FORMATO 2

APLICANDO CONTROLES

Tratamiento (A-
TIPO Activos Amenaza Vulnerabilidad Probabilidad Impacto Riesgo = P * I Descripción del Riesgo
E-T-M)

Documentos de Fuga de información Desconocimiento de

reglamento interno de confidencial de la Políticas de Seguridad de 4.00 3 12 M
Pérdida de información valiosa de la
seguridad de información empresa información
INFORMACION empresa
Documentos o archivos
Perdida o robo de No se registra un
almacenados en los 3.00 3 9 Que se pierda la informacion del plan de A
informacion respaldo de informacion
computadores contingenca

La ausencia de un plan de mantenimiento

Fallos en los equipos de No se ha elaborado un puede desencadenar en pérdidas de los
Equipos de cómputo 3.67 4 14.68 M
cómputo plan de mantimiento equipos informáticos en caso que se
deterioren, tengan fallas, etc. y no reciban
atención inmediata.

No se utilizan las normas

ANSI/TIA/EIA-
607(proteccion de
Conexiones de redes en Antiguedad del cableado
telecomunicaciones en 2.67 3 8.01 Tener cables de red en estado de M
la infraestructura en la infraestructura
FISICO edificios) para una deterioro puede provocar un corto circuito
correcta proteccion del y retraso en las actividades del negocio
cableado y conexiones que requiere conexión a internet.

Al no contar con una buena seguridad en

Hackeo, robo o los servidores hay posibilidad de que sea
No contar con protocolos
interceptacion de la víctima de robo o interceptación de datos
Servidores dedicados a la seguridad 3.00 5 15 T
informacion de los que desencadena en pérdida de
de los servidores
servidores información sensible, interrupción en los
procesos del negocio, aplicaciones
defectuosas entre otras consecuencias.

Licencias de SW en los Software no licenciado en

Multa por software ilegal. 3.67 4 14.68 M
S.O los S.O
El uso de software sin licencia en una
SOFTWARE empresa puede traer multas

Perdida o robo de No realizan o cuentan La inexistencia de una copia en la base

Base de datos 3.33 4 13.32 E
informacion con backups recientes de datos retrasara mucho la atencion o la
detendra
 Demoras en implementar
Analista de TI Personal no capacitado 4.33 3 12.99 Las demoras en la introduccion de M
los cambios
cambios afecta directamente el
PERSONAL funcionamiento de la empresa

No se cuenta con La falta de personal abarrotará el local de

Customer success Clientes en espera 3.00 4 12 M
suficiente personal clientes haciendo que la atencion se
detenga

Mala implementacion en
Consulta del producto
Sistema saturado el software de la página 2.00 4 8 M
online La mala implementacion del software
principal
afecta y crear cuellos de botella lo que
SERVICIOS
hace que se sature el sistema.
Falla en el sistema y que Al momento de realizar la oficializacion
Modulo visualizacion de Desconocimiento de las
requiera 1.67 4 6.68 de resultados no se visualiza los M
resultados tareas asignadas.
mantenimiento(fixbugs) resultados que fueron oficializados.

Pérdida del prestigio de la Entrega tardía de

Imagen de la empresa 2.00 2 4 E
imagen de la empresa entregables
INTANGIBLE
Las entregas de las proyecto estan
tardando en realizarse según la fecha
establecida.
El nombre de la empresa se ve
perjudicada al dar la impresión de que su
Nombre de la empresa Pérdida de credibilidad Hechos fraudulentos 2.00 2 4 M
información no se encuentra segura o

TRATAMIENTO :
1 - Mínimo 1 - 6 (verde) A = Aceptacion
2 - Bajo 8-10 ( Amarillo) E = Evitar
3 - Medio 12-16 (rojo) T = Transferencia
4 - Alto 20-25 (negro) M = Mitigacion
5 - Crítico
 Justificacion Dominio(s) Objetivo Control (es) Acciones a considerar (Justificación)

Se debe capacitaciones para

5.1.2 Revisión de las políticas Brindar charlas de capacitación de las políticas de la
que los empleados tengan un 5. POLÍTICAS DE 5.1 Directrices de la Dirección
para la seguridad de la empresa y monitorear que se cumplan las políticas de la
conocimineto pleno de la politica SEGURIDAD. en seguridad de la información.
información empresa
de seguridad
Se debe terner un backup como
respaldo o accionar con el plan
de contigencia de la empresa

Tener un plan de mantenimiento

elaborado puede salvaguardar Elaborar un plan de mantenimiento y programarlo
los equipos de cómputo de la 11. SEGURIDAD FÍSICA Y 11.1.3.Seguridad de oficinas, semanalmente para salvaguardar los equipos
empresa. AMBIENTAL. 11.1. Areas seguras despachos y recursos. informáticos.

No renovar las conexiones y la

falta de mantenimiento de las
mismas puede desencadenar 11.2.3. Seguridad del cableado
en las consecuencias 11. SEGURIDAD FÍSICA Y 11.2.4. Mantenimiento de los Cambiar los cables de red que se encuentran en mal
mencionadas. AMBIENTAL. 11.2. Seguridad de los equipos equipos estado por nuevos.

Contar con una buena

seguridad en los servidores
evitará robos e intercepciones
de información sensible, entre
otras consecuencias.

14. ADQUISICION, 14.1.3. Proteccion de las

DESARROLLO Y transacciones por redes
Una licencia incluye soporte MANTENIMIENTO DE LOS telematicas.
tecnico en caso de averias o SISTEMAS DE 14.1. Requisitos de seguridad
malfuncionamiento INFORMACION. de los sistemas de informacion Contactar al desarrollador para una activacion segura mi

Un backup puede ser el

salvamento en caso de que
algun fallo o caida del servidor mi

De ser el caso, ralentizaria la
atencion
14. ADQUISICION, 14.2.1. Politica de desarrollo
DESARROLLO Y seguro de software
MANTENIMIENTO DE LOS 14.2.2. Procedimientos de
SISTEMAS DE 14.2. Seguridad en los procesos control de cambios en los Programar un horario de capacitacion dirigido a la
INFORMACION. de desarrollo y soporte sistemas mejoras en la implementacion mi

Se debe contar con un minimo 13.2.1 Politicas y Hacer un seguimiento del pico de atencion y distribuir a
de personal para que no se 13. SEGURIDAD EN LAS 13.2. Intercambio de procedimientos de intercambio los empleados donde haya mas flujo de clientes en cierta
congestione la cola de atencion TELECOMUNICACIONES. informacion con partes externas de informacion. hora y dias de la semana mi

12.1.3. Gestion de capacidades

12.1.4. Separacion de entornos
De ser el caso, retrasaría las de desarrollo, prueba y
ventas y en pérdidas de 12. SEGURIDAD EN LA 12.1. Responsabilidades y produccion. El área de desarrollo de software debe implementar un
ingresos. OPERATIVA procedimientos de operacion nuevo sistema o actualizar el sistema actual con mejoras.

12.1.1. Documentacion de
Realizar correcciones y ajustes 12. SEGURIDAD EN LA 12.1. Responsabilidades y procedimientos de operacion Informacion detallada y completa de las historias de
en el desarrollo y certificaciones OPERATIVA procedimientos de operacion usuario a desarrollar.

Comunicar al cliente de la
existencia de dificultades y de la
posibilidad de que se retrasen
las entregas de los proyectos.
Se debe investigar cuál es el
motivo que provoca los retrasos
y adpotar las medidas
oportunas para evitar que la
situacion secontrol
Realizar un repita. periodico mi

sobre la calidad de la protección 12. SEGURIDAD EN LA 12.4 Registro de actividad y 12.4.2 Protección de los Gestionar los hechos que se presentan y verificar su
de la información. OPERATIVA supervisión registros de información veracidad de forma irrefutable