IFE-002 - 014 SGSI-Analisis de Riesgos

ANÁLISIS DE RIESGOS
Tipo de documento: Procedimiento

Nivel de confidencialidad: Información Interna
La impresión de este documento en papel es considerada como copia no controlada ( Solo para consulta). La versión vigente se encuentra en la RED electrónica o con sello de ORIGINAL .
Contenido
1. OBJETIVO…………………………………………………………………………………………………………..2
2. ALCANCE…………………………………………………………………………………………………………..2
3. DEFINICIONES…………………………………………………………………………………………………….2
4. DESCRIPCIÓN DEL PROCEDIMIENTO……………………..………………………………………………..…2
5. INSTRUCCIONES DEL PROCEDIMIENTO……………………………………………………………………..6
6. DESARROLLO…………………………………………………………………………………………………….53
7. REGISTROS…..……………………………………………………………………………………………………53
8. REFERENCIAS…………………………………………………………………………………………………….54
9. ANEXOS…………………………….…………………………………………………………………………… 54
10. CÉDULA DE CONFORMIDAD………………………………………………………………………………….54
Elaboró Revisó Revisó

Abraham Corral Omar Lares Alejandro López
Versión: Fecha: No. Documento Hoja 1 de 53

1 IFE-002_014

1. OBJETIVO
El presente documento tiene como objetivo identificar los principales riesgos que pueden afectar la
operación en la producción de la Credencial para Votar INE en el CPC INE Primario.
2. ALCANCE
El análisis de Riesgos presentado en este documento tiene como alcance la operación del CPC INE
primario ubicado en Laguna de Mayrán #345, Del. Col. Anáhuac Del Méx., D.F y el CPC INE
Secundario ubicado en Tlalnepantla Edo. Méx.
3. DEFINICIONES
IECISA Informática El Corte Inglés

INE Instituto Nacional Electoral
CPC INE Primario Centro de Producción de Credenciales INE (Site Primario)
SGSI Sistema de Gestión de Seguridad de la Información
SOA Statement of Aplicability
TI Tecnologías de la Información
4. DESCRIPCIÓN DEL PROCEDIMIENTO
4.1 Objetivos del procedimiento

El análisis de riesgos tiene como objetivo primordial anticiparse a la materialización de una amenaza. Dentro de esto,
se centrará en:
1. Identificar las amenazas que puedan afectar a la prestación de servicios por parte de GyD e IECISA.
2. Valorar el impacto de las mismas en caso de que sucedan.
3. Valorar el grado de efectividad de las medidas de prevención / detección / mitigación dispuestas para hacer
frente a las amenazas identificadas.
4. Detectar vulnerabilidades no cubiertas por las medidas de prevención.
Para ello hará uso de algunas tablas las cuales están preparadas para recoger el estudio completo de las amenazas,
los impactos, las posibilidades, las medidas frente a las amenazas, y los riesgos residuales

1 IFE-002_014

4.2 Diagrama del Procedimiento

1 IFE-002_014

5. INSTRUCCIONES DEL PROCEDIMIENTO
Nombre Descripción
En esta primera instrucción, se deben identificar las amenazas que afecten a los servicios. Ya que en la
prestación del servicio intervienen las personas y la infraestructura, el estudio se realizará sobre estos
activos. En la lista de amenazas se deben incluir aquellas que han afectado en alguna ocasión al negocio,
Identificar las las que se identifiquen en primera instancia y no está demás completar la lista comparándola con alguna
amenazas de las listas que las principales metodologías de análisis de riesgos indican (MAGERIT, CRAMM,
etc…).
Cada amenaza tiene una consecuencia (de ocurrencia) y también un peligro asociado.
Esta identificación se reflejará en la hoja del archivo Excel “Análisis Impacto”.
El impacto vertical se debe asignar en función del tiempo en el que tardemos en recuperarnos de la
amenaza. No se deben considerar las medidas disponibles de mitigación a la hora de valorar este
impacto.
El impacto Horizontal se asignará en escala de 0 a 20 en función de cuanto dañe al servicio. No se deben
considerar las medidas disponibles de mitigación a la hora de valorar este impacto.
Hay distintos grados indicados en la hoja de “Impactos” dentro del archivo Excel.
Esta asignación se reflejará en la hoja “Análisis Impacto”. La hoja calcula el impacto total según la
fórmula:
Impacto = Impacto Vertical + Impacto Horizontal
- Para la asignación de Impactos se tienen las siguientes tablas

Asignar impacto
vertical y
horizontal
Se asigna posibilidad de que se materialice una amenaza. No se deben considerar las medidas disponibles
de mitigación a la hora de valorar esta posibilidad. Es posibilidad y no probabilidad puesto que se basa en
Asignar apreciaciones y no en fórmulas matemáticas. Es recomendable contrastar la posibilidad valorada frente a
posibilidad algún informe que contenga ocurrencias de amenazas.
El grado de posibilidad también se recoge en la hoja de “Impactos”.
- Para la asignación de Posibilidades se tiene la siguiente tabla:

1 IFE-002_014

Este grado se consignará en la hoja “Análisis Riesgo”. Al incluir la posibilidad, la hoja calcula el riesgo
según la fórmula siguiente:
Riesgo = Impacto x Posibilidad
Una vez finalizado, se puede comprobar la gráfica de la hoja “Riesgos Identificados”. La gráfica obedece
a la representación de la amenaza en un diagrama cartesiano en el cual el eje vertical indica la posibilidad
de que suceda una amenaza y el eje horizontal representa el impacto. Así se puede ver visualmente que
los elementos que más desplazados estén hacia la esquina superior derecha, son los que más posibilidad
tienen de suceder y mayor daño pueden causar. Las dos líneas que cruzan el gráfico son las líneas
“decisorias” que marcan que todo aquello que esté por encima de ellas, debe ser tratado por su alto
riesgo, todo lo que esté situado entre ellas, debe ser considerado. Todo lo que permanezca por debajo
tiene asignado un riesgo menor, pero no por ello se debe despreciar. La finalidad del gráfico es dar una
prioridad para poder abordar las medidas necesarias.
Aplicabilidad de En la hoja “Riesgo-Control”, se definen los controles que marca la norma ISO 27001, que servirán para
los controles de la gestionar (mitigar, anular, transferir o asumir) los riesgos identificados en el proyecto.
norma 27001 a los
riesgos
identificados
Una vez definidos que controles aplican a cada riesgo (en la hoja “Riesgo--Control”), en la hoja SOA
(Statement of Aplicability) se define el método de implementación de las medidas necesarias para su
correcta ejecución; esto es, se asignan políticas, procedimientos, formatos y demás herramientas a cada
control que coadyuven a fortalecerlo y den como resultado la gestión adecuada del riesgo en cuestión.
Cabe mencionar que el análisis aquí descrito está basado en el sistema de gestión de seguridad de la
Implementación
información, norma ISO/IEC 27001:2005, la cual define en su marco normativo 133 controles.
de medidas a los
De los 133 controles existen algunos cuya relación directa con los riesgos identificados no es evidente,
controles de la
sin embargo robustecen el marco normativo y la operación diaria, de manera tal que aunque en la hoja
norma ISO 27001
Riesgo—Control no se encuentren relacionados no implica que se pueda prescindir de su aplicación.
Una vez definidos los mecanismos requeridos para la correcta operación de los diferentes controles,
hemos agregado la información precisa del status actual de cada documento implicado, de manera que es
posible determinar el diferencial entre los elementos ya desarrollados y funcionando, contra el estado del
arte, así como las acciones subsecuentes.
Evaluación del Las medidas contempladas, según lo indicado en la norma ISO 27001, son “Mitigar, transferir, asumir y
riesgo residual. anular”. La mitigación, reducirá el impacto, una vez se haya producido la amenaza. La transferencia no
reduce la posibilidad, pero si reduce el impacto. Asumir un riesgo es la última de las alternativas que se
deberían tomar y generalmente obedece al alto coste para abordar medidas al respecto. Consiste en no
hacer nada proactivo frente a una determinada amenaza y reaccionar una vez que ésta se haya
materializado. Por último anular un riesgo, es lo más complicado y con frecuencia pasa por la
1 IFE-002_014

eliminación del activo.
Es preciso completar pues el grado en el cual las medidas dispuestas reducen el impacto o la posibilidad
de una amenaza. La hoja calcula automáticamente el impacto, la posibilidad y el riesgo residuales, y se
completa la gráfica de la hoja “Riesgos residuales”. Que sigue la misma filosofía de la gráfica de la hoja
“Riesgos identificados” pero refleja el efecto de las medidas frente a las amenazas, por lo cual los valores
se habrán desplazado hacia la derecha y hacia abajo.
Esta gráfica es la que determina realmente la situación de riesgo actual, con la aplicación de los controles
existentes.
En un espíritu de continuar en el espiral ascendente en la seguridad de la información, se continuarán

desarrollando las medidas que contribuyan al mejoramiento del SGSI.
PDCA
6. DESARROLLO
6.1 Identificación de amenazas y evaluación de impactos (horizontal y Vertical)

Lo primero que se realizó para el análisis de Riesgos fue identificar mediante “Lluvia de ideas” las “amenazas” a
las que se enfrenta el proceso de producción de Credenciales del CPC INE Primario, posteriormente se realizó un
análisis para identificar el “Tipo de Peligro Identificado” y posteriormente la “Consecuencia” que se puede tener en
caso de que se materialice el “La amenaza”, todo esto en conjunto conforma los “Riesgos”.
El total de riesgos identificadas fueron 67 los cuales fueron clasificadas en 3 diferentes Rubros:
 Riesgos Generales
 Riesgos en el proceso de Producción
 Riesgos en Procesos de TI.
De igual forma, a petición del INE se realizó una clasificación en el tipo de consecuencia que los diferentes riesgos
pueden presentar, dicha clasificación es:
 Retraso en el proceso
 Paro en el proceso de producción
 Pérdida de Información.
Posteriormente se realizó la asignación de impactos conforme a la metodología descrita en la parte inicial del
documento para que finalmente se calculara el impacto total de cada riesgo.
Lo anterior se describe en la siguiente tabla:

1 IFE-002_014


1 IFE-002_014


1 IFE-002_014


1 IFE-002_014


1 IFE-002_014


1 IFE-002_014

Tabla 1: Amenazas y evaluación de impactos

1 IFE-002_014
6.2 Análisis de Riesgo
El siguiente paso se enfoca en realizar el cálculo del “Riesgo Total” como se indica en el procedimiento descrito en la
parte inicial del documento, con la fórmula:
Riesgo = Impacto x Posibilidad
Los resultados se muestran en la siguiente tabla 2:

1 IFE-002_014


1 IFE-002_014


1 IFE-002_014


1 IFE-002_014

Tabla 2: Análisis de Riesgo

1 IFE-002_014

Con los datos anteriores se obtiene las siguientes gráficas, En la gráfica 1 podemos observar cuales son los riesgos
que tienen mayor posibilidad de ocurrencia y que son de mayor impacto para la operación del CPC INE Primario son
los que se encuentran por encima de las líneas decisorias.
Revelación de información
Revelación De-
de información De-
strucción de información
strucción Inter- Inter-
de información
rupción rupción
de otrosdeservicios o
otros servicios o
suministros esenciales
suministros
eración eración
Gen- Gen-
esenciales
de credenciales de
de credenciales de
Riesgos Identificados
100% MuestraMuestra
Medios Medios
externosexternos
(PRENSA) Terrorismo
(PRENSA) en la zona
Terrorismo en la zona
Desabasto en plantas
Desabasto de fabri-
en plantas de fabri-
90% cación de proveedores
cación de ma- de ma-
de proveedores
teri teri
80%
70%
60%
50%
Posibilidad
40%
30%
20%
10%
0%
0 2 4 6 8 10 12 14
Impacto Total
Grafica 1. Ubicación de los riesgos.
En la siguiente gráfica 2 (de tipo radial) podemos identificar también los riesgos con mayor posibilidad de ocurrencia
y de mayor impacto para la operación del CPC.

1 IFE-002_014

RIESGO INICIAL
(Antes de las medidas adoptadas)
656667 1 2 3 4 5
626364 67
61 5 8
60 9
59 10
58 11
57 12
56 13
55 14 RIESGO INICIAL
54 15 (Antes de las medidas adop-
53 16 tadas)
52 17
51 0 18
50 19
49 20
48 21
47 22
46 23
45 24
44 25
43 26
42 27
4140 28
3938 3029
3736 3534 333231
Grafica 2. Identificación de riesgos críticos
6.2 Aplicabilidad de los controles de la norma 27001 a los riesgos identificados
Como parte de las buenas prácticas de operación del CPC INE Primario se ha desarrollado un Sistema de Gestión de
Seguridad de la Información (SGSI) basado en la normatividad ISO 27001. En dicha norma se describen 133 controles
los cuales se tienen que sustentar para poder cumplir el requerimiento de la norma en donde se tocan temas desde
seguridad física, instalaciones, TI, etc..
Para el cumplimiento de los controles requeridos por la norma se ha desarrollado un archivo llamado SOA (Statement
Of Aplicability), en este archivo se puede observar el Status y el sustento de cada Control.
Por tal motivo, debido a que el CPC INE Primario está regido por un sistema SGSI basado en la norma 27001 (como
buena práctica), Los 67 riesgos identificados en este documento son mitigados por la aplicación de diferentes
controles que conforman la norma ISO 27001.
En la siguiente tabla 3 se muestran los controles de la norma que se aplicarán a cada riesgo identificado:

1 IFE-002_014

Nº Amenaza Consecuencia Tipo peligro Identificado ID Control Control

RIESGOS GENERALES SOA
7.1.1 Inventario de Activos
7.1.2 Propiedad de los Activos
7.1.3 Uso Aceptable de los Activos
Falta de mantenimiento en los
1 Indisponibilidad de los servicios Fallos en equipos 9.2.4 Mantenimiento del equipo
equipos de producción.
10.2.1 Entrega de servicios
10.2.2 Monitoreo y revisión de servicios de terceras partes
10.2.3 Manejo de cambios para servicios de terceros
9.1.4 Protección contra amenazas externas e internas
9.2.3 Seguridad del Cableado
Descuido del cableado eléctrico, falta
9.2.4 Mantenimiento del equipo
2 de acondicionamiento de la central Indisponibilidad de los servicios Corte de suministro eléctrico
eléctrica y pobre aislamiento 10.2.1 Entrega de servicios
10.2.2 Monitoreo y revisión de servicios de terceras partes
6.1.3 Asignación de responsabilidades de la Seguridad de Información
Proceso de Autorización para los medios de procesamiento de

6.1.4 información
7.1.2 Propiedad de los Activos
8.1.1 Definición de roles y responsabilidades
Entrenamiento, educación y conocimiento en materia de seguridad

Administración de los equipos por Interrupción del procesamiento de datos 8.2.2 de la información.
3 Errores y fallos no intencionados
personal no especializado y/o pérdida de los datos
10.1.1 Procedimientos operativos documentados
10.1.3 Segregación de funciones
10.6.1 Administración de la seguridad de la red
10.7.2 Proceso de eliminación de medios de almacenamiento
10.7.3 Procedimientos para el manejo de información
10.10.2 Monitoreo del Uso de los Sistemas
10.10.4 Registros del administrador y operador
11.2.1 Registro de usuarios
11.2.2 Administración de privilegios

1 IFE-002_014

11.2.3 Administración de Contraseñas de Usuario.

11.2.4 Revisión de los Privilegios de Acceso de los usuarios
11.3.1 Uso de las contraseñas
11.3.2 Protección del Equipo cuando este desatendido
11.4.1 Políticas de uso de los Servicios de Red
11.5.1 Procedimientos seguros de inicios de Sesión
11.5.2 Autenticación e Identificación de Usuarios
11.5.3 Sistema de Administración de Contraseñas
11.5.4 Uso de Herramientas del Sistema
11.5.5 Cierre de Sesiones Inactivas
11.5.6 Limitación del tiempo de Conexión
11.6.1 Restricción de Acceso a Información
11.6.2 Aislamiento de Sistemas Sensibles
7.2.1 Lineamientos de clasificación
7.2.2 Etiquetado de la información
Falta de capacitación en el manejo de Destrucción no intencionada de la 8.1.1 Definición de roles y responsabilidades
4 Pérdidas de información
la información información
8.2.1 Responsabilidades de la gerencia

8.2.2 de la información.
Definir e implementar un proceso de autorización para los medios

6.1.4 de procesamiento de información
6.1.5 Acuerdos de confidencialidad
6.2.1 Identificación de riesgos relacionados con terceras partes
6.2.2 Tratamiento de seguridad en relación con los clientes
6.2.3 Tratamiento de seguridad en contratos con terceros
Pérdida de confianza con el cliente, Robo de información de tipo industrial 9.1.1 Perímetro de Seguridad Física
Exposición de los equipos a terceros
5 pérdida de información, retraso en el o datos de terceros, desconfiguración 9.1.2 Controles de Acceso Físico
o personal no autorizado
proceso de equipos o modificación de datos
9.1.6 Accesos públicos, áreas de carga y entrega
9.2.6 Eliminación o reutilización de equipos
11.1.1 Política de control de acceso
11.2.1 Registro de usuarios
11.2.2 Administración de privilegios

1 IFE-002_014


11.3.3 Escritorio y Pantalla Limpia
11.4.2 Autenticación de usuarios para conexiones externas
11.4.3 Identificación de Equipos en Red
11.4.4 Protección del puerto de Diagnóstico y configuración Remota

11.4.5 Segregación de redes
11.4.6 Control de conexión a la red
11.4.7 Control de ruteo de red
11.7.1 Equipos de Cómputo y Comunicaciones Móviles
12.4.2 Protección de datos del sistema
12.4.3 Control de Acceso al código fuente de las aplicaciones
13.1.1 Reportes de Incidentes de Seguridad de Información
13.1.2 Reportes de debilidades de Seguridad
15.1.2 Derechos de propiedad intelectual
Falta de segregación adecuada entre Pérdidas de información o errores 9.2.2 Servicios públicos de soporte
6 Contamintación electromagnética
cableado eléctrico y de datos inesperados en el equipo de cómputo
9.2.3 Seguridad del Cableado
10.1.2 Control de cambios
10.1.4 Separación de ambientes de desarrollo, pruebas y producción.

Errores de configuración / Resultados erroneos respecto a los Funcioamiento incorrecto de los
7 10.2.1 Entrega de servicios
parametrización componentes valores esperados equipos
10.2.2 Monitoreo y revisión de los servicios de terceras partes
10.3.1 Gestión de la capacidad

1 IFE-002_014


10.10.5 Registros de Errores
10.10.6 Sincronización de reloj
12.2.1 Validación de los datos de entrada
12.2.2 Control de procesamiento interno
12.2.3 Integridad de Mensajes
12.2.4 Validación de datos de salida
12.5.1 Procedimientos de control de cambios
Revisión técnica de Aplicaciones después de cambios a los

12.5.2 sistemas
12.5.3 Restricciones en los cambios a los paquetes de SW
12.5.4 Fugas de Información
Software Desarrollado por proveedores en esquemas de

12.5.5 Outsourcing
10.3.1 Gestión de la capacidad
10.4.1 Protección contra la ejecución de código malicioso
Falta de un programa adecuado de 12.5.1 Procedimientos de control de cambios

Pérdida de información o interrupción de
8 actualizaciones, parches y antivirus Fallos en programas
servicios en el procesamiento de datos Revisión técnica de Aplicaciones después de cambios a los
de las aplicaciones
12.5.2 sistemas
12.6.1 Control de Vulnerabilidades Técnicas
Imposibilidad de recibir la información a
Estrategia inadecuada en la 10.3.1 Gestión de la capacidad
9 procesar, imposibilidad de alimentar el Corte de líneas de comunicación
implementación de los enlaces
ERP 10.6.2 Seguridad en los servicios de la red.
10.8.1 Políticas y procedimientos de intercambio de información.
10.8.2 Acuerdos de Intercambio de información
10.8.3 Intercambio de información a través de medios tangibles
1 Manipulación deliberada de la Indisponibilidad de los servicios, Pérdida Proceso de Autorización para los medios de procesamiento de
Sabotaje interno 6.1.4 información
0 configuración de confianza, pérdida de información
7.1.2 Propiedad de los activos

1 IFE-002_014


8.1.2 Investigación de antecedentes
8.1.3 Términos y condiciones del empleo

8.2.3 Procesos Disciplinarios
8.3.1 Finalización de responsabilidades de los usuarios
8.3.2 Devolución de activos
8.3.3 Eliminación de los derechos de acceso
10.1.3 Segregación de Funciones
10.5.1 Procedimiento de respaldo de información
10.6.2 Seguridad en los servicios de la red.
10.10.3 Protección de los registros de información
11.2.1 Registro de Usuarios
11.2.2 Administración de Privilegios


1 IFE-002_014


12.1.1 Análisis y Especificación de Requerimientos de Seguridad

12.5.2 sistemas

12.5.5 Outsourcing
Procedimientos y responsabilidades de administración de

13.2.1 incidentes
13.2.2 Aprendizaje de los Incidentes de Seguridad de Información
13.2.3 Recolección de Evidencia
6.1.6 Contacto con las autoridades
9.1.1 Perímetro de Seguridad Física
1 9.1.2 Controles de Acceso Físico
Huelgas, Paros, etc. Paro en la producción. Acceso a instalaciones bloqueado
1
9.1.3 Protección de oficinas, habitaciones y medios.
9.2.1 Protección y ubicación del equipo
1 Falta de equipo de aire acondicionado Fallos en los equipos de producción y 9.2.1 Protección y ubicación del equipo
Mala calidad y retrasos en la producción.
2 de los sistemas TI
9.2.4 Mantenimiento del equipo
1 Existencia de material inflamable en
Daños materiales y/o recursos humanos Fuego en oficinas y lugares cercanos
3 oficinas aledañas
1 Difusión no intencionada de software 10.4.1 Protección contra la ejecución de código malicioso
Pérdidas de información Virus
4 dañino

1 IFE-002_014



13.2.1 incidentes
6.1.8 Revisión Independiente de Seguridad de la Información
9.1.2 Controles de Acceso Físico
.- Degradación imagen propia y de 9.1.3 Protección de oficinas, habitaciones y medios.
cliente
1 Robo de CPV´s o de material sensible 9.1.4 Protección contra amenazas externas e internas
Robo .- Incumplimientos contractuales
5 para su fabricación.
- Problemas políticos por falsificación de 9.1.5 Trabajo en áreas seguras
documentos.
9.2.5 Seguridad del equipo que se encuentra fuera de las instalaciones

11.1.1 Política de Control de Acceso
12.3.1 Política de Uso de Controles Criptográficos
12.3.2 Administración de Llaves

13.2.1 incidentes

1 IFE-002_014


1 9.1.5 Trabajo en áreas seguras
Extorsión Robo de información y/o de CPV's Ataque deliberado
6


13.2.1 incidentes
10.10.1 Registro de auditoría
1 Problemas de calidad, pérdida de 10.10.2 Monitoreo del Uso de los Sistemas
Monitoreo inadecuado Comportamientos inadecuados
7 información, fallas en el proceso.

1 IFE-002_014

10.10.5 Registros de Errores

10.10.6 Sincronización de Reloj
1
Enfermedades Retrasos en la producción. Faltas de personal 9.1.4 Protección contra amenazas externas e internas
8
10.1.1 Procedimientos Operativos Documentados
9.2.2 Servicios públicos de soporte
1 10.2.1 Entrega de servicios
Problemas de CFE Paro en la producción. Corte de suministro eléctrico central
9
Posibles cortocircuitos, equipos 6.1.6 Contacto con las autoridades

2 Inundación y/o filtraciones de agua en
Lluvias torrenciales quemados, incendios, inhabilitación de 9.2.1 Protección y ubicación del equipo
0 las instalaciones
2 Daños estructurales, pánico,
Terremotos Paro o retraso en la producción. 9.2.1 Protección y ubicación del equipo
1 accidentes y/o pérdidas humanas.

6.1.4 información

2
Sabotaje de la información datos de personalización modificados 10.1.1 Procedimientos Operativos Documentados
2 Generación incorrecta de la CPV.
10.4.2 Controles contra código móvil
10.8.3 Intercambio de información a través de medios tangibles
10.10.1 Registro de auditoría

1 IFE-002_014


11.2.1 Registro de Usuarios
11.3.3 Escritorio y Pantalla Limpia

12.1.1 Análisis y Especificación de Requerimientos de Seguridad

12.5.2 sistemas

12.5.5 Outsourcing

1 IFE-002_014



13.2.1 incidentes
6.1.1 Compromiso de la gerencia con la seguridad de la información

6.1.2 Estructura de Gobierno de Seguridad de la Información
6.1.3 Asignación de responsabilidades de la Seguridad de Información

6.1.4 información
6.1.5 Acuerdos de Confidencialidad
Falsificación de documentos, fuga de Transferencia de información
2 7.2.1 Lineamientos de clasificación
Revelación de información conocimiento y datos personales en confidencial (secreto industrial) a
3
manos de terceros. terceras partes 7.2.2 Etiquetado de la información
9.1.5 Trabajo en áreas seguras


1 IFE-002_014



13.2.1 incidentes
15.1.1 Identificación de legislación aplicable
15.1.3 Protección de los registros organizacionales
15.1.4 Protección de datos y privacidad de información personal
Prevención del Mal uso de medios de procesamiento de

15.1.5 información
15.1.6 Regulación de controles criptográficos
6.1.5 Acuerdos de Confidencialidad
7.2.1 Lineamientos de clasificación
Reprocesos los cuales implican retrasos 7.2.2 Etiquetado de la información

2 Pérdida de información que no estaba
Destrucción de información en los procesos productivos, e 8.1.1 Definición de roles y responsabilidades
4 destinada a ser destruida
incumplimiento de contrato.

Retrasos en la producción , 9.2.2 Servicios públicos de soporte

2 Interrupción de otros servicios o Falta de materia prima, servicio
incumplimientos de SLA´s, problemas de 10.2.1 Entrega de servicios
5 suministros esenciales logísticos, servicios de limpieza, etc.
calidad.
5.1.1 Documento de la política de seguridad de la información
Que salga de las instalaciones del CPC, Generación de tarjetas muestra con 5.1.2 Revisión de la política de seguridad de la información
2 Generación de credenciales de
Esto puede ocasionar demandas y daño información real y que esta salga de 8.1.2 Investigación de antecedentes
6 Muestra
político al Instituto, pérdidas monetarias. las instalaciones del CPC.

1 IFE-002_014


5.1.2 Revisión de la política de seguridad de la información
Fuga de información la cual sirva para
Daño en la imagen de la empresa y en la
2 la publicación de notas periodísticas 8.2.3 Procesos Disciplinarios
Medios externos (PRENSA) imagen del Instituto además de que la
7 las cuales pongan en juego la
operación se puede ver afectada. 11.1.1 Política de Control de Acceso
reputación del proyecto.
15.1.3 Protección de los registros organizacionales
15.1.4 Protección de datos y privacidad de información personal
Imposibilidad de operar en el CPC
2 Afectación en vías de acceso a la 10.1.1 Procedimientos Operativos Documentados
Terrorismo en la zona primario lo cual implica tener retrasos en
8 zona.
las entregas. 6.1.6 Contacto con las autoridades
Paro en las plantas de fabricación de 9.2.2 Servicios públicos de soporte

2 Desabasto en plantas de fabricación Paro en la producción despues de tres
TESLIN y/o OVD por algún desastre 10.2.1 Entrega de servicios
9 de proveedores de material sensible meses
natural.
3 Retraso en alguna parte del proceso de
Embarazos Faltas de personal 9.1.4 Protección contra amenazas externas e internas
0 producción
3 Retraso en alguna parte del proceso de Riesgo de que el personal sufra algún
Plaga 9.1.4 Protección contra amenazas externas e internas
1 producción problema de salud
Retraso en alguna parte del proceso de
3 Riesgo de que el personal sufra algún 10.1.1 Procedimientos Operativos Documentados
Fuga de gase tóxicos producción, o paro en la producción
2 problema de salud
completa. 6.1.6 Contacto con las autoridades

1 IFE-002_014

RIESGOS DEL PROCESO DE PRODUCCIÓN

3 Paro de personalizacon por falta de
Falta de material preimpreso Falta de material para procesar 10.2.1 Entrega de servicios
3 material
Paro en el proceso de preimpresión por
falta de material, debido a esto, el Falta de surtimiento de material teslín a 9.2.2 Servicios públicos de soporte
3
Falta de surtimiento de Teslin proceso de personalización para, por lo la planta de GyD por parte del 10.2.1 Entrega de servicios
4
que se genera incumplimiento de SLA´s, proveedor PPG.
lo cual implica incurrir en penalizaciones. 10.2.2 Monitoreo y revisión de los servicios de terceras partes
Paro en el proceso de laminación, por lo Falta de surtimiento de material OVD a 9.2.2 Servicios públicos de soporte
3 Falta de Surtimiento de transkote
que se genera incumplimiento de SLA´s, la planta de GyD por parte del 10.2.1 Entrega de servicios
5 OVD
lo cual implica incurrir en penalizaciones. proveedor.
Paro de algún paso en el proceso de 9.2.2 Servicios públicos de soporte
Falta de surtimiento de consumibles
3 Falta de surtimiento de consumibles personalización, por lo que se genera
necesarios para operar los equipos de 10.2.1 Entrega de servicios
6 de los equipos incumplimiento de SLA´s, lo cual implica
producción por parte del proveedor.
incurrir en penalizaciones. 10.2.2 Monitoreo y revisión de los servicios de terceras partes
Paro en alguna parte del proceso, lo cual
puede generar incumplimiento de SLA´s, 8.2.1 Responsabilidades de la gerencia
3 falta de operador en alguna parte del
Renuncia de colaboradores lo cual implica incurrir en penalizaciones,
7 proceso. Entrenamiento, educación y conocimiento en materia de seguridad
adicionalmente se pueden generar
problemas de calidad. 8.2.2 de la información.
8.3.1 Finalización de responsabilidades de los usuarios
8.3.3 Eliminación de los derechos de acceso
3 5.1.1
Paro en el proceso de empaque, lo cual Documento de la política de seguridad de la información
8
puede generar incumplimiento de SLA´s, Imposibilidad para cerrar órdenes de 5.1.2 Revisión de la política de seguridad de la información
Extravío de CPV lo cual implica incurrir en penalizaciones. trabajo debido al extravío de alguna
Afectación en la imagen del Instituto y de CPV. 8.1.2 Investigación de antecedentes
la empresa.

1 IFE-002_014


3
9
El producto rechazado directamente es
SCRAP lo cual implica impacto 10.1.1 Procedimientos Operativos Documentados
económico en los resultados del
proyecto
Rechazo de material terminado debido 10.1.2 Control de cambios
Mala calidad del producto Paro en el proceso de empaque (cierre
a la mala calidad del producto.
de órdenes) mientras se generan las
reposiciones correspondientes , lo cual
puede generar incumplimiento de SLA
´s,y esto implica incurrir en
penalizaciones.
4
0
Paro en el proceso de empaque (cierre
Problemas en la operación del área de órdenes), lo cual puede generar Liberación de producto tardía por parte
de calidad INE incumplimiento de SLA´s, lo cual implica del area de calidad INE.
incurrir en penalizaciones.
4
1 Reraso o paro de producción en el site
Falta de archivos para arrancar el 6.2.1 Identificación de riesgos relacionados con terceras partes
Retraso en la llegada de archivos por Principal, por lo que se genera
procesamiento de datos
parte de CECYRD incumplimiento de SLA´s, lo cual implica
oportunamente. 6.2.3 Tratamiento de seguridad en contratos con terceros
4
2
10.4.1 Protección contra la ejecución de código malicioso
Incumplimiento de SLA´s, lo cual implica Afectación en los tiempos de
Falla Rippeador 10.10.3 Protección de los registros de información
incurrir en penalizaciones. procesamiento de datos.

13.2.1
incidentes

1 IFE-002_014


4
3
Paro en el proceso de personalización
afectando gravemente el proceso de 10.1.1 Procedimientos Operativos Documentados
Falla de HP Indigo producción, lo cual puede generar Imposibilidad de personalización. 10.1.2 Control de cambios
incumplimiento de SLA´s, lo cual implica
incurrir en penalizaciones. 10.1.3 Segregación de Funciones

4
4
Paro en el proceso de laminado y 10.1.1 Procedimientos Operativos Documentados
troquelado, lo cual puede generar
Falla de Autofeeds Imposibilidad para laminar y troquelar. 10.1.2 Control de cambios
incurrir en penalizaciones. 10.1.3 Segregación de Funciones

4
5
Paro en el proceso de verificación, lo 10.1.1 Procedimientos Operativos Documentados

Falla Mülbahuer cual puede generar problemas de Afectación al proceso de verificación 10.1.2 Control de cambios
calidad no detectados..

4
6
Paro de producción en el site Principal, 7.1.3 Uso Aceptable de los Activos
Falla en el cuarto por lo que se genera incumplimiento de Afectación a los diferentes procesos de
de máquinas SLA´s, lo cual implica incurrir en producción. 10.1.1 Procedimientos Operativos Documentados
penalizaciones.

RIESGOS ESPECÍFICOS EQUIPO Y TI
4
7
Problemas para desencriptar archivos 10.4.1 Protección contra la ejecución de código malicioso
Imposibilidad para desencriptar
de datos variables para proceso de Paro del proceso de producción 10.6.1 Administración de la seguridad de la red
archivos de entrada
personalización
10.6.2 Seguridad en los servicios de la red.
10.7.1 Administración de medios de almacenamiento removibles

1 IFE-002_014



13.2.1 incidentes
4
8
Validación incorrecta de datos 10.8.2 Acuerdos de Intercambio de información

variables contra archivos de foto, Paro del proceso de producción Archivos incompletos 13.1.1 Reportes de Incidentes de Seguridad de Información
firma y huella
13.2.1 incidentes
4
9
Sortear y ordenar incorrectamente la 13.1.1 Reportes de Incidentes de Seguridad de Información

Problemas de proceso con SCP
información para personalizar Entrega incorrecta de credenciales
(Sistema de Control de la Produccion) Procedimientos y responsabilidades de administración de
credenciales.
13.2.1 incidentes
5
0
12.4.1 Control de Software operacional
Retraso en la entrega de credenciales
Generación inadecuada de ordenes Ralentización del proceso de 12.4.2 Protección de datos del sistema
por falta de orden de trrabajo y
de trabajo en ERP producción
materiales 12.4.3 Control de Acceso al código fuente de las aplicaciones

13.2.1 incidentes

1 IFE-002_014


5
1
Proceso fallido de inserción de datos Imposibilidad para poder realizar la Base de datos sin información del lote
para estadistica y reportes entrega del producto en cuestión. 13.1.1 Reportes de Incidentes de Seguridad de Información

13.2.1 incidentes
5
2
Aplicación incorrecta de elementos de Rechazo por parte del INE, lo cual
Generación de CPV´s incorrectas 13.1.1 Reportes de Incidentes de Seguridad de Información
seguridad JURA (IPI y LS) genera Scrap y Reprocesos.

13.2.1 incidentes
5
3
Paro del proceso de personalización de No poder generar archivos PS para
Falla en el proceso de "Inspire" 13.1.1 Reportes de Incidentes de Seguridad de Información
credenciales impresión en equipo HP Indigo

13.2.1 incidentes
5
4
Fallas al generar y enviar archivos de Queja del cliente por no recibir los Sistemas y controles del cliente
salida para el INE (Proceso y calidad) archivos de salida en tiempo desactualizados 12.4.1 Control de Software operacional

1 IFE-002_014


13.2.1 incidentes
5
5
Fallas al generar y enviar archivos de Ralentización en el proceso de empaque
Órdenes incompletas 13.1.1 Reportes de Incidentes de Seguridad de Información
salida para el INE (Proceso y calidad) y imposibilidad para cierre de órdenes.

13.2.1 incidentes
5
6
Borrar archivos de entrada y proceso Tener información confidencial 12.4.1 Control de Software operacional
Mal uso de la información.
de forma segura disponible

13.2.1 incidentes
5
7
Falla del Server de Proceso (Inspire) Retraso en la entrega y posible No poder correr las aplicaciones de
y base de datos penalización si rebasa el SLA proceso de datos 13.1.1 Reportes de Incidentes de Seguridad de Información

13.2.1 incidentes

1 IFE-002_014

Desarrollo e Implementación de Planes de Continuidad incluyendo

la
14.1.3 Seguridad de la Información
5
8 No poder accesar al sistema Intuitive
Problema para generar ordenes de
Falla del Server de Intuitive (ERP)
trabajo y movimientos de almacen Procedimientos y responsabilidades de administración de
13.2.1 incidentes

14.1.3 la Seguridad de la Información
5
9
Falla del Server de AD y IT Tools Problema para accesar a la red de No tener acceso a los recursos de la
(Virtual) producción red de TI
13.2.1 incidentes

la
6 10.5.1 Procedimiento de respaldo de información
0
Problema para recuperar información en 10.7.3 Procedimientos para el manejo de información
Falla del Server de Respaldos No contar con respaldos actualizados
caso de requerirse

1 IFE-002_014


13.2.1 incidentes

la
6
1
Ralentización del proceso de Proceso de No poder llevar a cabo tareas en esa 13.1.1 Reportes de Incidentes de Seguridad de Información
Falla de PCs/ Laptops
datos y empaque estación de trabajo
13.2.1 incidentes
6
2
Paro en el proceso de Proceso de datos 7.1.3 Uso Aceptable de los Activos
Falla de Switches No acceso a la red
y empaque

13.2.1 incidentes
6
3
Daños en los equipos de TI y
Falta de redundancia en el suministro
Falla en UPS producción por mala calidad del Procedimientos y responsabilidades de administración de
eléctrico y red eléctrica desprotejida.
suministro eléctrico. 13.2.1 incidentes
6
4 No se poder generar reportes
Falla en impresoras Ralentización del proceso de empaque 7.1.3 Uso Aceptable de los Activos
requeridos por el proceso

1 IFE-002_014


13.2.1 incidentes
6
5
No poder escanear sobres, bolsas y
Falla en Scanners Ralentización del proceso de empaque
cajas Procedimientos y responsabilidades de administración de
13.2.1 incidentes
6
6
No poder agregar los elementos
Falta de Dongles Ralentización del proceso de datos
seguros con IPI y LS Procedimientos y responsabilidades de administración de
13.2.1 incidentes
6
7
Irresponsabilidad de Operador Data Existencia de información sensible 13.1.1 Reportes de Incidentes de Seguridad de Información
Mgt después de 48 horas a la entrega
13.2.1 incidentes
Tabla 3. Riesgo-Control

1 IFE-002_014


1 IFE-002_014

6.3 Inventario de Activos
Adicionalmente, como parte del cumplimiento de la norma ISO 27001 se llevó a cabo el registro de un inventario de
activos de todos los equipos que son críticos para la operación de la producción del CPC INE Primario, en este, se
han asignado responsables directos de tal forma que se tienen perfectamente ubicados, contribuyendo así en gran
medida a la mitigación de los riesgos identificados en este documento.
En la siguiente tabla 4 se muestra el inventario de activos actual:
Versión: Fecha:
1

La impresión de este documento en papel es considerada como copia no controlada ( Solo para consulta). La versión vigente se encuentra en la RED electrónica o con sello de ORIGINAL.
INVENTARIO DE ACTIVOS ( ASSETS)

HARDWARE
Res pons a ble
ID P ROCES O CC Tipo Marca Modelo Núme ro de S erie Caracterís tica s Técnic as Nombre del e quipo Des cripc ión de us o Localida d Bac k up Obs e rvaciones
(P ues to)
1 Je s us Lope z Servidor Archivos INE HP DL380 ZM2324 MEX1INTHSWP1P Procesam iento de datos Datam anagem ent Servidor A rchivos INE
2UA3380TZU
2UA3380TZQ Equipos de cóm puto de DATA
2 413508 Ma rio Bravo Equipos de cómputo de DATA MANAGEMENT HP Z420 Work Sta tion Window s 7 PCS Procesam iento de datos Datam anagem ent 4 Equipos
2UA3380TZN MANAGEMENT
2UA3380TZP
3 413510 Ma rio Bravo RIPEADOR HP Smart Strea m S DL380 P _ Ripe a dor Ripear archivos Indigo RIPEADOR
4 413510 Kevin Ponc e HP INDIGO HP 5600 FL32000412 _ HP indigo Personalizacion de tjs ife Indigo HP INDIGO
5 413511 Rodolfo Jimene z AUTOFEEDS Autofe ed _ _ _ Autofee d Lam inar y troquelar tjs Lam inacion-Tr oquel AUTOFEEDS
6 413512 Da nie l S uare z Müllbue r Mullbue r CI36050 10000075504 _ Mullbue r Revision de tarjeta Müllbuer
7 Je s us Lope z Servidor Adminis tra tivo Servidor A dm inistrativo
MXL4110L3Q,MXL41 Equipos de cóm puto de 12 Equipos (8 de escaneo+4 de
8 413513 Ma rio Bravo Equipos de cómputo de e s c a ne a dora s HP Pro_6305 Window s 7 PCS Escaneo de tjs Produccion
10L3B,MXL4110L3L, escaneadoras reposiciones)
5 Equipos (Juan
Equipos de cóm puto
9 Ma rio Bravo Equipos de cómputo adminis trativos HP 8470P CNU40404C1SN Window s 7 Lap-Top Generacion y cuadre de ordenes Produccion Carlos/Elvira/Alejandro/Juan de
adm inistrativos
Dios/Mario)
MXL335ITK6,MXL33 Equipos de cóm puto
10 Je s us Lope z Equipos de cómputo Adminis tra tivos INE HP Pro_6305 Window s 7 PCS Ingreso de Scrap 3 Equipos
61430,MXL411OL3T Adm inistrativos INE
11 Oma r Lares Sis tema de ctrl de Ac ce s o DELL T3610 HWCMM02 Xe on 8 GB Monitoreo Control de accesos Servicios Sistem a de ctrl de A cceso Corte Ingles
12 Oma r Lares Sis tema de Cá mara s DELL T3611 HWCMM03 Xe on 8 GB Monitoreo Control de cam aras Servicios Sistem a de Cám aras Corte Ingles
13 Oma r Lares Sis tema c ontra inc e ndios DELL T3612 HWCMM04 Xe on 8 GB Monitoreo Control de incendios Servicios Sistem a contra incendios Corte Ingles
14 Oma r Lares Suminis tro de ene rgía e lé ctric a CFE _ Suminis tro CFE _ Suminis tro Alim entacion Electrica Servicios Sum inistr o de energía eléctrica Corte Ingles
15 Oma r Lares Up´s Eaton _ _ Entra da 3 lin 220V ups Regular Energia Electrica Servicios Up´s
HP Pro_6305 MXL411OL3G Window s 7 PCS Pruebas de Calidad 1 Equipo
Mitutoyo DP-1VR 4C47846 Miniproce s a dor de da tos DP-1-VR Mediciones

Mitutoyo MR-007 293-330 Rango de Me dicion 0-1 " Mic rome tro Medicion de espesores
Mitutoyo ABSOLUTE ID-C112EX CH050-CH051 Gra dua c iones 0.001 mm/0.00005" Ba s e s de anc ho y largo de tja Medicion de tarjetas
Da mian Va z que z Mitutoyo _ GA-017 1.5 mm de Pandeo Dis pos itivo de pande o Pandeo de tarjetas Equipos de m edición y pruebas
16 Equipos de medic ión y prueba s (ca lidad) Laboratorio de Calidad
COMBO SCAN 1135624 8513 Le e r c odigos QR,PDF,128 Combos c a n Verificacion de QR, PDF 128 (calidad) Se contem plan todos los equipos
Longw ave UV UVP900 _ 110 VAC 60HZ 0.3 A 9 Watts Lampara de luz fluore c ente Verificar invisibles existentes
SHIMADZ4 EZ-SX TES T 91851 110V AC Ma quina de a nc la je Verificar anclaje de tarjetas
Muhlba uer SCF-2300 M-3691 110V -230 V 50/60 V Ma quina de Fle xion Pruebas Mecanicas
Muhlba uer SCT-2400 M-1688 0-15 A 110 VAC Ma quina de Tors ion Pruebas Mecanicas
ATM-Gmbh 20021340 929A_01_0004 _ Impa ctometro Prubas de deslam inacion
SOFTWARE
Res pons a ble
ID P ROCES O CC Tipo Marca Nombre Vers ión Des cripción de Us o Cant. Bac k up Obs e rvaciones
(P ues to)
1 413508 Jorge del Va lle LICENCIA DE INSPIRE GMC Ins pire 8.4.70.0 Generar archivos para la indigo 1 LICENCIA DE INSPIRE 4 equipos
2 413508 Jorge del Va lle LICENCIA DE JURA Jura Jura _ Generacion de im ágenes de seguridad. 1 LICENCIA DE JURA 4 equipos
Juan Carlos/A lejandro/Elvira/Juan
3 Jorge Aguila r INTUITIVE ERP Intuitive 8.5 Cuadres 4 INTUITIVE
De Dios
4 Jorge del Va lle SISTEMA DE CONTROL DE LA PRODUCCIÓN _ SCP _ Control de la produccion SISTEMA DE CONTROL DE LA PRODUCCIÓN
40 Usuarios
5 Luis Mora le s EASY MANTAINANCE _ Eas y Ma nta inanc e _ Captura de ordenes de Mantenim iento 1 EA SY MANTA INA NCE Mantenim iento
6 Ca rlos Arizmendi LOTUS _ Lotus Note s 8.5 Envio de correos 2 LOTUS Mario/Juan Carlos
Tabla 4. Inventario de Activos

1 IFE-002_014

6.3 Evaluación del Riesgo Residual
Posterior a la aplicación de las diferentes medidas para mitigar los riesgos identificados se realizan los cálculos que
marca el procedimiento para poder saber que tanto disminuyó la criticidad de los diferentes riesgos, a este parámetro
se le conoce como “riesgo residual”, que en nuestro caso es el riesgo que aún queda, posterior a la aplicación de los
diferentes controles que conforman la norma ISO 27001 a los 67 riesgos identificados.
En la siguiente tabla. 5 se muestra cual es el “Riesgo residual ” resultante después de aplicar todas las medidas de
mitigación:

1 IFE-002_014

Impacto Posibilidad
Riesgo Medidas Grado Red. Grado Red. Impacto Posibilidad Riesgo
Nº Amenaza Consecuencia Peligro Identificado Total Inicial
Inicial Impacto* Posibilidad residual Residual Residual
Anular Mitigar Tranferir Asumir
RIESGOS GENERALES
1
Falta de mantenimiento en los equipos de producción. Indisponibilidad de los servicios Fallos en equipos 4 50% 2.00 x 80% 90% 0.80 5% 0.04
2 Descuido del cableado eléctrico, falta de

acondicionamiento de la central eléctrica y pobre Indisponibilidad de los servicios Corte de suministro eléctrico 4 30% 1.20 x 80% 90% 0.80 3% 0.02
aislamiento
3
Administración de los equipos por personal no Interrupción del procesamiento de datos y/o
Errores y fallos no intencionados 3 10% 0.30 x 50% 90% 1.50 1% 0.02
especializado pérdida de los datos
4
Destrucción no intencionada de la
Falta de capacitación en el manejo de la información Pérdidas de información 4 30% 1.20 x 80% 80% 0.80 6% 0.05
información
5 Exposición de los equipos a terceros o personal no Robo de información de tipo

Pérdida de confianza con el cliente, pérdida
industrial o datos de terceros, 4 30% 1.20 x 80% 90% 0.80 3% 0.02
autorizado de información, retraso en el proceso
desconfiguración de equipos o
6 Falta de segregación adecuada entre cableado eléctrico y Pérdidas de información o errores
Contamintación electromagnética 2 30% 0.60 x 80% 90% 0.40 3% 0.01
de datos inesperados en el equipo de cómputo
7
Resultados erroneos respecto a los valores Funcioamiento incorrecto de los
Errores de configuración / parametrización componentes 2 30% 0.60 x 80% 80% 0.40 6% 0.02
esperados equipos
8 Falta de un programa adecuado de actualizaciones, Pérdida de información o interrupción de

Fallos en programas 2 50% 1.00 x 60% 90% 0.80 5% 0.04
parches y antivirus de las aplicaciones servicios en el procesamiento de datos
9 Imposibilidad de recibir la información a
Estrategia inadecuada en la implementación de los
procesar, imposibilidad de alimentar el Corte de líneas de comunicación 8 30% 2.40 x 80% 80% 1.60 6% 0.10
enlaces
ERP
10 Indisponibilidad de los servicios, Pérdida
Manipulación deliberada de la configuración Sabotaje interno 4 50% 2.00 x 20% 80% 3.20 10% 0.32
de confianza, pérdida de información
11 Huelgas, Paros, etc. Paro en la producción. Acceso a instalaciones bloqueado 14 30% 4.20 x 40% 80% 8.40 6% 0.50
12 Fallos en los equipos de producción
Falta de equipo de aire acondicionado de los sistemas Mala calidad y retrasos en la producción. 4 50% 2.00 x 70% 70% 1.20 15% 0.18
y TI
13
Existencia de material inflamable en oficinas aledañas Daños materiales y/o recursos humanos Fuego en oficinas y lugares cercanos 4 30% 1.20 x 70% 50% 1.20 15% 0.18
14 Difusión no intencionada de software dañino Pérdidas de información Virus 5 50% 2.50 x 80% 90% 1.00 5% 0.05
15
.- Degradación imagen propia y de cliente
Robo Ataque deliberado 5 50% 2.50 x 50% 80% 2.50 10% 0.25
.- Incumplimientos contractuales
16 Extorsión Robo de información y/o de CPV's Ataque deliberado 5 30% 1.50 x 50% 70% 2.50 9% 0.23
17 Problemas de calidad, pérdida de
Monitoreo inadecuado Comportamientos inadecuados 3 50% 1.50 x 70% 70% 0.90 15% 0.14
información, fallas en el proceso.
18 Enfermedades Retrasos en la producción. Faltas de personal 3 50% 1.50 x 80% 30% 0.60 35% 0.21
19
Problemas de CFE Paro en la producción. Corte de suministro eléctrico central 7 30% 2.10 x 90% 90% 0.70 3% 0.02
20 Posibles cortocircuitos, equipos

Inundación y/o filtraciones de agua
Lluvias torrenciales quemados, incendios, inhabilitación de 4 50% 2.00 x 70% 80% 1.20 10% 0.12
en las instalaciones
21
equipos de producción. Versión: Fecha: No. Documento Hoja 46 de 53
1 IFE-002_014
14 30% 4.20 x 70% 50% 4.20 15% 0.63
22
6 30% 1.80 x 20% 80% 4.80 6% 0.29
23
5 50% 2.50 x 50% 50% 2.50 25% 0.63

20 Posibles cortocircuitos, equipos
Inundación y/o filtraciones de agua
Lluvias torrenciales quemados, incendios, inhabilitación de 4 50% 2.00 x 70% 80% 1.20 10% 0.12
en las instalaciones
21
Daños estructurales, pánico,
Terremotos Paro o retraso en la producción. 14 30% 4.20 x 70% 50% 4.20 15% 0.63
accidentes y/o pérdidas humanas.
22 datos de personalización
Sabotaje de la información 6 30% 1.80 x 20% 80% 4.80 6% 0.29
Generación incorrecta de la CPV. modificados
23 Falsificación de documentos, fuga de Transferencia de información
Revelación de información conocimiento y datos personales en manos confidencial (secreto industrial) a 5 50% 2.50 x 50% 50% 2.50 25% 0.63
de terceros. terceras partes
24 Reprocesos los cuales implican retrasos
Pérdida de información que no
Destrucción de información en los procesos productivos, e 4 50% 2.00 x 40% 80% 2.40 10% 0.24
estaba destinada a ser destruida
25 Retrasos en la producción ,
Falta de materia prima, servicio
Interrupción de otros servicios o suministros esenciales incumplimientos de SLA´s, problemas de 8 50% 4 x 30% 80% 5.60 10% 0.56
logísticos, serviios de limpieza, etc.
calidad.
26 Que salga de las instalaciones del CPC, Generación de tarjetas muestra con
Generación de credenciales de Muestra Esto puede ocasionar demandas y daño información real y que esta salga de 4 30% 1.2 x 40% 90% 2.40 3% 0.07
político al Instituto, pérdidas monetarias. las instalaciones del CPC.
27 Fuga de información la cual sirva
Daño en la imagen de la empresa y en la
para la publicación de notas
Medios externos (PRENSA) imagen del Instituto además de que la 4 50% 2 x 70% 70% 1.20 15% 0.18
periodísticas las cuales pongan en
operación se puede ver afectada.
juego la reputación del proyecto.
28 Imposibilidad de operar en el CPC primario
Afectación en vías de acceso a la
Terrorismo en la zona lo cual implica tener retrasos en las 8 30% 2.4 x 80% 70% 1.60 9% 0.14
zona.
entregas.
29 Paro en las plantas de fabricación de
Desabasto en plantas de fabricación de proveedores de Paro en la producción despues de tres
TESLIN y/o OVD por algún desastre 9 10% 0.9 x 70% 70% 2.70 3% 0.08
material sensible meses
natural.
Embarazos Faltas de personal 3 50% 1.5 x 90% 0% 0.30 50% 0.15
producción
31
Retraso en alguna parte del proceso de Riesgo de que el personal sufra
Plaga 2 50% 1 x 80% 80% 0.40 10% 0.04
producción algún problema de salud
Riesgo de que el personal sufra
Fuga de gase tóxicos producción, o paro en la producción 4 30% 1.2 x 70% 80% 1.20 6% 0.07
algún problema de salud
completa.
RIESGOS DEL PROCESO DE PRODUCCIÓN
33 Paro de personalizacon por falta de
Falta de material preimpreso Falta de material para procesar 9 50% 4.5 x 0% 80% 9.00 10% 0.90
material
Paro en el proceso de preimpresión por Falta de surtimiento de material
34
Falta de surtimiento de Teslin falta de material, debido a esto, el proceso teslín a la planta de GyD por parte del 9 30% 2.7 x 0% 80% 9.00 6% 0.54
de personalización para, por lo que se proveedor PPG.
35 Paro en el proceso de laminación, por lo Falta de surtimiento de material OVD
Falta de Surtimiento de transkote OVD que se genera incumplimiento de SLA´s, lo a la planta de GyD por parte del 9 30% 2.7 x 0% 80% 9.00 6% 0.54
cual implica incurrir en penalizaciones. proveedor.
36 Paro de algún paso en el proceso de Falta de surtimiento de consumibles
personalización, por lo que se genera necesarios para operar los equipos
Falta de surtimiento de consumibles de los equipos 9 30% 2.7 x 0% 80% 9.00 6% 0.54
incumplimiento de SLA´s, lo cual implica de producción por parte del
incurrir en penalizaciones. proveedor.
37
Paro en alguna parte del proceso, lo cual
puede generar incumplimiento de SLA´s, lo
falta de operador en alguna parte del
Renuncia de colaboradores cual implica incurrir en penalizaciones, 4 50% 2 x 80% 70% 0.80 15% 0.12
proceso.
adicionalmente se pueden generar
problemas de calidad.
38
Paro en el proceso de empaque, lo cual
puede generar incumplimiento de SLA´s, lo Imposibilidad para cerrar órdenes de
Extravío de CPV cual implica incurrir en penalizaciones. trabajo debido al extravío de alguna 5 50% 2.5 x 50% 80% 2.50 10% 0.25
Afectación en la imagen del Instituto y de la CPV.
empresa.
1 IFE-002_014
39
5 50% 2.5 x 0% 80% 5.00 10% 0.50


38
Paro en el proceso de empaque, lo cual
puede generar incumplimiento de SLA´s, lo Imposibilidad para cerrar órdenes de
Extravío de CPV cual implica incurrir en penalizaciones. trabajo debido al extravío de alguna 5 50% 2.5 x 50% 80% 2.50 10% 0.25
Afectación en la imagen del Instituto y de la CPV.
empresa.
39 El producto rechazado directamente es

SCRAP lo cual implica impacto económico Rechazo de material terminado
Mala calidad del producto en los resultados del proyecto debido a la mala calidad del 5 50% 2.5 x 0% 80% 5.00 10% 0.50
producto.
Paro en el proceso de empaque (cierre de
40
Paro en el proceso de empaque (cierre de
órdenes), lo cual puede generar Liberación de producto tardía por
Problemas en la operación del área de calidad INE 4 50% 2 x 70% 40% 1.20 30% 0.36
incumplimiento de SLA´s, lo cual implica parte del area de calidad INE.
41
Reraso o paro de producción en el site

Falta de archivos para arrancar el
Principal, por lo que se genera
Retraso en la llegada de archivos por parte de CECYRD procesamiento de datos 7 70% 4.9 x 70% 0% 2.10 70% 1.47
oportunamente.
42
Incumplimiento de SLA´s, lo cual implica Afectación en los tiempos de

Falla Rippeador 8 30% 2.4 x 50% 80% 4.00 6% 0.24
incurrir en penalizaciones. procesamiento de datos.
43
Paro en el proceso de personalización
afectando gravemente el proceso de
Falla de HP Indigo producción, lo cual puede generar Imposibilidad de personalización. 5 30% 1.5 x 70% 80% 1.50 6% 0.09
44
Paro en el proceso de laminado y
troquelado, lo cual puede generar Imposibilidad para laminar y
Falla de Autofeeds 5 30% 1.5 x 70% 80% 1.50 6% 0.09
incumplimiento de SLA´s, lo cual implica troquelar.
45
Paro en el proceso de verificación, lo cual

Falla Mülbahuer puede generar problemas de calidad no Afectación al proceso de verificación 4 30% 1.2 x 70% 80% 1.20 6% 0.07
detectados..
46
1 IFE-002_014
5 30% 1.5 x 70% 80% 1.50 6% 0.09


45
Paro en el proceso de verificación, lo cual

Falla Mülbahuer puede generar problemas de calidad no Afectación al proceso de verificación 4 30% 1.2 x 70% 80% 1.20 6% 0.07
detectados..
46
Paro de producción en el site Principal, por

Falla en el cuarto Afectación a los diferentes procesos
lo que se genera incumplimiento de SLA´s, 5 30% 1.5 x 70% 80% 1.50 6% 0.09
de máquinas de producción.
lo cual implica incurrir en penalizaciones.
RIESGOS ESPECÍFICOS DE TI
47
Problemas para desencriptar archivos de datos variables Imposibilidad para desencriptar

Paro del proceso de producción 4 10% 0.4 x 40% 80% 2.40 2% 0.05
para proceso de personalización archivos de entrada
48
Validación incorrecta de datos variables contra archivos de

Paro del proceso de producción Archivos incompletos 5 30% 1.5 x 40% 80% 3.00 6% 0.18
foto, firma y huella
49
Problemas de proceso con SCP

Sortear y ordenar incorrectamente la información para
Entrega incorrecta de credenciales (Sistema de Control de la 4 10% 0.4 x 40% 80% 2.40 2% 0.05
personalizar credenciales.
Produccion)
50
Retraso en la entrega de credenciales por Ralentización del proceso de

Generación inadecuada de ordenes de trabajo en ERP 4 30% 1.2 x 40% 80% 2.40 6% 0.14
falta de orden de trrabajo y materiales producción
51
Proceso fallido de inserción de datos para estadistica y Imposibilidad para poder realizar la entrega Base de datos sin información del
3 10% 0.3 x 40% 80% 1.80 2% 0.04
reportes del producto lote en cuestión.
52
Aplicación incorrecta de elementos de seguridad JURA (IPI Rechazo por parte del INE, lo cual genera
Generación de CPV´s incorrectas 5 30% 1.5 x 40% 80% 3.00 6% 0.18
y LS) Scrap y Reprocesos.
53
Paro del proceso de personalización de No poder generar archivos PS para
Falla en el proceso de "Inspire" 8 30% 2.4 x 40% 80% 4.80 6% 0.29
credenciales impresión en equipo HP Indigo
54 Fallas al generar y enviar archivos de salida para el INE Queja del cliente por no recibir los archivos Sistemas y controles del cliente
(Proceso y calidad) de salida en tiempo desactualizados
3 Versión:
30% 0.9 Fecha:
x No.40%
Documento
80%
Hoja 496%de 53
1.80 0.11
55
1 IFE-002_014
56
4 30% 1.2 x 40% 90% 2.40 3% 0.07
57
4 30% 1.2 x 70% 80% 1.20 6% 0.07

54 Fallas al generar y enviar archivos de salida para el INE Queja del cliente por no recibir los archivos Sistemas y controles del cliente
3 30% 0.9 x 40% 80% 1.80 6% 0.11
(Proceso y calidad) de salida en tiempo desactualizados
55 Ralentización en el proceso de empaque y
Falla al generar archivo para reposiciones imposibilidad para cierre de órdenes. Órdenes incompletas 3 30% 0.9 x 40% 80% 1.80 6% 0.11
56 Tener información confidencial

Borrar archivos de entrada y proceso de forma segura Mal uso de la información. 4 30% 1.2 x 40% 90% 2.40 3% 0.07
disponible
57 Retraso en la entrega y posible No poder correr las aplicaciones de
Falla del Server de Proceso (Inspire) y base de datos 4 30% 1.2 x 70% 80% 1.20 6% 0.07
penalización si rebasa el SLA proceso de datos
58
Problema para generar ordenes de trabajo
Falla del Server de Intuitive (ERP) No poder accesar al sistema Intuitive 4 30% 1.2 x 40% 50% 2.40 15% 0.36
y movimientos de almacen
59
Problema para accesar a la red de No tener acceso a los recursos de la
Falla del Server de AD y IT Tools (Virtual) 4 30% 1.2 x 70% 80% 1.20 6% 0.07
producción red de TI
60
Problema para recuperar información en No contar con respaldos
Falla del Server de Respaldos 3 30% 0.9 x 50% 80% 1.50 6% 0.09
caso de requerirse actualizados
61
Ralentización del proceso de Proceso de No poder llevar a cabo tareas en esa
Falla de PCs/ Laptops 4 50% 2 x 70% 80% 1.20 10% 0.12
datos y empaque estación de trabajo
62
Paro en el proceso de Proceso de datos y
Falla de Switches No acceso a la red 7 50% 3.5 x 70% 80% 2.10 10% 0.21
empaque
63 Falta de redundancia en el
Daños en los equipos de TI y producción
Falla en UPS suministro eléctrico y red eléctrica 3 30% 0.9 x 70% 80% 0.90 6% 0.05
por mala calidad del suministro eléctrico.
desprotejida.
64
No se poder generar reportes
Falla en impresoras Ralentización del proceso de em paque 3 50% 1.5 x 70% 80% 0.90 10% 0.09
requeridos por el proceso
65
No poder escanear sobres, bolsas y
Falla en Scanners Ralentización del proceso de em paque 3 50% 1.5 x 70% 80% 0.90 10% 0.09
cajas
66
No poder agregar los elementos
Falta de Dongles Ralentización del proceso de datos 9 10% 0.9 x 40% 70% 5.40 3% 0.16
seguros con IPI y LS
67
Existencia de información sensible
Irresponsabilidad de Operador Data Mgt incumplimiento de contrato. 4 30% 1.2 60% 90% 1.60 3% 0.05
después de 48 horas a la entrega

1 IFE-002_014

Con los datos anteriores se obtiene las siguientes gráficas, En la gráfica 3 podemos observar cuales son los riesgos
que después de la aplicación de las medidas de mitigación aún tienen posibilidad de ocurrencia, son los que se
encuentran por encima de la línea decisorias.
100% Riesgos Residuales

90%
80%
70%
60%
Embarazos
50%
Posibilidad
40%
30%
Existencia de material in-

20% flamable
Medios en oficinas
Falta deexternos
equipo de aire
aledañas
(PRENSA)
acondicionado
Destrucción de los Terremotos
de infor- sis-
Monitoreo
Errores
Falta de
Lluvias inadecuado
Terrorismo
Estrategia inadecuada
en laenzona en
de torrenciales
configu-
capacitación
10% Difusión
Exposición mación
no detemas
intencionada
los equipos Interrupción de otros
Descuido
Falta
el la
ración
manejo del
/ lacableado
deimplementación
Desabasto
segregación
de infor- en deplantas
los de
Falta
a de de un programa
software
terceros o Generación
dañino
personal no deSabotaje
cre- de olasuministros
servicios infor-
eléctrico,
parametrización
adecuada entre
mación falta
enlaces
com- de
fabricación
cableado de provee-
mación
adecuado de actualiza-
denciales de
autorizado Muestra esenciales
Administración
acondicionamiento
ponentes
eléctrico y de dores
datos dede
de la los
material sen-
0% ciones, parches ypor
an-
centralequipos
eléctrica personal
y pobresibleno
0tivirus de las aplicaciones
2aislamiento
especializado4 6 8 10 12 14
Impacto Total
Grafica 3. Ubicación de los Riesgos Residuales.
En la siguiente gráfica 4 (de tipo radial) podemos identificar también los riesgos que después de aplicadas las
medidas de mitigación tienencon mayor posibilidad de ocurrencia y de mayor impacto para la operación del CPC,

1 IFE-002_014

tomar en cuenta que la escala ha bajado considerablemente ahora va de 0 a 1.5 cuando la gráfica de Riesgo Inicial,
la escala era de 0 a 5.
RIESGO RESIDUAL
(Después de las medidas adoptadas)
6566 67 1 2 3 4 5
6364 6
62 2.000 7
61 8
60 9
59 10
58 11
57 12
56 13
55 1.000 14
54 15 RIESGO RESIDUAL
(Después de las medidas adop-
53 16 tadas)
52 17
51 0.000 18
50 19
49 20
48 21
47 22
46 23
45 24
44 25
43 26
42 27
41 28
4039 3029
383736
35 34 333231
Grafica 4. Identificación de riesgos Residuales críticos
7. REGISTROS
N/A
8. REFERENCIAS

1 IFE-002_014

NOMBRE CÓDIGO
Sistemas de gestión de la calidad — Requisitos ISO 27001
SOA ISO 27001 N/A
9. ANEXOS
N/A
10. CÉDULA DE CONFORMIDAD
Área Rol Nombre Firma
Subdirector de
INE Manuel Olán
Productos Electorales
Director de Productos y
INE Alejandro Sosa
Servicios Electorales

1 IFE-002_014

IFE-002 - 014 SGSI-Analisis de Riesgos

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

IFE-002 - 014 SGSI-Analisis de Riesgos

Cargado por

Copyright:

Formatos disponibles

ANÁLISIS DE RIESGOS

Tipo de documento: Procedimiento

Elaboró Revisó Revisó

Versión: Fecha: No. Documento Hoja 1 de 53

Tipo de documento: Procedimiento

IECISA Informática El Corte Inglés

4. DESCRIPCIÓN DEL PROCEDIMIENTO

4.1 Objetivos del procedimiento

Versión: Fecha: No. Documento Hoja 2 de 53

Tipo de documento: Procedimiento

4.2 Diagrama del Procedimiento

Versión: Fecha: No. Documento Hoja 3 de 53

Tipo de documento: Procedimiento

5. INSTRUCCIONES DEL PROCEDIMIENTO

- Para la asignación de Impactos se tienen las siguientes tablas

Versión: Fecha: No. Documento Hoja 4 de 53

Tipo de documento: Procedimiento

Tipo de documento: Procedimiento

En un espíritu de continuar en el espiral ascendente en la seguridad de la información, se continuarán

6.1 Identificación de amenazas y evaluación de impactos (horizontal y Vertical)

Lo anterior se describe en la siguiente tabla:

Versión: Fecha: No. Documento Hoja 6 de 53

Tipo de documento: Procedimiento

Versión: Fecha: No. Documento Hoja 7 de 53

Tipo de documento: Procedimiento

Versión: Fecha: No. Documento Hoja 8 de 53

Tipo de documento: Procedimiento

Versión: Fecha: No. Documento Hoja 9 de 53

Tipo de documento: Procedimiento

Versión: Fecha: No. Documento Hoja 10 de 53

Tipo de documento: Procedimiento

Versión: Fecha: No. Documento Hoja 11 de 53

Tipo de documento: Procedimiento

Tabla 1: Amenazas y evaluación de impactos

Versión: Fecha: No. Documento Hoja 12 de 53

Riesgo = Impacto x Posibilidad

Los resultados se muestran en la siguiente tabla 2:

Versión: Fecha: No. Documento Hoja 13 de 53

Tipo de documento: Procedimiento

Versión: Fecha: No. Documento Hoja 14 de 53

Tipo de documento: Procedimiento

Versión: Fecha: No. Documento Hoja 15 de 53

Tipo de documento: Procedimiento

Versión: Fecha: No. Documento Hoja 16 de 53

Tipo de documento: Procedimiento

Tabla 2: Análisis de Riesgo

Versión: Fecha: No. Documento Hoja 17 de 53

Tipo de documento: Procedimiento

Grafica 1. Ubicación de los riesgos.

Versión: Fecha: No. Documento Hoja 18 de 53

Tipo de documento: Procedimiento

Grafica 2. Identificación de riesgos críticos

6.2 Aplicabilidad de los controles de la norma 27001 a los riesgos identificados

Versión: Fecha: No. Documento Hoja 19 de 53

Tipo de documento: Procedimiento

Nº Amenaza Consecuencia Tipo peligro Identificado ID Control Control

6.1.3 Asignación de responsabilidades de la Seguridad de Información

Proceso de Autorización para los medios de procesamiento de

Entrenamiento, educación y conocimiento en materia de seguridad

Versión: Fecha: No. Documento Hoja 20 de 53

Tipo de documento: Procedimiento

11.2.3 Administración de Contraseñas de Usuario.