

los conflictos de permisos en SAP
TI Aplicaciones Reducir Q2 2019
reportados por la herramienta GRC
Link
Implementar una herramienta que
centralice las propuestas
(licitaciones) de proveedores y
controle el acceso a las mismas
Portal de Licitaciones
Determinar la política de Genneia

respecto del monitoreo de los
mensajes de correo electrónico.
respecto del acceso a correos
ajenos a la compañía.
Implementar el etiquetado de
información, ajustes en los permisos
en función de la matriz de
clasificación de información.
Implementar data loss prevention.

respecto del bloqueo de puertos:
Bloqueo selectivo de puertos.
Seguridad patrimonial no está dentro

SH&MA Asumir
del alcance de SH&MA.
No aplica
Implementar la actualización de
parches de acuerdo al procedimiento
seguridad en las operaciones.
Definir la política de actualización en
WSUS.
Definir reinicios periódicos

controlados.
Verificar si el escaneo automático se

activa, y si puede ser cancelado por
TI Infraestructura Reducir el usuario. Q2 2019
Definir una política para el uso de
medios removibles.
Realizar un análisis de
Q2 2019
TI Seguridad Reducir vulnerabilidades/pentest sobre el
Q4 2019
sitio web
Q2 2019
TI Aplicaciones Reducir vulnerabilidades/pentest sobre las
Q4 2019
aplicaciones web
Implementar el análisis de logs con

TI Infraestructura Reducir una herramienta robusta que facilite Q4 2019
la tarea
registros en papel.
Incorporar armarios ignífugos para la
conservación de los registros
necesarios
Servicios
Reducir Adquirir muebles con mayor nivel de Q2 2019
Generales
seguridad para almacenar datos
sensibles. Analizar qué información
amerita este cuidado y cuál puede
mantenerse en los armarios
Adquirir muebles con mayor nivel de
existentes.
seguridad para almacenar datos
sensibles. Analizar qué información
Servicios amerita este cuidado y cuál puede
Reducir Q2 2019
Generales mantenerse en los armarios
existentes.
Analizar centros operativos
Incorporar la encripción de los

discos en las PC, los discos
externos y los pendrives.
Analizar la posibilidad de
TI Infraestructura Reducir implementar un wipe de los archivos Q2 2019
en los teléfonos.
implementar un MDM, Mobile Device
Management.
Definir tiempo de conservación de la

información almacenada en
Plumada.
Contrastar la información en
Plumada con esta definición para
determinar la posibilidad de reducir
el volumen almacenado.
Servicios
Reducir Analizar si existe alguna cláusula Q3 2019
Generales
sobre la responsabilidad de Plumada
durante el transporte de la
información.
Considerar la posibilidad de
trasladar la información a un
proveedor más cercano a la sede de
Genneia.
Implementar el proceso de gestión

de eventos.
Implementar una herramienta de
monitoreo
Proveer una solución para que el
usuario pueda realizar el backup
Hacer un backup periódico de esta

información en disco externo /
storage
Definir una política para el uso de

repositorios de información (Google
Fotos, Dropbox, etc.)
Evaluar la posibilidad de cambiar la

cuenta personal por una cuenta
corporativa.
Comunicación Evitar Q2 2019
Analizar si es posible descargar la
información existente asociada a la
cuenta personal antes de hacer la
migración (para evitar pérdida).
Refuerzo de capacitación del

personal
Relevar todos los contratos y

acuerdos con proveedores de TI
existentes
Relevar la posibilidad de usar el

portal de proveedores como
repositorio de contratos para todo
Genneia / Implementar el uso de
Asset Management para gestión de
contratos en InvGate
Definir la temperatura y humedad

estándar del data center y los límites
TI Infraestructura Reducir en que deben enviarse alertas al Q1 2019
personal. Asegurar el seteo de
acuerdo a los estándares definidos.
Implementar un procedimiento de
limpieza del data center.
Implementar un procedimiento de
Q1 2019
limpieza del data center.
TI Infraestructura Reducir
Q2 2019
controlados.
Asignar una laptop con conexión
VPN para cada usuario
Acceso de VPN robusto (FortiToken)
Incrementar el storage para replicar

los servicios críticos
Implementar un plan de continuidad

de los servicios de TI
Analizar posibilidades de resolver la

indisponibilidad de teléfonos
Servicios
Asumir No aplica No aplica
Generales
Incorporar en el programa de
capacitación de la compañía
TI Seguridad Reducir actividades de capacitación y Q1 2019
sensibilización sobre seguridad de la
información
Evaluar la posibilidad de
implementar conexión por VPN para
las aplicaciones
TI Seguridad Reducir No aplica
Implementación de certificados SSL
Capacitar al personal
Incorporar medidas de seguridad

Comunicación Reducir para los formularios en la nueva Q1 2019
versión del sitio web
RRHH Asumir No aplica No aplica
Analizar la posibilidad de adoptar la

Servicios
Reducir gestión de acceso a las oficinas por Q2 2019
Generales
Genneia
Analizar opciones para reducir
TI Aplicaciones Evitar Q2 2019
permisos de acceso a SVN.
Implementar la herramienta SGD

para gestión documental
información
TI Seguridad Evitar Q3 2019
Contemplar la implementación en
InvGate o SGD de las herramientas
desarrolladas en SharePoint
Proyecto Gestión de
Correspondencia
Gerencia TI
Confirmar con Asumir No aplica No aplica
Carlos Grossi
Probabilidad de Impacto de la ocurrencia
Ocurrencia Residual
Responsables Confidencialidad Integridad Disponibilidad
Marcos Fernández
2 Poco probable 1 Bajo 2 Medio 3 Alto
Marcos Fernández
Diego Avendaño
2 Poco probable 1 Bajo 3 Alto 3 Alto
Mauricio Caraballo
Diego Avendaño
3 Probable 1 Bajo 3 Alto 3 Alto
Mauricio Caraballo
Diego Avendaño
2 Poco probable 3 Alto 2 Medio 2 Medio
Mauricio Caraballo
Diego Avendaño 2 Poco probable 3 Alto 3 Alto 3 Alto
Diego Avendaño
Adriana Shimabukuro 2 Poco probable 3 Alto 3 Alto 3 Alto
Diego Avendaño 2 Poco probable 3 Alto 2 Medio 3 Alto

Daniel Díaz 2 Poco probable 3 Alto 3 Alto 3 Alto
Diego Avendaño
Rodrigo Elo 1 Remota 1 Bajo 1 Bajo 1 Bajo
Daniel Díaz
Daniel Díaz 1 Remota 1 Bajo 1 Bajo 1 Bajo
Carlos Grossi 2 Poco probable 3 Alto 3 Alto 3 Alto
Diego Avendaño
Marcos Fernandez 1 Remota 3 Alto 3 Alto 3 Alto
Iván Osorio
Adriana Shimabukuro 2 Poco probable 1 Bajo 3 Alto 3 Alto
Diego Avendaño 3 Probable 3 Alto 3 Alto 2 Medio

Carlos Grossi 2 Poco probable 3 Alto 1 Bajo 1 Bajo
Diego Avendaño 3 Probable 3 Alto 1 Bajo 1 Bajo
Iván Osorio
Diego Avendaño 3 Probable 3 Alto 1 Bajo 1 Bajo
3 Probable 2 Medio 2 Medio 2 Medio
Iván Osorio 2 Poco probable 3 Alto 3 Alto 3 Alto
Marcos Fernandez
2 Poco probable 3 Alto 3 Alto 3 Alto
Diego Avendaño
Diego Avendaño/Ivan
Osorio 2 Poco probable 3 Alto 3 Alto 3 Alto
Marcos Fernandez
2 Poco probable 3 Alto 3 Alto 3 Alto
Diego Avendaño
Mauricio Caraballo 1 Remota 3 Alto 3 Alto 3 Alto
Mauricio Caraballo 2 Poco probable 3 Alto 3 Alto 3 Alto
Marcos Fernandez 2 Poco probable 3 Alto 1 Bajo 1 Bajo
Mauricio Caraballo 2 Poco probable 3 Alto 3 Alto 3 Alto
Daniel Díaz
2 Poco probable 1 Bajo 3 Alto 3 Alto
Gustavo Galleguillo
Marcos Fernández
Adriana Shimabukuro 1 Remota 1 Bajo 1 Bajo 3 Alto
Diego Avendaño
Adriana Shimabukuro
2 Poco probable 1 Bajo 1 Bajo 3 Alto
Marcos Fernandez
Diego Avendaño
Ivan Osorio 2 Poco probable 1 Bajo 3 Alto 3 Alto
Daniel Díaz
2 Poco probable 2 Medio 1 Bajo 3 Alto
Iván Osorio
Marcos Fernández 1 Remota 1 Bajo 2 Medio 3 Alto
Marcos Fernández 2 Poco probable 1 Bajo 2 Medio 3 Alto
Marcos Fernández 3 Probable 1 Bajo 2 Medio 3 Alto

Marcos Fernández 2 Poco probable 1 Bajo 2 Medio 2 Medio
Marcos Fernández 4 Altamente probable 1 Bajo 3 Alto 3 Alto
No aplica 2 Poco probable 1 Bajo 2 Medio 3 Alto
Diego Avendaño 2 Poco probable 3 Alto 1 Bajo 1 Bajo
Marcos Fernández
1 Remota 3 Alto 3 Alto 2 Medio
Diego Avendaño
Adriana Shimabukuro
Diego Avendaño 1 Remota 3 Alto 3 Alto 3 Alto
Carlos Grossi
No aplica 2 Poco probable 3 Alto 3 Alto 2 Medio
Mauricio Caraballo 2 Poco probable 3 Alto 3 Alto 2 Medio

Rodrigo Elo 2 Poco probable 3 Alto 3 Alto 2 Medio
Diego Avendaño
Rodrigo Elo 1 Remota 1 Bajo 1 Bajo 1 Bajo
Daniel Díaz
No aplica 3 Probable 1 Bajo 3 Alto 2 Medio

Impacto residual Riesgo residual propuesto
propuesto
( C+I+D) Probabilidad* Criterio

Impacto
6 3 Moderado 6 Moderado
7 4 Mayor 8 Moderado
9 5 Significativo 10 Moderado
3 1 Bajo 1 Mínimo
3 1 Bajo 1 Mínimo
5 3 Moderado 3 Menor
6 3 Moderado 3 Menor
7 4 Mayor 16 Mayor
8 4 Mayor 4 Menor
3 1 Bajo 1 Mínimo
Comentario status
1.Se realizo una reorganizacion de los equipos

alojados en los CC dejando en el deposito lo
necesario y lo que es para donacion. Se terminara
la tarea mediados de Febrero
2. Se desarrolló un cronograma anual de limpieza
en el Data Center.
En febrero se lanzará una comunicación con

recomendaciones de seguridad entre ellas incluida
la concientización de bloquear las maquinas cada
vez que queden desatendidas
La administración de la herramienta pasó a ser
unicamente del Responsable de Organización y
Procesos de TI (Daniel Díaz). Se obtuvo print de
pantalla como evidencia.
Se compro una bolsa de seguridad y precintos

numerados.
Se implementara a partir de Febrero.
1. En Febrero se le asignara un disco externo de
500Gb al area de RSI para que pueda trasladar los
fotos.
2. El area de RSI podra respaldar los archivos en

un repositorio del Z. a partir de Marzo.
3. Se deberá definir una politica del uso de los

datos para en sitios de internet
En el documento Gestión de acceso físico se

establecieron valores de temperatura entre los 19°
y los 22° C, y de humedad, entre 40% y 55%.
Se desarrolló un cronograma anual de limpieza en

el Data Center.
1. Se desarrolló un cronograma anual de limpieza

en el Data Center.
2.En Marzo quedara definido la periodicidad de los

reinicios.
Clasificación 2018 Q1 Q2 Q3 Q4
No Aceptable 2 1 1
Mayor 17 5 7 3 2
Moderado 27 6 8 7 3
Menor 1
Minimo 0
Total 47
Riesgos 2018/2019
3
Minimo
0
3
Menor
1
Moderado
27
1
Mayor
17
0 5 10 15 20 25
Column C Column I
Asumir 2019
0
1 Chart Title
3 41
1 3 30
3
48 25
No Aceptable
20 Mayor
Moderado
15 Menor
Minimo
10
0
2018 Q1 Q2 Q3 Q4 Asumir
50
45
40
os 2018/2019 35
30
25
20
15 17
10
5
41
0 2
27
No Ace
Menor
17
20 25 30 35 40 45
umn C Column I
No Aceptable
Mayor
Moderado
Menor
Minimo
Asumir
47
27
17
0
2 1
No Aceptable Mayor Moderado
Menor Minimo Total
ID Amenaza Vulnerabilidad
riesgo
Inexistencia de sistema automático de extinción

01 Incendio
de incendios

no ignífugos en la sede central
02 Incendio
armarios ignífugos de la sede central por falta
de espacio

03 Incendio no ignífugos en los obradores y centros
operativos
Registros en papel almacenados en áreas de la

sede central sin restricción de acceso por falta
de espacio (ej. Cajas en la sala donde se
autorizados
conservan las cintas de backup)
Discos compartidos sin las restricciones

necesarias (en algunos casos se almacenan
contraseñas y usuarios, denuncias de
autorizados
compliance)
No está implementado el control de pantallas
limpias
autorizados
No está implementado el control de escritorios
limpios
autorizados
Acceso, divulgación, Contratos con proveedores no disponibles.

08 modificación y/o uso no Anexo del contrato con Telecom firmado no
autorizados disponible
Repositorio SharePoint compartido sin
restricciones
autorizados
InvGate tiene 3 administradores, no
corresponden con el administrador definido
autorizados
Acceso, divulgación, Administración de la herramienta fuera de TI

11 modificación y/o uso no (Loyal, Intraneia), no están claros los niveles de
autorizados permiso
La puerta principal de las salas de data center

tienen control de acceso biométrico. No
obstante, tienen una puerta trasera que se abre
sólo con una llave. Servicios Generales reportó
autorizados
que la llave está en poder de la intendencia del
edificio.
Acceso, divulgación, No se realiza un análisis de logs. No se

13 modificación y/o uso no bloquean las contraseñas tras X intentos
autorizados fallidos.
El proveedor del servicio sobre el sitio web de

Genneia mantiene permisos sobre el ambiente
en producción. El sitio web no es administrado
autorizados
por TI Genneia.
15 modificación y/o uso no Conflicto de permisos en SAP
autorizados
Acceso, divulgación, No existe una herramienta para relevar ofertas
16 modificación y/o uso no de proveedores asegurando el resguardo y
autorizados trazabilidad de las mismas
No existe un monitoreo de los mensajes de
correo electrónico
autorizados
Acceso, divulgación, No existe una política para gestión de medios

18 modificación y/o uso no removibles (seguridad en las operaciones).
autorizados Los puertos no están bloqueados.
Diferencias de procedimientos de acceso físico

Acceso, divulgación, entre centros operativos, imposibilidad de
19 modificación y/o uso no comprobar que el control se cumple.
autorizados No hay un estándar definido para seguridad
física en los centros operativos.
Virus informático, código Demoras en la actualización de parches de

20
malicioso, ataques seguridad
Virus informático, código Los puertos de la mayoría de las PC no se

21
malicioso, ataques encuentran bloqueados.
No se cuenta con auditoría sobre el código del

Virus informático, código
22 sitio web/pentest. Sitio web no administrado por
malicioso, ataques
TI.
Virus informático, código No se cuenta con auditoría sobre el código de

23
malicioso, ataques las aplicaciones web/pentests.
No existe un monitoreo continuo de la
Virus informático, código seguridad de la red (logs). No existe una
24
malicioso, ataques análisis de los incidentes más allá de su
resolución.

bajo llave en la sede central de Genneia, los
que son fácilmente violables.
25 Robo
armarios ignífugos en la sede central de
Genneia por falta de espacio

26 Robo bajo llave en los centros operativos, los que son
fácilmente violables
Los medios externos no son encriptados. No

27 Robo puede hacerse un wipe completo de la
información en el teléfono móvil.
Debe recorrerse una gran distancia con los
28 Pérdida archivos físicos, ya que la sede de Plumada se
encuentra en Salta.
Los logs de aplicaciones y sistemas no son

29 Destrucción o eliminación
monitoreados
Inexistencia de resguardo de información de

30 Destrucción o eliminación Comunicaciones almacenada en Google Fotos
y en YouTube
La cuenta de LinkedIn Recruiter Lite está

asociada a una cuenta personal. La licencia
actual permite el acceso a 100% de la base, sin
restricción de búsquedas. Además, todo el
Acceso, divulgación, historial (búsquedas, comentarios, carpetas,
31 modificación y/o uso no proyectos) se queda en la licencia y puede ser
autorizados transferido a otro reclutador.
Este link muestra las funcionalidades del

Recruiter: https://www.youtube.com/watch?
v=4ZBVGpH5qgc&t=127s
Sólo se hace backup de la información

32 Destrucción o eliminación contenida en la carpeta "Mis Documentos" y de
"Escritorio" de los equipos
No existe una herramienta para centralizar
33 Destrucción o eliminación contratos con proveedores para asegurar el
resguardo y trazabilidad de los mismos
No está claramente definida la temperatura

34 Error o falla
estándar del data center
No está definida la responsabilidad y plazos de

35 Error o falla
limpieza del data center
El mantenimiento preventivo no se realiza

36 Error o falla
periódicamente
37 Error o falla No todos los empleados poseen laptops
No existe una réplica de todos los servicios

críticos. El disco Z no está replicado en el data
center externo.
38 Error o falla
No hay servicio de teléfono en caso de salir de
servicio el data center de Genneia.
No existe un sitio alternativo de operación
No existe un generador de respaldo para

39 Inundación
reemplazar al existente en caso que falle
Virus informático, código El personal de Genneia no ha recibido
40
malicioso, ataques capacitación sobre seguridad de la información
Virus informático, código El personal se conecta a aplicaciones sensibles

41
malicioso, ataques sin VPN, la comunicación no está encriptada
No existen restricciones para el ingreso de

caracteres especiales en el formulario de carga
de datos personales en el sitio web de Genneia
(formulario Google).
Virus informático, código No se utilizan captchas. No se observan reglas
42
malicioso, ataques implementadas para sanitizar los datos
cargados (restricciones de cantidad y tipo de
caracteres, ejemplo: se permite carga de letras
en teléfono y DNI, 2 líneas completas de
caracteres en el nombre)
Acceso, divulgación, Por decisión de la compañía, no se realiza

43 modificación y/o uso no investigación de antecedentes policiales del
autorizados personal.
El ABM de accesos a las oficinas de Genneia
es realizado por la intendencia del edificio.
autorizados
No puede asegurarse que el SVN contenga la
45 Error o falla versión productiva de todas las aplicaciones
web en uso.
No se puede asegurar trazabilidad del

tratamiento de una comunicación externa con
autoridades de aplicación, organismos, etc.
46 Pérdida
Cada comunicación saliente está en la
herramienta, pero no puede vincularse
información complementaria (respuestas,
adjuntos).
Errores en consolidación, manejo manual de la

información, gran caudal de registros en el
47 Error o falla
informe de gestión y en el seguimiento de
obras.
Descripción de escenario Probabilidad Criterio Dueño Estrategia
*Impacto propuesta
Fuego en el Data Center de Genneia por TI

9 Moderado Reducir
cortocircuito (Sede) Infraestructura
Fuego en las oficinas de Genneia que ocasione Servicios

12 Moderado Reducir
la pérdida de registros físicos Generales
Fuego en los centros operativos de Genneia Centros

12 Moderado Asumir
que ocasione la pérdida de registros físicos Operativos

formato físico por falta de espacio de Servicios
16 Mayor Reducir
almacenamiento en áreas con acceso Generales
restringido
Discos compartidos sin restricciones de acceso

para el personal interno que propicia una No
20 TI Seguridad Reducir
divulgación o modificación no autorizada aceptable

TI
formato digital por sesión no bloqueada en la 15 Mayor Reducir
Infraestructura
PC

formato físico por conservación en escritorios 16 Mayor TI Seguridad Reducir
y/o en las impresoras
Acceso no autorizado por parte del proveedor

Telecom a la información de respaldo de
Genneia (información en servidor y cintas), 15 Mayor TI Procesos Reducir
permitiendo su divulgación, modificación o
eliminación
Sharepoint sin restricciones de acceso para el
No
personal interno que genera modificación no 20 TI Seguridad Evitar
aceptable
autorizada (deliberada o accidental)
Modificación no autorizada de información en

9 Moderado TI Procesos Evitar
InvGate por niveles de permisos no definidos
Modificación no autorizada por niveles de

15 Mayor TI Aplicaciones Evitar
permisos no definidos (deliberada o accidental)
Ingreso de personal no autorizado a las salas

TI
de data center, generando la posibilidad de un 15 Mayor Reducir
Infraestructura
acceso a la información, robo o sabotaje
Distintas personas compartiendo el mismo

usuario, ingreso tras múltiples intentos de 15 Mayor TI Seguridad Reducir
acceso
Modificación no autorizada de código aprobado

del sitio web de Genneia por parte del 12 Moderado Comunicación Evitar
proveedor (deliberada o accidental)
Filtración al mercado (deliberada), modificación

o eliminación (accidental o deliberada) de
16 Mayor TI Aplicaciones Reducir
información por acceso no autorizado a datos
en SAP
Filtración al mercado de información de ofertas
de proveedores, generando posible pérdida de 9 Moderado TI Procesos Reducir
imagen y/u oportunidades de negocio.
Envío no autorizado de información sensible a

personal ajeno a la compañía a través del 12 Moderado TI Seguridad Reducir
correo electrónico
Difusión de información sensible a terceros TI

12 Moderado Reducir
mediante el uso de medios extraíbles Infraestructura
Robo de activos de información por acceso no

9 Moderado SH&MA Asumir
autorizado a los centros operativos
Ataque consumado por vulnerabilidades en el TI

15 Mayor Reducir
servidor en que se alojan las aplicaciones Infraestructura
Propagación de virus por uso de medios

TI
removibles infectados en las PC de Genneia 15 Mayor Reducir
Infraestructura
Ataque consumado sobre el sitio web de

Genneia por vulnerabilidades en su diseño y 15 Mayor TI Seguridad Reducir
configuración
Ataque consumado sobre las aplicaciones web
por vulnerabilidades en su diseño y 15 Mayor TI Aplicaciones Reducir
configuración
Ataques no detectados a la red por falta de TI
15 Mayor Reducir
monitoreo continuo Infraestructura
Robo o destrucción de información física en Servicios

10 Moderado Reducir
sede central Generales
Robo o destrucción de información física en los

Servicios
centros operativos tras violación de la cerradura 15 Mayor Reducir
Generales
del armario donde ésta se conserva
Acceso no autorizado y divulgación de

información sensible por robo o pérdida del TI
9 Moderado Reducir
medio extraíble donde se conserva la misma Infraestructura
(laptop, disco externo, pendrive, teléfono móvil)
Pérdida de los archivos físicos enviados a Servicios
15 Mayor Reducir
Plumada por accidente del transportista Generales
Instancia de SAP apagada no detectada por TI

9 Moderado Reducir
falta de monitoreo de sistemas Infraestructura
Eliminación accidental o intencional de

TI
información del área Comunicaciones 9 Moderado Reducir
Infraestructura
Pérdida de acceso a la cuenta tras

desvinculación de la persona. Posible pérdida
9 Moderado Comunicación Evitar
de información y posible acceso no autorizado a
información personal de los candidatos.
Falla de PC que lleva a pérdida de información

TI
sensible conservada fuera de las carpetas 12 Moderado Reducir
Infraestructura
sujetas a backup
Indisponibilidad de los contratos firmados con
proveedores por eliminación de los mismos 9 Moderado TI Procesos Reducir

debido a temperatura demasiado elevada en el TI
6 Moderado Reducir
data center, generando indisponibilidad de los Infraestructura
sistemas

TI
debido a suciedad de los ventiladores interiores, 12 Moderado Reducir
Infraestructura
generando indisponibilidad de los sistemas
Fallas en el equipamiento de TI que generan TI

15 Mayor Reducir
indisponibilidad de los sistemas Infraestructura

Genneia y a los centros operativos,
TI
manteniéndose disponible la red interna (evento 9 Moderado Reducir
Infraestructura
natural como inundación, acción deliberada
como manifestación)

Genneia y de los centros operativos, con
TI
indisponibilidad de la red interna (evento 8 Moderado Reducir
Infraestructura
natural como inundación o fuego, acción
deliberada como manifestación, sabotaje)
Fallas en el generador en el marco de un corte

de energía, ocasionando la falta de energía en Servicios
3 Menor Asumir
el data center (por accidente, evento natural o Generales
acción deliberada)
Obtención de información sensible de la
compañía o de las personas por medio de 9 Moderado TI Seguridad Reducir
ataques de ingeniería social, phishing
Intercepción de la comunicación tras conexión a

una red wifi pública comprometida, generando 12 Moderado TI Seguridad Reducir
el robo de información
Posibilidad de Inyección de código en el

15 Mayor Comunicación Reducir
formulario del sitio web de Genneia.
Acceso no autorizado, fraude o divulgación de

información sensible persiguiendo un beneficio 8 Moderado RRHH Asumir
económico
Acceso de personal ajeno a Genneia con tarjeta Servicios

12 Moderado Reducir
de acceso habilitada. Generales
Versionado de código incorrecto 12 Moderado TI Aplicaciones Evitar
Sanciones por no responder a una

comunicación externa por pérdida de 9 Moderado TI Seguridad Evitar
trazabilidad.
Gerencia TI
Errores en la información por manejo manual de
9 Moderado Confirmar con Asumir
archivos con gran caudal de registros
Carlos Grossi
Control(es) a mejorar o Fecha de Responsables
implementar implementación
Eliminar embalajes de
equipamiento, materiales
Q1 2019 Marcos Fernández
sueltos, equipos en desuso
Implementar un proceso de
limpieza periódica del data
center
Revisar la necesidad de
conservar registros en papel y
optimizar el espacio. Diego Avendaño
Incorporar armarios ignífugos
Q3 2019
para la conservación de los
registros necesarios o trasladar Mauricio Caraballo
a depósitos de archivos
externos.
Diego Avendaño
Q3 2019
No aplica
Q2 3019
Mauricio Caraballo
conservar registros en papel y
optimizar el espacio. Q3 2019 Diego Avendaño
Contratación de un proveedor
de almacenamiento de Q2 2019 Mauricio Caraballo
documentos próximo a la sede
central.
Reestructurar el disco Z
Adecuar el acceso a la
información en función de la Q3 2019 Diego Avendaño
matriz de activos de
información
Implementar el control de
Diego Avendaño
pantallas limpias Q1 2019
Adriana Shimabukuro
(concientización)
escritorios limpios
Etiquetar la información en
función de su clasificación Q2 2019 Diego Avendaño
Genneia 2.0 (Nuevo Layout de

oficinas)
Verificar la firma de acuerdo de

confidencialidad / existencia de
Q3 2019 Daniel Díaz
cláusula de confidencialidad en
los acuerdos con el proveedor
Implementar la herramienta
SGD para gestión documental
información en función de la
información
Diego Avendaño
Q4 2019 Rodrigo Elo
Contemplar la implementación
Daniel Díaz
en InvGate o SGD de las
herramientas desarrolladas en
SharePoint
Migración de Sharepoint a
Intraneia
Trasladar la administración de
Q1 2019 Daniel Díaz
InvGate a Procesos TI
Trasladar la administración de Q1 2019 (Loyal)

las herramientas a Q2 2019
Carlos Grossi
Aplicaciones: Loyal, Intraneia + (Intraneia)
Intranet, web Q2 2019 (web)
Incorporar cierre lacrado de

sobre conteniendo la llave de Diego Avendaño
Q1 2019
acceso para conservación por Marcos Fernandez
la guardia
Implementar el control
periódico de logs
Iván Osorio
Implementar el bloqueo de Q4 2019
Diego Avendaño
usuario después de 5 intentos
fallidos
Se propone asumir el riesgo

para la versión actual del sitio
web, aplicando la estrategia de
evitar en la nueva versión:
Transferir la administración del
Q2 2019 Adriana Shimabukuro
sitio web a Aplicaciones en la
nueva versión / Modificar
passwords una vez en
producción en caso que el
proveedor haga la publicación.
Implementar la revisión
periódica de los conflictos de
Q2 2019 Diego Avendaño
permisos en SAP reportados
por la herramienta GRC Link
Implementar una herramienta
que centralice las propuestas
(licitaciones) de proveedores y
controle el acceso a las Q3 2019 Carlos Grossi
mismas
Portal de Licitaciones
Determinar la política de
Genneia respecto del
monitoreo de los mensajes de
correo electrónico. Q2 2019 Diego Avendaño
Genneia respecto del acceso a
correos ajenos a la compañía.
Implementar el etiquetado de
información, ajustes en los
permisos en función de la
matriz de clasificación de
información. Implementar data Q3 2019 Iván Osorio
loss prevention. Diego Avendaño
Genneia respecto del bloqueo
de puertos: Bloqueo selectivo
de puertos.
Seguridad patrimonial no está

dentro del alcance de SH&MA.
Implementar la actualización
de parches de acuerdo al
procedimiento seguridad en las
operaciones. Definir la política
Q2 2019 Iván Osorio
de actualización en WSUS.

controlados.
Verificar si el escaneo
automático se activa, y si
Marcos Fernandez
puede ser cancelado por el
Q2 2019
usuario.
Diego Avendaño
Definir una política para el uso
de medios removibles.
Q2 2019
vulnerabilidades/pentest sobre Diego Avendaño/Ivan Osorio
Q4 2019
el sitio web
Q2 2019
vulnerabilidades/pentest sobre Diego Avendaño
Q4 2019
las aplicaciones web
Implementar el análisis de logs Marcos Fernandez
con una herramienta robusta Q4 2019
que facilite la tarea Diego Avendaño
conservar registros en papel.
Incorporar armarios ignífugos
para la conservación de los
registros necesarios
Adquirir muebles con mayor
Q2 2019 Mauricio Caraballo
nivel de seguridad para
almacenar datos sensibles.
Analizar qué información
amerita este cuidado y cuál
puede mantenerse en los
armarios existentes.
Adquirir muebles con mayor

nivel de seguridad para
almacenar datos sensibles.
Analizar qué información
amerita este cuidado y cuál Q2 2019 Mauricio Caraballo
puede mantenerse en los
armarios existentes.
Analizar centros operativos
Incorporar la encripción de los

discos en las PC, los discos
externos y los pendrives.
implementar un wipe de los Q2 2019 Marcos Fernandez
archivos en los teléfonos.
implementar un MDM, Mobile
Device Management.
Definir tiempo de conservación
de la información almacenada
en Plumada.
Contrastar la información en
Plumada con esta definición
para determinar la posibilidad
de reducir el volumen
almacenado.
Analizar si existe alguna Q3 2019 Mauricio Caraballo
cláusula sobre la
responsabilidad de Plumada
durante el transporte de la
información.
Considerar la posibilidad de
trasladar la información a un
proveedor más cercano a la
sede de Genneia.
Implementar el proceso de
gestión de eventos. Daniel Díaz
Q4 2019
Implementar una herramienta Gustavo Galleguillo
de monitoreo
Proveer una solución para que

el usuario pueda realizar el
Marcos Fernández
backup
Hacer un backup periódico de

esta información en disco Q1 2019
Adriana Shimabukuro
externo / storage

Diego Avendaño
de repositorios de información
(Google Fotos, Dropbox, etc.)
cambiar la cuenta personal por
una cuenta corporativa.
Adriana Shimabukuro
Analizar si es posible Q2 2019
descargar la información Marcos Fernandez
existente asociada a la cuenta
personal antes de hacer la
migración (para evitar pérdida).
Refuerzo de capacitación del Diego Avendaño

Q2 2019
personal Ivan Osorio
Relevar todos los contratos y
acuerdos con proveedores de
TI existentes
Daniel Díaz
Relevar la posibilidad de usar
el portal de proveedores como Q4 2019
repositorio de contratos para
todo Genneia / Implementar el Iván Osorio
uso de Asset Management
para gestión de contratos en
InvGate
Definir la temperatura y
humedad estándar del data
center y los límites en que
deben enviarse alertas al Q1 2019 Marcos Fernández
acuerdo a los estándares
definidos.
Implementar un procedimiento
de limpieza del data center.
Q1 2019
Marcos Fernández
Q2 2019
controlados.
Asignar una laptop con

conexión VPN para cada
usuario
Acceso de VPN robusto
(FortiToken)
Incrementar el storage para

replicar los servicios críticos
Implementar un plan de
continuidad de los servicios de
TI
Analizar posibilidades de
resolver la indisponibilidad de
teléfonos
No aplica No aplica No aplica

Incorporar en el programa de
capacitación de la compañía
actividades de capacitación y Q1 2019 Diego Avendaño
sensibilización sobre seguridad
de la información
implementar conexión por VPN
para las aplicaciones
Implementación de certificados
SSL
Capacitar al personal
Adriana Shimabukuro
Incorporar medidas de
seguridad para los formularios
en la nueva versión del sitio
web
Carlos Grossi
adoptar la gestión de acceso a Q2 2019 Mauricio Caraballo
las oficinas por Genneia
Analizar opciones para reducir

Q2 2019 Rodrigo Elo
permisos de acceso a SVN.
Implementar la herramienta
SGD para gestión documental
información en función de la
información
Diego Avendaño
Q3 2019 Rodrigo Elo
Contemplar la implementación
Daniel Díaz
en InvGate o SGD de las
herramientas desarrolladas en
SharePoint
Proyecto Gestión de
Correspondencia

ID riesgo Descripción de escenario
01 Fuego en el Data Center de Genneia por cortocircuito (Sede)
Acceso no autorizado a información sensible en formato digital por sesión no

06
bloqueada en la PC
Ingreso de personal no autorizado a las salas de data center, generando la

12
posibilidad de un acceso a la información, robo o sabotaje
Eliminación accidental o intencional de información del área Comunicaciones

30
Apagado de los servidores por recalentamiento debido a temperatura demasiado

34
elevada en el data center, generando indisponibilidad de los sistemas
Apagado de los servidores por recalentamiento debido a suciedad de los

35
ventiladores interiores, generando indisponibilidad de los sistemas
36 Fallas en el equipamiento de TI que generan indisponibilidad de los sistemas
8
7
7
5
4
4
3
3
2
6
5
4
4
3
3
En Proceso Finalizado Total

Control(es) a mejorar o Estado Responsables Mes estimado de
implementar Entrega
Eliminar embalajes de
Marcos
equipamiento, materiales
Fernández
sueltos, equipos en desuso
Finalizado N/A
Implementar un proceso de
Marcos
limpieza periódica del data
Fernández
center
Diego
Avendaño
pantallas limpias En Proceso Febrero
Adriana
(concientización)
Shimabukuro
Incorporar cierre lacrado de Diego
sobre conteniendo la llave de Avendaño
En Proceso Febrero
acceso para conservación por la Marcos
guardia Fernandez
Proveer una solución para que Marcos

el usuario pueda realizar el Fernández
backup
Hacer un backup periódico de

esta información en disco En Proceso Adriana Marzo
externo / storage Shimabukuro

de repositorios de información Diego
(Google Fotos, Dropbox, etc.) Avendaño
Definir la temperatura y
humedad estándar del data
center y los límites en que
Marcos
deben enviarse alertas al Finalizado N/A
Fernández
acuerdo a los estándares
definidos.
Implementar un procedimiento Marcos
Finalizado N/A
de limpieza del data center. Fernández
Marcos
En Proceso Marzo
Fernández
controlados.
Riesgos Q1
4 3 7
7
3
3

Matriz de Riesgos de SI Seguimiento 2019 Q1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Matriz de Riesgos de SI Seguimiento 2019 Q1

Cargado por

Copyright:

Formatos disponibles

Gestión de riesgos de seguridad de la información

Inexistencia de sistema automático de extinción

Registros en papel almacenados en armarios

Registros en papel almacenados en armarios

Registros en papel almacenados en áreas de la

Discos compartidos sin las restricciones

Acceso, divulgación, Administración de la herramienta fuera de TI

Acceso, divulgación, No se realiza un análisis de logs. No se

El proveedor del servicio sobre el sitio web de

Acceso, divulgación, No existe una política para gestión de medios

Diferencias de procedimientos de acceso físico

Virus informático, código Demoras en la actualización de parches de

Virus informático, código Los puertos de la mayoría de las PC no se

No se cuenta con auditoría sobre el código del

Virus informático, código No se cuenta con auditoría sobre el código de

No existe un monitoreo continuo de la

Registros en papel almacenados en armarios

Los medios externos no son encriptados. No

Debe recorrerse una gran distancia con los

Los logs de aplicaciones y sistemas no son

La cuenta de LinkedIn Recruiter Lite está

Este link muestra las funcionalidades del

Sólo se hace backup de la información

No existe una herramienta para centralizar

No está claramente definida la temperatura

No está definida la responsabilidad y plazos de

El mantenimiento preventivo no se realiza

No existe una réplica de todos los servicios

No existe un generador de respaldo para

Virus informático, código El personal de Genneia no ha recibido

Virus informático, código El personal se conecta a aplicaciones sensibles

No existen restricciones para el ingreso de

Acceso, divulgación, Por decisión de la compañía, no se realiza

No se puede asegurar trazabilidad del

Errores en consolidación, manejo manual de la

Causa Procesos del Información Información

Fuego en el Data Center de Genneia por

Fuego en las oficinas de Genneia que ocasione

Fuego en los centros operativos de Genneia

Acceso no autorizado a información sensible en

Discos compartidos sin restricciones de acceso

Acceso no autorizado a información sensible en

Acceso no autorizado a información sensible en

Sharepoint sin restricciones de acceso para el

Modificación no autorizada de información en

Modificación no autorizada por niveles de

Ingreso de personal no autorizado a las salas

Distintas personas compartiendo el mismo

Modificación no autorizada de código aprobado

Filtración al mercado (deliberada), modificación

Envío no autorizado de información sensible a

Difusión de información sensible a terceros

Robo de activos de información por acceso no

Ataque consumado por vulnerabilidades en el

Propagación de virus por uso de medios

Ataque consumado sobre el sitio web de

Ataques no detectados a la red por falta de

Robo o destrucción de información física en los

Acceso no autorizado y divulgación de

Pérdida de los archivos físicos enviados a

Instancia de SAP apagada no detectada por

Pérdida de acceso a la cuenta tras

Falla de PC que lleva a pérdida de información