Herramienta de Evaluación y Mitigación de Riesgos

Guía de implementación
Propósito de este documento

Este documento se utilizara para realizar una evaluación de riesgos, incluida la evaluación
de los efectos esperados de las medidas de mitigación.
Áreas de PCI DSS
Las siguientes requisitos de PCI DSS se abordan en este documento:
11.3.3 Las vulnerabilidades de seguridad detectadas en las pruebas de penetración se

corrigen, y las pruebas se repiten para verificar las correcciones.
12.2 Implemente un proceso de evaluación de riesgos que cumpla con lo siguiente:

• Se realiza, al menos, una vez al año y después de implementar cambios significativos en
el entorno (por ejemplo, adquisiciones, fusiones o reubicaciones, etc.).
• Identifica activos críticos, amenazas y vulnerabilidades.
• Los resultados en un análisis formal y documentado de riesgo.
Guía General
El objetivo clave de la evaluación del riesgo es garantizar que todos los riesgos críticos en
el entorno de datos del titular de la tarjeta que necesiten medidas de mitigación sean
identificados para que pueda ser tratados. La evaluación está destinada a ser utilizada para
evaluar las medidas propuestas para mitigar el riesgo y también poder mostrar el nivel de
riesgo residual.
Frecuencia de revisión
Se recomienda la re-evaluación de riesgos periódicamente, al menos una vez al año, para

asegurarse de que se identifiquen y evalúen los nuevos riesgos.
Detalle de la evaluación
Titulo de la evaluación de riego:
Alcance de la evaluación de riesgo:
Ámbito de la evaluación de riego:
Criterios de aceptación de riesgos:
Versión:
Fecha:
Asesor de riesgo
Participantes en la evaluación de
riesgos
Aprobación
Fecha de aprobación
06/14/2022 Page 2 of 11 Confidential

Evaluación de riesgos para el entorno de los datos del titular de la tarjeta This shape represents a table This shape represents a table This shape represents a table
slicer. Table slicers are slicer. Table slicers are slicer. Table slicers are
supported in Excel or later. supported in Excel or later. supported in Excel or later.
Iniciar con los riesgos que se consideran que tienen una alta combinacion de probabilidad e impacto
If the shape was modified in an If the shape was modified in an If the shape was modified in an
earlier version of Excel, or if the earlier version of Excel, or if the earlier version of Excel, or if the
workbook was saved in Excel workbook was saved in Excel workbook was saved in Excel
Descripción de riesgo 2007 or earlier, the slicer
Previo can't
a la mitigation 2007 or earlier, the slicer can't 2007 or earlier, the slicer can't Mitigación Posterior a la mitigación
be used. be used. be used.
Controles existentes (incluyendo su

Activo del entorno de los datos Justificación de la Justificación del Puntuación del Selección de la opción Probabilidad posterior a la Justificación de la probabilidad Impacto posterior a Justificación del Impacto Puntuación de riesgo Nivel de riesgo posterior
Ref. Vulnerabilidad Amenaza Descripción de Riesgo Propietario del riesgo evidencia, responsable de ejecución, Probabilidad Impacto Nivel de Riesgo Control propuesto Comentarios
del titular de la tarjeta probabilidad impacto riesgo de mitigación mitigación posterior a la mitigación la mitigación posterior a la mitigación posterior a la mitigación a la mitigación
naturaleza, oportunidad, y frecuencia)
1 Servidor Seleccionar… Seleccionar… Calculando Calculando Seleccionar… Seleccionar… Seleccionar… Calculando Calculando
2 Seleccionar… Seleccionar… Calculando Calculando Seleccionar… Seleccionar… Seleccionar… Calculando Calculando

PCI DSS Evaluación de Riesgo
Número de riesgos por nivel previo a la mitigación
1
Número de Riesgo
0
Bajo Medio Alto
Nivel de Riesgo

PCI DSS Evaluación de Riesgos
Número de riesgos por nivel posterior a la mitigación
1
Número de Riesgo
0
Bajo Medio Alto
Nivel de Riesgo

Amenazas
La siguiente es una lista estándar de amenazas típicas que pueden usarse como guía para la evaluación de riesgos.
Categoria de amenaza Amenaza

Humana Atacante malicioso
Información privilegiada maliciosa
Pérdida de personal clave
Error humano
Pérdida accidental
Natural Fuego
Inundaciones
Clima severo
Terremoto
Relámpago
Técnica Fallo de hardware

Falla del software
Virus / código malicioso
Física Sabotaje
Robo
Incendio provocado
Ambiental Residuos peligrosos

Fallo de alimentación
Falla de suministro de gas
Operacional Error de proceso
Escena del crimen

que pueden usarse como guía para la evaluación de riesgos.
Ejemplo
Alguien lanza un ataque de denegación de servicio en su plataforma de servicio
Un empleado o un tercero de confianza accede a los datos del titular de la tarjeta de forma no autorizada desde el interior
de su red
Una o más personas con conocimientos o habilidades clave no están disponibles, tal vez debido a una enfermedad
prolongada.
Un empleado borra accidentalmente los datos del titular de la tarjeta
Un gerente pierde una tarjeta de memoria con datos del titular de la tarjeta en ella
Su centro de datos se quema debido a una falla eléctrica

El río cercano se desborda y se inunda severamente la oficina
Nadie puede entrar a la oficina debido al clima
El área de su centro de datos principal se ve afectada por un temblor de tierra que daña todos sus servidores
Todos sus servidores son dañados por un rayo en el edificio del centro de datos
Un servidor físico clave tiene una falla del procesador

Su sistema financiero procesa las facturas incorrectamente debido a un error
Un virus se propaga a través de su red impidiendo el acceso a su información (y la de sus clientes)
Un ex empleado disgustado lleva un hacha a su sala de servidores

Vienes el lunes por la mañana para descubrir que algunas unidades importantes han sido robadas
Alguien con rencor contra su organización comienza un incendio durante la noche
Un camión que transporta residuos peligrosos tiene un accidente afuera de su oficina

La subestación que suministra su área tiene una fusión
Se sospecha una fuga y todos los suministros están apagados
Su nuevo procedimiento de transferencia de datos no cubre circunstancias inesperadas y los datos del titular de la tarjeta
se pierden o se envían al destino equivocado.
Un crimen ocurre en o cerca de su oficina y el área está sellada por la policía
Probabilidades
La siguiente tabla debe usarse para decidir la probabilidad más apropiada para una amenaza particular.
Probabilidad Descripción Resumen

1 Improbable Nunca ha sucedido antes y no hay ninguna razón para pensar que es más probable ahora
2 Poco probable Existe la posibilidad de que pueda suceder, pero probablemente no lo hará
3 Probable En general, es más probable que suceda el riesgo que no
4 Muy probable Sería una sorpresa si el riesgo no ocurriera basado en la frecuencia pasada o en las circunstancias actuales
5 Casi seguro O ya sucede regularmente o hay alguna razón para creer que es prácticamente inminente

Impacto
La siguiente tabla debe usarse como guía para ayudar a decidir sobre la calificación de impacto correcta para una amenaza en particular.
Nivel de impacto Áreas de impacto
Impacto de incumplir los

Valoración del Impacto en la calidad del Impacto en la viabilidad Impacto en el personal o el
impacto Descripción general producto o servicio financiera bienestar público Daño a la reputación requisitos legales o
reglamentarios
1 Insignificante Sin efecto Muy poco o nada Riesgo adicional muy Sin comentarios adversos Sin implicaciones
pequeño
Algunos disturbios locales a las

Dentro de los límites Pequeño riesgo de no cumplir
2 Leve operaciones comerciales Algunos Descontento localizado
aceptables con el cumplimiento
normales
Todavía puede entregar

No deseado, pero podría ser Riesgo elevado que requiere Algunas críticas internas y En peligro definido de operar
3 Moderado producto / servicio con cierta
dificultad soportado atención inmediata externas ilegalmente
El negocio está paralizado en Efecto severo sobre los Peligro significativo para la Una prueba severa de lealtad Operando ilegalmente en
4 Alto
áreas clave ingresos y / o el beneficio vida del cliente algunas áreas
La confianza en la
Fuera del negocio; sin servicio Herida; la organización saldrá Pérdida de vida potencial Multas severas y posible
5 Muy alto organización está
a los clientes del negocio real o fuerte encarcelamiento del personal
irreparablemente dañada

Clasificación del nivel de riesgo
El siguiente cuadro muestra el esquema de calificación utilizado para determinar el nivel de riesgo en función de una combinación de probabilida
Puntuación de Riego
5
ALTO
Probabilidad 3 MEDIO
del Riesgo
BAJO
1 2 3 4 5
Impacto del Riesgo

Número de riesgos por nivel previo a la mitigación
Nivel de Riesgo Número de riesgos

Bajo 0
Medio 0
Alto 0
Número de riesgos por nivel posterior a la mitigación
Nivel de Riesgo Número de riesgo

Bajo 0
Medio 0
Alto 0

Herramienta de Evaluación y Mitigación de Riesgos

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Herramienta de Evaluación y Mitigación de Riesgos

Cargado por

Copyright:

Formatos disponibles

Guía de implementación

Propósito de este documento

11.3.3 Las vulnerabilidades de seguridad detectadas en las pruebas de penetración se

12.2 Implemente un proceso de evaluación de riesgos que cumpla con lo siguiente:

Se recomienda la re-evaluación de riesgos periódicamente, al menos una vez al año, para

Titulo de la evaluación de riego:

Alcance de la evaluación de riesgo:

Ámbito de la evaluación de riego:

Criterios de aceptación de riesgos:

06/14/2022 Page 2 of 11 Confidential

Controles existentes (incluyendo su

06/14/2022 Page 3 of 11 Confidential

06/14/2022 Page 4 of 11 Confidential

06/14/2022 Page 5 of 11 Confidential

Categoria de amenaza Amenaza

Pérdida de personal clave

Técnica Fallo de hardware

Ambiental Residuos peligrosos

Operacional Error de proceso

Escena del crimen

Su centro de datos se quema debido a una falla eléctrica

Un servidor físico clave tiene una falla del procesador

Un ex empleado disgustado lleva un hacha a su sala de servidores

Un camión que transporta residuos peligrosos tiene un accidente afuera de su oficina

Probabilidad Descripción Resumen

06/14/2022 Page 8 of 11 Confidential

Nivel de impacto Áreas de impacto

Impacto de incumplir los

Algunos disturbios locales a las

Todavía puede entregar

06/14/2022 Page 9 of 11 Confidential

Impacto del Riesgo

06/14/2022 Page 10 of 11 Confidential

Nivel de Riesgo Número de riesgos

Número de riesgos por nivel posterior a la mitigación

Nivel de Riesgo Número de riesgo

También podría gustarte