Está en la página 1de 6

MATRIZ DE RIESGOS

Tratamiento
Impacto

Riesgo Residual
Probabilidad
N° Vulnerabilidad y/o amenaza
D I C

CONTROLES ISO 27001

1 Incumplimiento de politicas del SGSI por el personal de CIBERCONT 3 2 2 3

2 Incumplimiento de politicas del SGSI por Gerencia General 1 1 1 2


Incumplimiento de politicas del SGSI por Coordinador de Seguridad de
3 Información 2 1 1 1
4 Uso inadecuado de los activos de Cibercont 2 1 1 3
5 Desconocimiento de las politicas de SGSI 1 1 1 2
6 Establecer politicas no adecuadas al SGSI 2 2 1 3
7 Inexistencia de mejora continua 2 1 1 5
8 Desconocimiento de funciones y responsabilidades del personal CIBERCONT
3 2 2 2
9 Inadecuados canales de comunicación entre el personal CIBERCONT
1 2 1 3
10 Incremento de tiempo de solución o atención de requerimientos 1 1 1 3
11 Uso de equipos para actividades no relacionadas a sus funciones 1 1 2 3
12 Baja productividad del personal por mal uso de equipos moviles 1 1 1 2

13 Perdida, robo o deterioro de los equipos moviles o laptops asignadas


1 1 4 1

14 Filtración de información confidencial


1 1 4 2
15 Servicio de atención de soporte no disponible 1 1 1 3
16 Incumplimiento de contrato 1 1 1 3
Personal con capacidades y antecedentes no idoneos para trabajar en
17 CIBERCONT
2 2 1 3
18 Personal encargado del reclutamiento ineficiente 1 1 1 2
19 Contratos o documentos con información ambigua 1 1 1 1
20 Divulgación de información confidencial al termino del empleo
1 1 1 2
21 Manipulacion de información al termino del empleo 1 5 5 2
22 Desconocer los activos disponibles CIBERCONT 2 1 1 1
23 Perdida,robo o deterioro de activos CIBERCONT 1 1 4 1
24 Uso inadecuado de activos CIBERCONT 1 1 4 1

25 Acceso no controlado a información de CIBERCONT


2 1 4 1
26 Desconocimiento de procedimientos de disposición de hardware. 1 1 1 1
Modificación (insertar, modificar y eliminar) de información de la base de datos
27 de Clientes Cibercont
2 2 3 1
28 Credenciales de acceso del personal no habilitados para realizar sus actividades
2 1 1 1
29 Credenciales de acceso del personal antiguo activas 1 1 1 1
30 Contraseñas de credenciales de acceso con bajo nivel de seguridad 1 1 1 1
31 Privilegios de usuario no documentados 1 1 1 1
Dejar información sensible (contraseñas, accesos de usuarios) sin el resguardo
32 respectivo
1 2 4 2

33 Acceso no autorizado a los sistemas y aplicaciones CIBERCONT


3 4 4 1
Modificación (insertar, modificar y eliminar) del codigo fuentes de aplicaciones
34 CIBERCONT
1 1 1 1
35 Acceso remoto a los servidores a traves de los equipos no autorizados
2 5 5 2
36 Robo(Hackeo) de información CIBERCONT 1 1 1 1
37 Acceso a contraseñas de los Clientes Cibercont 2 2 5 1
38 Contraseñas de credenciales no modificadas al ser otorgadas 1 1 1 1
39 En caso de crisis o desastre, los servicios de CIBERCONT dejen de funcionar
5 5 1 1
40 En caso de crisis o desastre, CIBERCONT no cuente con backup para restaurar
información del cliente 5 5 1 1
41 Deterioro y obsolescencia de los equipos usados para soporte 1 1 1 1
42 Perdida, robo o desmantelar los equipos asignados al equipo técnico
1 1 4 1

43 Equipos asignados no listos (archivos basura, sin programas instalados, fallas del
Sistema operativo) para ser usados
1 1 1 1
44 Desconocimiento de los procesos 1 2 5 1
45 Desconocimiento de procedimientos al cambio de gerencia 1 1 1 1
46 No realizar monitoreo de capacidades del sistema 1 1 1 1
47 Modificación de aplicaciones sin autorización 1 1 1 1
Instalar programas no autorizados y no confiables en equipos de soporte o
48 servidores
3 1 5 1
49 Robo de información por programas maliciosos 3 1 5 1
50 Desconocimiento
CIBERCONT
de actividades del administrador sobre los aplicativos
1 1 1 1
Desconocimiento de cambios realizados en aplicativos, servidores y base de
51 datos
2 1 1 2
52 Inconsistencia de información de registro de eventos 2 1 1 2
53 Servicio brindado por CIBERCONT no disponible durante auditorias 1 1 1 1
54 Implementación de sistemas de información sin estándares de seguridad
1 1 5 1
55 Implementación de base de datos con metodologías no adecuadas 1 1 1 1
56 Actualización de aplicaciones CIBERCONT con errores 2 1 1 3
57 Desconocimiento de nuevas funcionalidades de aplicaciones CIBERCONT
2 1 1 3
Cruce de información de producción y de prueba usadas en las aplicaciones
58 CIBERCONT
2 1 1 1
59 Actualización de aplicaciones CIBERCONT no prioritarias 2 1 1 3
60 Acceso a información como administrador de parte de los proveedores
1 1 1 1
61 Proveedores con servicios deficientes de seguridad 1 1 1 1
62 Inadecuado monitoreo de servicios brindados por los proveedores 1 1 1 1

63 Desconocimiento del proceso de atención de incidencias por el personal


3 1 1 3
64 Incidencias sin respuesta de la organización 2 1 1 4
65 Servicio de C insatisfactorio 1 1 1 3
66 Reincidencia de incidentes de seguridad del SGSI 3 1 1 3
67 Capacidad de almacenamiento de los servidores insuficiente 2 1 1 1
68 Sin disponibilidad de servidores de respaldo 2 1 1 1
69 Sin disponibilidad de página web de respaldo 3 1 1 3
70 Depender del servicio brindado por un solo proveedor 3 1 1 3
71 Problemas legales con los Clientes Cibercont 1 1 1 1
72 Apropiación de las aplicaciones de aplicaciones CIBERCONT 1 1 1 1
73 Falsificación de contratos de Clientes Cibercont 1 1 1 1
74 Desaprobar la certificación ISO 27001 1 1 1 1
Realizar procedimientos que no garantizan la seguridad de información para la
75 gestión de Comprobantes de pago Electrónicos.
1 1 1 1
76 Inadecuado plan de monitoreo de implementación SGSI 2 1 1 3
77 Suspensión del servicio brindado por los proveedores 4 1 1 2
78 Personal desinteresado en implementar y cumplir las políticas del SGSI
2 1 5 3
PROCESOS CIBERCONT
DAR EN ALTA AL CLIENTE CIBERCONT
79 Filtración de usuarios de acceso del "cliente Cibercont" 1 1 1 1
Privilegio de acceso (insertar, eliminar, actualizar) a base de datos que no les
80
correspondan 24 1 1 3
81 La base de datos del Cliente Cibercont no está actualizada (no tiene la última
estructura) 2 1 1 2
82 Ingreso erróneo de los datos de Cliente Cibercont al directorio de clientes
2 1 1 2
La representación impresa del CPE al descargar no es la misma que la
83 representación que provee el cliente
2 1 1 3

84 Pasar
datos
a producción la recepción de CPE sin realizar la verificación de la base de
2 5 1 3
85 Cruce de información entre Clientes Cibercont 3 3 1 3
86 No informar problemas de integridad de la base de datos 5 5 1 3
87 Servidor no se encuentre disponible 5 1 1 1
ALMACENAMIENTO DE COMPROBANTES DE PAGO ELECTRÓNICOS
88 Error al guardar el archivo XLM y contenido del CPE 2 1 1 5
89 Atención no disponible del servicio de soporte CIBERCONT 2 1 1 3
90 Recepcionar archivo XML con contenido malicioso 1 2 1 1
91 Recepcionar archivo XML con información alterada 1 2 1 1
92 Intercepción de información del CPE durante su envío 1 1 1 1
93 Servidor no se encuentre disponible 5 1 1 2
94 Cliente Cibercont no realiza el envío de archivo XML y contenido del CPE
5 1 1 5
CONSULTAR COMPROBANTES ELECTRONICOS
95 Servidor no se encuentra disponible para brindar los servicios 5 1 1 1
96 La base de datos del Cliente Cibercont no fue creada 5 1 1 3
97 Formatos de impresión del Cliente Cibercont no fue guardada 5 1 1 3
98 Descarga de comprobantes de pago electrónicos realizados en fase de prueba 5 1 1 3
99 Retraso de atención de incidencias al desconocer motivo de error 2 1 1 2
100 Servicio de soporte no disponible 2 1 1 3
101 Inconsistencia de información de CPE 3 1 1 2
102 Intercepción de información del CPE durante su consulta y descarga 1 1 1 1
103 Formato de impresión no actualizada. 1 1 1 3
CONSULTAR COMPROBANTES ELECTRONICOS: individual
104 Data mining 1 1 1?
CONSULTAR COMPROBANTES ELECTRONICOS: cliente cibercont

105 Filtración de accesos de Clientes Cibercont para consulta de CPE 1 1 5 1


Cliente Cibercont desconoce que hacer al presentarse error en su consulta
106 5 1 1 3
CONSULTAR COMPROBANTES ELECTRONICOS: consulta masiva
107 Filtración de accesos de Receptor para consulta de CPE 1 5 4 1
108 Receptor desconoce que hacer al presentarse error en su consulta 8 1 1 3
DAR DE BAJA AL CLIENTE CIBERCONT
109 Cliente Cibercont continúe enviando CPE 1 1 1 1
110 Acceso de Cliente Cibercont dado de baja no fue modificado y continua con
todos los privilegios 1 1 1 1
111 Error al dar de baja al Cliente Cibercont 1 1 1 1
SOPORTE DE CONSULTAS CPE
112 Malware en equipos de soporte 1 5 5 1
113 Servicio de soporte no disponible 2 1 1 3
114 Personal de soporte desconozca sus funciones y responsabilidades
2 1 1 3
115 Personal de soporte sin experiencia para la atención al cliente 2 1 1 2
A: aceptable: es opcional la creación de una política y/o control
M: Moderado: es requerido la creación o revisión del control, el cual debe ser implementado o modificado como máximo e
I: Inaceptable: es requerido la creación o revisión del control con carácter de urgencia (máximo 1 día), el cual debe ser im
modificado como máximo en el plazo de 1 semana.
1 día), el cual debe ser implementado o modificado de manera inmediata como máximo en el plazo de 1 día.

También podría gustarte