OBJETIVO

ALCANCE
Nombre de la Empresa:
Actividad Comercial
CONTEXTO LEGAL
ENFOQUE METODOLOGICO

TRATAMIENTO

Grupo de Trabajo que da

desarrollo a la matriz
Evaluar el nivel de riesgo de los activos informáticos de la empresa Siste Maret mediante el uso de una metodología de
análisis de riesgos para determinar el estado actual de la ciberseguridad
Catalogación y Gestión de Activos de la empresa Siste Market, que actúan en todo el departamento del Huila
SISTE MARKET
servicios de logística a empresas del sector
NTC ISO/IEC 27001 - NTC ISO/IEC 27005 - NTC ISO/IEC 31000
El enfoque de gestión de riesgos a aplicar está basado en la metodología MAGERIT
Se tratarán los riesgos cuyos niveles sean:
[INDIQUE EL NIVEL A TRATAR]

6 a 15 MODERADO (M)
Se aceptarán los riesgos cuyo resultado después de la valoración de riesgos sean:
MODERADO
Niveles de aceptación del riesgo (1 a 5 aceptable (A), 6 a 15 moderado (M), 16 a 26 inaceptable(I))
Una vez aplicados los controles se acepta un riesgo de residual en niveles APRECIABLE o IMPORTANTE
Criticidad residual (1 a 4 despreciable (d), 5 a 9 baja (B), 10 a 15 apreciable (a), 16 a 20 importante (i), 21 a 25 crítico(C))

Arnol Arturo Tenorio Caicedo

Wilson Ferney Pardo Rico
Imirida Mora Niño
Jhon Netzer Suarez Pabon
Color Selecionado
Verde
Azul
Rojo
Café
 Metodología Hoja Informativa

MATRIZ DE INVENTARIO, CLASIFICACIÓN Y RIESGO DE ACTIVOS DE INFORMACIÓN

SISTE MARKET

METODOLOGÍA PARA LA VALORACIÓN DEL RIESGO EN LOS ACTIVOS DE INFORMACIÓN

PROBABILIDAD DEL RIESGO IMPACTO DEL RIESGO VALORACIÓN DEL RIESGO

Nomenclatura Categoría Valoración Nomenclatura Categoría Valoración MA

MA Prácticamente seguro 5 MA Muy Alto 5 A

IMPACTO
A Probable 4 A Alto 4 M
Probabilidad

Impacto

M Posible 3 M Medio 3 B

B Poco probable 2 B Bajo 2 MB

 Imp
Proba
MB muy raro 1 MB Muy Bajo 1 RIESGO MB B M

PROBABILIDAD
Informativa

FORMACIÓN

CIÓN

O VALORACIÓN DEL RIESGO

Nomenclatura Categoría Valoración

MA Critico 21 a 25

A Importante 16 a 20
Valoracion del riesgo

M Apreciable 10 a 15

B Bajo 5a9
 Valoracio
A MA MB Despreciable 1a4

ROBABILIDAD
 Resumen Ejecutivo La información se genera de forma Automatica

MATRIZ DE INVENTARIO, CLASIFICACIÓN Y RIESGO DE ACTIVOS DE INFORMACIÓN

SISTE MARKET

RESUMEN EJECUTIVO

Clasificación general y Número de activos Clasificación de activos según su valor

Riesgos Activos
Tipo de activo Cantidad
Número de activos de clientes o terceros
Tipo Dato 0 que deben protegerse 9
Tipo Claves Criptograficas 0
Tipo Servicio 0 Activos de información que deben ser
Tipo Software 3 restringidos a un número limitado de 8
empleados
Tipo Hardware 6
Tipo Comunicaciones 0 Número de activos de información que
Tipo Soporte de Información 0 deben ser restringidos a personas 9
externas Extremo
Tipo Equipamento Auxiliar 0 Alto
Tipo Instalaciones 0 Medio
Activos de información que pueden ser
alterados o comprometidos para fraudes 9 Bajo
Tipo Personal 0
o corrupción
Total de Activos 9
Número de activos de información que
son muy críticos para las operaciones 9
internas
Clasificación según impacto a la seguridad
 Bajo

Número de activos de información que

Leve 3 son muy críticos para el servicio hacia 9
terceros
Importante 4
Grave 2

Resumen de nivel de riesgo en los activos Ubicación

Extremo 1 Fisica 5
Alto 1 Electrónica 4
Medio 3
Bajo 3
 Resumen de Valoración de los activos en escala C.C Eficiente

Nombre Riesgo Confidencialidad Integridad Disponibilidad Valor

Linux Server EXTREMO 9 9 6 8
Servidor telnet MEDIO 3 3 9 5
Aplicación Interna para la gestiones diarias MEDIO 9 3 3 5
PC2 - Equipo de computo para elavoracion de facturas BAJO 3 3 6 4
PC de talento Humano BAJO 3 3 6 4
Router Net Gear ALTO 5 5 9 6
ProSafe MEDIO 6 5 5 5
servidor de correo BAJO 3 3 3 3
Correo Electrónico EXTREMO 9 6 9 8
PETI MEDIO 5 6 3 5
FBackup BAJO 6 3 3 4
Hojas de vida de proveedores BAJO 6 3 3 4
Skype ALTO 6 6 6 6
Microsoft Teams BAJO 5 3 3 4
Sistema de detección de intrusos BAJO 5 3 3 4
Punto de accesso Outdoor BAJO 3 3 3 3
Contenedor Docker v 9.03.15 BAJO 3 3 3 3
NextCloud BAJO 3 5 3 4
Mailwasher Free BAJO 3 3 3 3
GLPI BAJO 3 3 3 3
CRM Joomla BAJO 3 3 3 3
Nombre del procesador: Intel Xeon E-2224 BAJO 3 3 5 4
Equipo sin ingreso al Dominio BAJO 3 3 3 3
Licenciamiento de Antivirus Gratuito con poca protecccio BAJO 3 3 3 3
servidor de copias de seguridad BAJO 3 3 3 3
Servidor de aplicaciones BAJO 3 3 3 3
computador PC2 BAJO 3 3 3 3
equipos de computo BAJO 3 3 3 3
Router Net Gear BAJO 3 3 3 3
Firewall BAJO 3 3 3 3
Access point BAJO 3 3 3 3
Archivo de hojas de vida BAJO 3 3 3 3
servidor Linux BAJO 3 3 3 3
Postfix BAJO 3 3 3 3
Router Proveedor Internet BAJO 3 3 3 3
 Aporte de este resumen. Credito a:
EDUAR HERNAN AGUIRRE
ERIKA LILIANA SILVA TORRES
ROSA MELINA MURILLO
LUZ MARINA AYALA
 MATRIZ DE INVENTARIO; PROBABILIDAD, IMPACTO Y VALORACIÓN

METODOLOGÍA PARA LA VALORACIÓN DEL RIESGO EN LOS A

PROBABILIDAD DEL RIESGO IMPACTO DEL RIESGO

Nomenclatura Categoría Valoración Nomenclatura Categoría Valoración

MA Prácticamente seguro 5 MA Muy Alto 5

A Probable 4 A Alto 4
Probabilidad

Impacto
M Posible 3 M Medio 3

B Poco probable 2 B Bajo 2

MB muy raro 1 MB Muy Bajo 1

Dimensión Autenticidad(B / M /A / MA/ MB)
MPACTO Y VALORACIÓN DEL RIESGO DE ACTIVOS DE INFORMACIÓN

ÓN DEL RIESGO EN LOS ACTIVOS DE INFORMACIÓN MAGERIT

VALORACIÓN DEL RIESGO VALORACIÓN DEL RIESGO

Nomenclatura Categoría Valoración

MA

A MA Critico 21 a 25
IMPACTO

M A Importante 16 a 20

Valoracion del riesgo

B M Apreciable 10 a 15

MB B Bajo 5a9

RIESGO MB B M A MA MB Despreciable 1a4

PROBABILIDAD
Personal y Dependencias
Nombres Dependencia Funciones
Arnol Arturo Tenorio Caicedo Director de TI
Wilson Ferney Pardo Rico Talento Humano
Imirida Mora Niño Nómina
Jhon Netzer Suarez Pabon Tecnico 1
Javier Suarez Cardona Informatica
Gabriela Mendez Gerencia
Ana Madelit Perez Gestion Logistica
Karen Guerrero Area de Operaciones
Jennifer Castro Area de servidores PC1
Claudia Gomez Ardila Facturas PC 2
Edna Devia Area de servidores PC2 Backup
Rafael Bautista Base de datos
Jarby Narvaez Ramos Ventas

Indicar el nombre de los Responsables o dueños del Riesgo, puede ser

el nombre de los miembros del equipo, o nombre ficticios o
dependencias responsables de los activos
 Activos y Valoración Cualitativa
MATRIZ DE LEVANTAMIENTO DE INFORMACION DE ACTIVOS
SEGÚN METODOLOGIA MAGERIT Y NORMA ISO 27001:2013

Empresa: SISTE MARKET Fecha 16/1/2023

INFORMACIÓN DE LOS ACTIVOS
DATOS DEL ACTIVO DE INFORMACION DIMENSION ATRIBUTOS UBICACIÓN

comprometido para fraudes

¿Activo de información que

Activo de información que

Activo de información que

Activo de información que

Activo de información que
¿Es activo de información

debe ser restringido a un

de terceros o de clientes

servicio hacia terceros

es muy crítico para las
que debe protegerse?

debe ser restringido a

es muy crítico para el

operaciones internas
puede ser alterado o
número limitado de

personas externas
Activo de información que en caso de

Confidencilidad

Disponibilidad
Autenticidad

ó corrupción
empleados?
Trazabilidad
ser conocido, utilizado o modificado

Integridad
Proceso propietario por alguna persona o sistema sin la
No. Nombre del activo de información del activo Tipo de Activo debida autorización, impactaría Físico Electrónico
negativamente a los sistemas y/o
procesos de la empresa, de manera:

Leve Importante Grave

1 Linux Server Arnol Arturo Tenorio Caicedo HARDWARE MA B MA MA A SI SI SI SI SI SI X X
2 Servidor telnet Arnol Arturo Tenorio Caicedo HARDWARE B B B B MA SI SI SI SI SI SI X X
3 Aplicación Interna para la gestiones diarias Arnol Arturo Tenorio Caicedo SOFTWARE A B MA B B SI SI SI SI SI SI X X
PC2 - Equipo de computo para elavoracion de Arnol Arturo Tenorio Caicedo HARDWARE
4 facturas B B B B A SI SI SI SI SI SI X X
5 PC de talento Humano Arnol Arturo Tenorio Caicedo HARDWARE B B B B A SI SI SI SI SI SI X X
6 Router Net Gear Arnol Arturo Tenorio Caicedo HARDWARE B B A MA MA SI NO SI SI SI SI X X
7 ProSafe Arnol Arturo Tenorio Caicedo SOFTWARE MA M MA A A SI SI SI SI SI SI X X
8 servidor de correo Arnol Arturo Tenorio Caicedo HARDWARE B M M M MA SI SI SI SI SI SI X X
9 Correo Electrónico Wilson Ferney Pardo Rico SOFTWARE MA A A M M SI SI SI SI SI SI X X
10 PETI Wilson Ferney Pardo Rico DATOS A B B B B NO NO SI NO NO NO X X
11 FBackup Wilson Ferney Pardo Rico SOFTWARE A A MA A MA SI SI SI SI SI SI X X
12 Hojas de vida de proveedores Wilson Ferney Pardo Rico DATOS A M M A B SI NO SI SI SI SI X X
13 Skype Wilson Ferney Pardo Rico COMUNICACIONES A B A B B SI NO SI SI SI SI X X
14 Microsoft Teams Wilson Ferney Pardo Rico COMUNICACIONES A B A B B SI NO SI SI SI SI X X
15 Sistema de detección de intrusos Wilson Ferney Pardo Rico SOFTWARE A A A A A SI SI SI SI SI SI X X
16 Punto de accesso Outdoor Wilson Ferney Pardo Rico COMUNICACIONES B B M B B SI SI SI SI SI SI X X
17 Contenedor Docker v 9.03.15 Imirida Mora Niño SOFTWARE B B M B B SI SI SI SI NO NO X X
18 NextCloud Imirida Mora Niño DATOS B B B B B SI SI SI SI NO NO X X
19 Mailwasher Free Imirida Mora Niño SOFTWARE M B B B B SI NO SI SI SI NO X X
20 GLPI Imirida Mora Niño SOFTWARE B B B M B SI SI SI SI SI NO X X
21 CRM Joomla Imirida Mora Niño SOFTWARE B M B B B SI NO SI SI NO NO X X
22 Nombre del procesador: Intel Xeon E-2224 Imirida Mora Niño HARDWARE B B B B B SI SI SI SI SI SI X X
23 Equipo sin ingreso al Dominio Imirida Mora Niño COMUNICACIONES B B B B B SI SI SI SI SI SI X X
24 Licenciamiento de Antivirus Gratuito con poca Imirida Mora Niño SOFTWARE B B B B M SI SI SI SI NO NO X X
protecccion
25 servidor de copias de seguridad Jhon Netzer Suarez Pabon HARDWARE B B B B B SI SI SI SI NO NO X x
26 Servidor de aplicaciones Jhon Netzer Suarez Pabon HARDWARE B B B B B NO SI Si SI NO NO X X
27 computador PC2 Jhon Netzer Suarez Pabon HARDWARE B B B B B SI SI SI SI SI NO X X
28 equipos de computo Jhon Netzer Suarez Pabon HARDWARE B B B B B SI SI SI SI SI NO X X
29 Router Net Gear Jhon Netzer Suarez Pabon HARDWARE B B B B B SI SI SI SI NO NO X X
30 Firewall Jhon Netzer Suarez Pabon HARDWARE B B B B B SI SI SI SI SI SI X X
31 Access point Jhon Netzer Suarez Pabon HARDWARE B B B B B SI SI SI SI NO NO X X
32 Archivo de hojas de vida Jhon Netzer Suarez Pabon INSTALACIONES B B B B B SI SI SI SI SI NO X X
33 servidor Linux Jhon Netzer Suarez Pabon HARDWARE B B B B B SI SI SI SI SI NO X X
34 Postfix Jhon Netzer Suarez Pabon SERVICIOS B B B B B SI SI SI SI NO NO X X
35 Router Proveedor Internet Jhon Netzer Suarez Pabon HARDWARE B B B B B SI SI SI SI SI SI X x
36 B B B B B
37 B B B B B
38 B B B B B
39 B B B B B
40 B B B B B
41 B B B B B
42 B B B B B
43 B B B B B
44 B B B B B
45 B B B B B
46 B B B B B
47 B B B B B
48 B B B B B
49 B B B B B
50 B B B B B
51 B B B B B
52 B B B B B
53 B B B B B
54 B B B B B
55 B B B B B
56 B B B B B
57 B B B B B
58 B B B B B
59 B B B B B
60 B B B B B
61 B B B B B
62 B B B B B
63 B B B B B
64 B B B B B
65 B B B B B
66 B B B B B
67 B B B B B
68 B B B B B
69 B B B B B
70 B B B B B
71 B B B B B
72 B B B B B
73 B B B B B
74 B B B B B
75 B B B B B
76 B B B B B
77 B B B B B
78 B B B B B
79 B B B B B
80 B B B B B
81 B B B B B
82 B B B B B
83 B B B B B
84 B B B B B
85 B B B B B
86 B B B B B
87 B B B B B
88 B B B B B
89 B B B B B
90 B B B B B
91 B B B B B
92 B B B B B
93 B B B B B
94 B B B B B
95 B B B B B
96 B B B B B
97 B B B B B
98 B B B B B
99 B B B B B
100 B B B B B
 Valoración Cuantitativa La Información se genera de forma automatica
Resumen de Valoración de Riesgos de los Activo
METODOLOGIA DE MAGERIT: VALORACION DEL RIESGO - APROBADA POR EL DIRECTOR.

Nombre Riesgo AUTENTICIDAD TRAZABILIDAD CONFIDENCIALIDAD INTEGRIDAD DISPONIBILI VALOR

1 Linux Server CRITICO 25 9 25 25 20 21 Linux Server 21 21
2 Servidor telnet CRITICO 9 9 9 9 25 12 Servidor telnet 12 12
3 Aplicación Interna para la gestiones diarias APRECIABLE 20 9 25 9 9 14 Aplicación Interna para la gestiones diarias 14 14
4 PC2 - Equipo de computo para elavoracion de facturas APRECIABLE 9 9 9 9 20 11 PC2 - Equipo de computo para elavoracion de facturas 11 11
5 PC de talento Humano APRECIABLE 9 9 9 9 20 11 PC de talento Humano 11 11
6 Router Net Gear IMPORTANTE 9 9 20 25 25 18 Router Net Gear 18 18
7 ProSafe CRITICO 25 15 25 20 20 21 ProSafe 21 21
8 servidor de correo IMPORTANTE 9 15 15 15 25 16 servidor de correo 16 16
9 Correo Electrónico IMPORTANTE 25 20 20 15 15 19 Correo Electrónico 19 19
10 PETI APRECIABLE 20 9 9 9 9 11 PETI 11 11
11 FBackup CRITICO 20 20 25 20 25 22 FBackup 22 22
12 Hojas de vida de proveedores IMPORTANTE 20 15 15 20 9 16 Hojas de vida de proveedores 16 16
13 Skype APRECIABLE 20 9 20 9 9 13 Skype 13 13
14 Microsoft Teams APRECIABLE 20 9 20 9 9 13 Microsoft Teams 13 13
15 Sistema de detección de intrusos IMPORTANTE 20 20 20 20 20 20 Sistema de detección de intrusos 20 20
16 Punto de accesso Outdoor APRECIABLE 9 9 15 9 9 10 Punto de accesso Outdoor 10 10
17 Contenedor Docker v 9.03.15 APRECIABLE 9 9 15 9 9 10 Contenedor Docker v 9.03.15 10 10
18 NextCloud BAJO 9 9 9 9 9 9 NextCloud 9 9
19 Mailwasher Free APRECIABLE 15 9 9 9 9 10 Mailwasher Free 10 10
20 GLPI APRECIABLE 9 9 9 15 9 10 GLPI 10 10
21 CRM Joomla APRECIABLE 9 15 9 9 9 10 CRM Joomla 10 10
22 Nombre del procesador: Intel Xeon E-2224 BAJO 9 9 9 9 9 9 Nombre del procesador: Intel Xeon E-2224 9 9
23 Equipo sin ingreso al Dominio BAJO 9 9 9 9 9 9 Equipo sin ingreso al Dominio 9 9
24 Licenciamiento de Antivirus Gratuito con poca protecccion APRECIABLE 9 9 9 9 15 10 Licenciamiento de Antivirus Gratuito con poca protecccion 10 10
25 servidor de copias de seguridad BAJO 9 9 9 9 9 9 servidor de copias de seguridad 9 9
26 Servidor de aplicaciones BAJO 9 9 9 9 9 9 Servidor de aplicaciones 9 9
27 computador PC2 BAJO 9 9 9 9 9 9 computador PC2 9 9
28 equipos de computo BAJO 9 9 9 9 9 9 equipos de computo 9 9
29 Router Net Gear BAJO 9 9 9 9 9 9 Router Net Gear 9 9
30 Firewall BAJO 9 9 9 9 9 9 Firewall 9 9
31 Access point BAJO 9 9 9 9 9 9 Access point 9 9
32 Archivo de hojas de vida BAJO 9 9 9 9 9 9 Archivo de hojas de vida 9 9
33 servidor Linux BAJO 9 9 9 9 9 9 servidor Linux 9 9
34 Postfix BAJO 9 9 9 9 9 9 Postfix 9 9
35 Router Proveedor Internet BAJO 9 9 9 9 9 9 Router Proveedor Internet 9 9
36 0 BAJO 9 9 9 9 9 9 0 9 9
37 0 BAJO 9 9 9 9 9 9 0 9 9
38 0 BAJO 9 9 9 9 9 9 0 9 9
39 0 BAJO 9 9 9 9 9 9 0 9 9
40 0 BAJO 9 9 9 9 9 9 0 9 9
41 0 BAJO 9 9 9 9 9 9 0 9 9
42 0 BAJO 9 9 9 9 9 9 0 9 9
43 0 BAJO 9 9 9 9 9 9 0 9 9
44 0 BAJO 9 9 9 9 9 9 0 9 9
45 0 BAJO 9 9 9 9 9 9 0 9 9
46 0 BAJO 9 9 9 9 9 9 0 9 9
47 0 BAJO 9 9 9 9 9 9 0 9 9
48 0 BAJO 9 9 9 9 9 9 0 9 9
49 0 BAJO 9 9 9 9 9 9 0 9 9
50 0 BAJO 9 9 9 9 9 9 0 9 9
51 0 BAJO 9 9 9 9 9 9 0 9 9
52 0 BAJO 9 9 9 9 9 9 0 9 9
53 0 BAJO 9 9 9 9 9 9 0 9 9
54 0 BAJO 9 9 9 9 9 9 0 9 9
55 0 BAJO 9 9 9 9 9 9 0 9 9
56 0 BAJO 9 9 9 9 9 9 0 9 9
57 0 BAJO 9 9 9 9 9 9 0 9 9
58 0 BAJO 9 9 9 9 9 9 0 9 9
59 0 BAJO 9 9 9 9 9 9 0 9 9
60 0 BAJO 9 9 9 9 9 9 0 9 9
61 0 BAJO 9 9 9 9 9 9 0 9 9
62 0 BAJO 9 9 9 9 9 9 0 9 9
63 0 BAJO 9 9 9 9 9 9 0 9 9
64 0 BAJO 9 9 9 9 9 9 0 9 9
65 0 BAJO 9 9 9 9 9 9 0 9 9
66 0 BAJO 9 9 9 9 9 9 0 9 9
67 0 BAJO 9 9 9 9 9 9 0 9 9
68 0 BAJO 9 9 9 9 9 9 0 9 9
69 0 BAJO 9 9 9 9 9 9 0 9 9
70 0 BAJO 9 9 9 9 9 9 0 9 9
71 0 BAJO 9 9 9 9 9 9 0 9 9
72 0 BAJO 9 9 9 9 9 9 0 9 9
73 0 BAJO 9 9 9 9 9 9 0 9 9
74 0 BAJO 9 9 9 9 9 9 0 9 9
75 0 BAJO 9 9 9 9 9 9 0 9 9
76 0 BAJO 9 9 9 9 9 9 0 9 9
77 0 BAJO 9 9 9 9 9 9 0 9 9
78 0 BAJO 9 9 9 9 9 9 0 9 9
79 0 BAJO 9 9 9 9 9 9 0 9 9
80 0 BAJO 9 9 9 9 9 9 0 9 9
81 0 BAJO 9 9 9 9 9 9 0 9 9
82 0 BAJO 9 9 9 9 9 9 0 9 9
83 0 BAJO 9 9 9 9 9 9 0 9 9
84 0 BAJO 9 9 9 9 9 9 0 9 9
85 0 BAJO 9 9 9 9 9 9 0 9 9
86 0 BAJO 9 9 9 9 9 9 0 9 9
87 0 BAJO 9 9 9 9 9 9 0 9 9
88 0 BAJO 9 9 9 9 9 9 0 9 9
89 0 BAJO 9 9 9 9 9 9 0 9 9
90 0 BAJO 9 9 9 9 9 9 0 9 9
91 0 BAJO 9 9 9 9 9 9 0 9 9
92 0 BAJO 9 9 9 9 9 9 0 9 9
93 0 BAJO 9 9 9 9 9 9 0 9 9
94 0 BAJO 9 9 9 9 9 9 0 9 9
95 0 BAJO 9 9 9 9 9 9 0 9 9
96 0 BAJO 9 9 9 9 9 9 0 9 9
97 0 BAJO 9 9 9 9 9 9 0 9 9
98 0 BAJO 9 9 9 9 9 9 0 9 9
99 0 BAJO 9 9 9 9 9 9 0 9 9
100 0 BAJO 9 9 9 9 9 9 0 9 9
 VALORACIÓN DEL RIESGO DE LOS

Niveles de aceptación del riesgo

Probabilidad de vulneración

Requerimiento de Negocio
Plan de Tratamiento

Activos de Informacion

Calculo del riesgo neto

Obligación Contractual
Calificación de Gestión

Requerimiento Legal
No. De Amenazas y

Criticidad residual

Analisis de Riesgo
Vulnerabilidades
Indique el control a aplicar a partir de la norma ISO 27001:2013

Riesgo residual
Criticidad neta

Eliminar
Transefi

Aceptar

Mitigar

Exclusión
ACTIVOS
CONTROL
Nombre del activo de Amenazas Si la opción es 2 - 3 o 4 Indique el
información Metodologia Magerit Vulnerabilidades Control aplicado actual DOMINIO OBJETIVO Descripción de la aplicación del control

r
Linux Server usuarios sin privilegios Se dictan capacitaciones pero los
intentando, muchas veces usuarios uno las estan aplicando
1 HARDWARE 21 [A6] Abuso de privilegios de acceso ingresar al servidor. I 5 105 C 2 correctamente, no es efectivo 53 C

Linux Server
acceso indebido a la red de datos se hace revision cada mes, pero no
2 HARDWARE 21 [A26] Ataque destructivo de la empresa I 4 84 C 2 es efectiva 42 C
Por motivos externos resultan A12.6.1 Gestión de las vulnerabilidades técnicas --Control: Se debe obtener oportunamente información
infortiuitos para la empresa y acerca de las vulnerabilidades técnicas de los sistemas de información que se usen; evaluar la exposición Se implentara un procedimiento que
Servidor telnet de la organización a estas vulnerabilidades, y tomar las medidas apropiadas para tratar el riesgo
pasa mucho tiempo sin fluido estableza un cronograma relacionad
3 HARDWARE 12 [I6] Corte del suministro eléctrico electrico I 2 24 C 1 24 C X asociado. conn la actualización del software X
DOMINIO_A12 OBJETIVO_A12_6

Fuertes lluvias a nivel nacional

Servidor telnet afectan estructura tecologica con No esta docuemntado pero existe
[I7] Condiciones inadecuadas de filtraciones de agua que afectan un funcionario con que debe velar
4 HARDWARE 12 temperatura o humedad la infrastructura tecnologica M 2 24 C 3 por la infrastructura tecnologica 8B

Aplicación Interna para la

gestiones diarias acceso indebido a la información Se realiza seguimiento y control
5 HARDWARE 14 [A19] Divulgación de información de la empresa M 2 28 C 2 cada mes, pero no es efectivo 14 A

Aplicación Interna para la

gestiones diarias intrusión a la los sistemas de Se realiza seguimiento y control
6 HARDWARE 14 [E2] Errores del administrador información I 3 42 C 2 cada mes, pero no es efectivo 21 C
existen politicas pero no se verifica
PC2 - Equipo de computo para fata de actualización y politicas su cumplimiento, No se evidencian
elavoracion de facturas [E23] Errores de mantenimiento / de seguridad permiten intrusion fechas indicadas para la ejecución
7 HARDWARE 11 actualización de equipos (hardware) a los sistemas I 3 33 C 2 de estas tareas 17 I
existen politicas pero no se verifica
PC2 - Equipo de computo para su cumplimiento, No se evidencian
elavoracion de facturas fallas tecnicas permitenla fechas indicadas para la ejecución
8 HARDWARE 11 [I5] Avería de origen físico o lógico perdidad de infromación M 2 22 C 2 de estas tareas 11 A

PC de talento Humano
9 HARDWARE 11 [N*] Desastres naturales accidente natural I 2 22 C 1 22 C

PC de talento Humano
intrusion indebida a los sistemas
10 HARDWARE 11 [A26] Ataque destructivo de información. I 3 33 C 1 33 C

Router Net Gear

confidencialidad de la
11 HARDWARE 18 [A7] Uso no previsto información I 2 36 C 2 existe pero no es efectivo 18 I

Router Net Gear

ingreso no autorizado a red de la Se realiza seguimiento y control
12 HARDWARE 18 [A11] Acceso no autorizado empresa M 1 18 I 2 cada mes, pero no es efectivo 9B
existen politicas pero no se verifica
ProSafe su cumplimiento, No se evidencian
fechas indicadas para la ejecución
13 HARDWARE 21 [E1] Errores de los usuarios Abuso de privilegios de acceso M 1 21 C 2 de estas tareas 11 A

ProSafe
Suplantación de la identidad del Se realiza seguimiento y control
14 HARDWARE 21 [E19] Fugas de información usuario M 1 21 C 2 cada tres mes, pero no es efectivo 11 A

servidor de correo
15 HARDWARE 16 [A24] Denegación de servicio carga de trabajo desmesurada. I 1 16 I 1 16 I

servidor de correo
[E24] Caída del sistema por
16 HARDWARE 16 agotamiento de recursos Saturación del sistema I 1 16 I 1 16 I

V Academica:
(1 control no existe, 2 existe pero no efectivo, 3 efectivo pero no documentado, 4 efectivo y
[A5] Suplantación de la identidad Se realiza seguimiento a las documentado)
17 SOFTWARE Correo Electrónico 19 del usuario contraseñas deficientes M 2 38 C 4 contraseñas cada 3 meses 10 B

Se realiza seguimiento a las

18 SOFTWARE Correo Electrónico 19 [E19] Fugas de información Ataque de phishing a usuarios M 3 57 C 4 contraseñas cada mes 14 A

[E15] Alteración accidental de la No uso o mala implementación

19 DATOS PETI 11 información de los procedimientos I 2 22 C 1 22 C

20 DATOS PETI 11 [E1] Errores de los usuarios Disponibilidad de la plataforma I 2 22 C 1 22 C

Acceso físico a copias de Se realizan copias pero no se

21 SOFTWARE FBackup 22 [A11] Acceso no autorizado seguridad. I 2 44 C 3 documentan los accesos fisicos 15 A

Extracción de información a un no se documentan las

22 SOFTWARE FBackup 22 [A6] Abuso de privilegios de acceso disco sin restricción. I 3 66 C 3 restricciones a las copias 22 C

Cofidencialidad de la información
23 DATOS Hojas de vida de proveedores 16 [E19] Fugas de información almacenada. I 3 48 C 1 48 C

Acceso no autorizado a la
24 DATOS Hojas de vida de proveedores 16 [E18] Destrucción de información información I 2 32 C 1 32 C

existen politicas pero no se verifica

25 COMUNICACIONES Skype 13 [E19] Fugas de información Accesos no autorizado M 2 26 C 2 su cumplimiento 13 A

cesiones abiertas en diferentes existen politicas pero no se verifica

26 COMUNICACIONES Skype 13 [A19] Divulgación de información equipos con mismo usuario. M 1 13 A 2 su cumplimiento 7B

[A5] Suplantación de la identidad

27 COMUNICACIONES Microsoft Teams 13 del usuario Contraseñas deficientes I 2 26 C 1 26 C

Varias Cesiones abiertas en

diferentes equipos con mismo
28 COMUNICACIONES Microsoft Teams 13 [E1] Errores de los usuarios usuario. M 1 13 A 1 13 A

[E20] Vulnerabilidades de los Actualizaciones de software no Se realiza seguimiento a las

29 SOFTWARE Sistema de detección de intrusos 20 programas (software) seguros I 3 60 C 4 contraseñas cada mes 15 A

[A5] Suplantación de la identidad Se realiza seguimiento a las

30 SOFTWARE Sistema de detección de intrusos 20 del usuario Contraseñas deficientes I 3 60 C 4 contraseñas cada mes 15 A

Accesos no autorizados a la Se realiza seguimiento a las

31 COMUNICACIONES Punto de accesso Outdoor 10 [E19] Fugas de información información. M 3 30 C 4 contraseñas cada mes 8B

Actualizaciones de software no Se realiza seguimiento a las

32 COMUNICACIONES Punto de accesso Outdoor 10 [A22] Manipulación de programas seguros M 3 30 C 4 contraseñas cada mes 8B

A8.2.2 Etiquetado de la información --Control: Se debe desarrollar e implementar un conjunto adecuado

de procedimientos para el etiquetado de la información, de acuerdo con el esquema de clasificación de
Politicas de seguridad y información adoptado por la organización. Brindar acceso autorizado con control
33 SOFTWARE Contenedor Docker v 9.03.15 9 [A11] Acceso no autorizado Acceso no autorizado a la nube M 3 27 C 2 seguimiento a ellas 14 A DOMINIO_A8 OBJETIVO_A8_2 según perfil del empleado.

A17.1.1 Planificación de la continuidad de la seguridad de la información --Control: La organización debe

determinar sus requisitos para la seguridad de la información y la continuidad de la gestión de la
[E24] Caída del sistema por Saturación del recurso, por carga seguridad de la información en situaciones adversas, por ejemplo, durante una crisis o desastre. Validar la cantidad de informacion que
34 SOFTWARE Contenedor Docker v 9.03.15 9 agotamiento de recursos de informacion M 3 27 C 2 14 A DOMINIO_A17 OBJETIVO_A17_1 se este guardando en su momento.

A12.3.1 Respaldo de la información --Control: Se deben hacer copias de respaldo de la información,

software e imágenes de los sistemas, y ponerlas a prueba regularmente de acuerdo con una política de
[I8] Fallo de servicios de Entre el servidor y la informacion copias de respaldo acordadas. Error en conexión a internet,
35 DATOS NextCloud 10 comunicaciones recibida M 2 20 I 3 7B DOMINIO_A12 OBJETIVO_A12_3 intemitencias en proceso de conexión.

A12.1.1 Procedimientos de operación documentados --Control: Los procedimientos de operación se Capacitacion y concentracion por parte
[E15] Alteración accidental de la Ingreso de datos por deben documentar y poner a disposición de todos los usuarios que los necesitan. del personal en la accion que esten
36 DATOS NextCloud 10 información manipulacion humana erronea A 1 10 B 3 3D DOMINIO_A12 OBJETIVO_A12_1 realizando.

A12.2.1 Controles contra códigos maliciosos --Control: Se deben implementar controles de detección, de
prevención y de recuperación, combinados con la toma de conciencia apropiada de los usuarios, para Realizar un control de la informacion
Por medio de enlaces o spam que proteger contra códigos maliciosos. que llegue, infromar a los empleados de
37 SOFTWARE Mailwasher Free 10 [E8] Difusión de software dañino llegue a los correos. M 3 30 C 4 8B DOMINIO_A12 OBJETIVO_A12_2 no abrir archivos maliciosos.

A12.2.1 Controles contra códigos maliciosos --Control: Se deben implementar controles de detección, de
prevención y de recuperación, combinados con la toma de conciencia apropiada de los usuarios, para Realizar un control de la informacion
Por medio de enlaces o spam que proteger contra códigos maliciosos. que llegue, infromar a los empleados de
38 SOFTWARE Mailwasher Free 10 [E18] Destrucción de información llegue a los correos. M 3 30 C 4 8B DOMINIO_A12 OBJETIVO_A12_2 no abrir archivos maliciosos.

A12.1.2 Gestión de cambios --Control: Se deben controlar los cambios en la organización, en los procesos
de negocio, en las instalaciones y en los sistemas de procesamiento de información que afectan la Generar actualizacion en horas d ela
[E23] Errores de mantenimiento / seguridad de la información. madrugada o das que la empresa no
39 SOFTWARE GLPI 10 actualización de equipos (hardware) Perdida de informacion M 2 20 I 3 7B DOMINIO_A12 OBJETIVO_A12_1 labore.

A9.4.1 Restricción de acceso a la información --Control: El acceso a la información y a las funciones de los
sistemas de las aplicaciones se debe restringir de acuerdo con la política de control de acceso. Brindar acceso autorizado con control
40 SOFTWARE GLPI 10 [A6] Abuso de privilegios de acceso Usuarios con acceso M 2 20 I 3 7B DOMINIO_A9 OBJETIVO_A9_4 según perfil del empleado.

A9.3.1 Uso de información de autenticación secreta --Control: Se debe exigir a los usuarios que cumplan Capacitacion y concentracion por parte
las prácticas de la organización para el uso de información de autenticación secreta. del personal en la accion que esten
41 SOFTWARE CRM Joomla 9 [A23] Manipulación de los equipos Mal manejo de la herramienta M 2 18 I 2 9B DOMINIO_A9 OBJETIVO_A9_3 realizando.

A11.1.2 Controles de acceso físicos --Control: Las áreas seguras deben estar protegidas con controles de Capacitacion y concentracion por parte
[E23] Errores de mantenimiento / Desconfiguracion de la acceso apropiados para asegurar que sólo se permite el acceso a personal autorizado. del personal en la accion que esten
42 SOFTWARE CRM Joomla 9 actualización de equipos (hardware) herramienta M 2 18 I 2 9B DOMINIO_A11 OBJETIVO_A11_1 realizando.

A11.2.4 Mantenimiento de los equipos. --Control: Los equipos se deben mantener correctamente para
Saturacion en el procesamiento asegurar su disponibilidad e integridad continuas. Validar la cantidad de informacion que
43 HARDWARE Nombre del procesador: Intel Xe 9 [I5] Avería de origen físico o lógico del equipo M 2 18 I 3 6B DOMINIO_A11 OBJETIVO_A11_2 se este guardando en su momento.
A15.2.2 Gestión del cambio en los servicios de los proveedores --Control: Se deben gestionar los cambios
en el suministro de servicios por parte de los proveedores, incluido el mantenimiento y las mejoras de las
Daños electricos, sobrecargas, políticas, procedimientos y controles de seguridad de la información existentes, teniendo en cuenta la Mantenimientos preventivos y
44 HARDWARE Nombre del procesador: Intel Xe 9 [I1] Fuego incendios M 2 18 I 4 5B criticidad de la información, sistemas y procesos de negocio involucrados, y la rrevaluación de los riesgos. correctivos cuando se requieran
DOMINIO_A15 OBJETIVO_A15_2

A9.4.2 Procedimiento de ingreso seguro --Control: Cuando lo requiere la política de control de acceso, el
acceso a sistemas y aplicaciones se debe controlar mediante un proceso de ingreso seguro. Generar controles internos y/o politicas
45 COMUNICACIONES Equipo sin ingreso al Dominio 10 [E2] Errores del administrador Falta de politicas de seguridad M 2 20 I 3 7B DOMINIO_A9 OBJETIVO_A9_4 de seguridad

Informacion o archivos A9.4.3 Sistema de gestión de contraseñas --Control: Los sistemas de gestión de contraseñas deben ser
[A15] Modificación deliberada de la importantes pueden ser interactivos y deben asegurar la calidad de las contraseñas. Brindar acceso autorizado con control
46 COMUNICACIONES Equipo sin ingreso al Dominio 10 información modificados M 2 20 I 3 7B DOMINIO_A9 OBJETIVO_A9_4 según perfil del empleado.

A12.2.1 Controles contra códigos maliciosos --Control: Se deben implementar controles de detección, de
prevención y de recuperación, combinados con la toma de conciencia apropiada de los usuarios, para
proteger contra códigos maliciosos.
47 SOFTWARE Licenciamiento de Antivirus Gratu 9 [E25] Pérdida de equipos Por algun virus, malware, ataque M 5 45 C 4 11 A DOMINIO_A12 OBJETIVO_A12_2 Mantener actualizado el antivirus

A12.2.1 Controles contra códigos maliciosos --Control: Se deben implementar controles de detección, de
prevención y de recuperación, combinados con la toma de conciencia apropiada de los usuarios, para
proteger contra códigos maliciosos. Generar scaner del funcionamiento que
48 SOFTWARE Licenciamiento de Antivirus Gratu 9 [A26] Ataque destructivo Por algun virus, malware, ataque M 5 45 C 4 11 A DOMINIO_A12 OBJETIVO_A12_2 esta brindando el antivirus

A12.2.1 Controles contra códigos maliciosos --Control: Se deben implementar controles de detección, de
prevención y de recuperación, combinados con la toma de conciencia apropiada de los usuarios, para No se utiliza en su totalidad en cuanto a
No se utiliza todo su potencial proteger contra códigos maliciosos. las funciones que como servidor
49 HARDWARE servidor de copias de seguridad 9 [A7] Uso no previsto para lo que esta diseñado. A 0D 0D DOMINIO_A12 OBJETIVO_A12_2 provee.

A9.4.1 Restricción de acceso a la información --Control: El acceso a la información y a las funciones de los
sistemas de las aplicaciones se debe restringir de acuerdo con la política de control de acceso. Restringir el acceso a usuarios no
50 HARDWARE servidor de copias de seguridad 9 [A11] Acceso no autorizado acceso a usuarios no autorizados A 0D 0D DOMINIO_A9 OBJETIVO_A9_4 autorizados al servidor

A17.2.1 Disponibilidad de instalaciones de procesamiento de información --Control: Las instalaciones de

procesamientos de información se deben implementar con redundancia suficiente para cumplir los Se debe realizar backup del servidor de
[E24] Caída del sistema por sobrecarga de recursos del requisitos de disponibilidad. aplicaciones como respaldo ante
51 HARDWARE Servidor de aplicaciones 9 agotamiento de recursos equipo A 0D 0D DOMINIO_A17 OBJETIVO_A17_2 cualquier caida del sistema.

A9.4.1 Restricción de acceso a la información --Control: El acceso a la información y a las funciones de los
acceso indebido por usuarios no sistemas de las aplicaciones se debe restringir de acuerdo con la política de control de acceso. Restringir el acceso al srevidor de
52 HARDWARE Servidor de aplicaciones 9 [A23] Manipulación de los equipos autorizados A 0D 0D DOMINIO_A9 OBJETIVO_A9_4 aplicaciones al personal no autorizado.

A9.3.1 Uso de información de autenticación secreta --Control: Se debe exigir a los usuarios que cumplan Realizar el registro de las maquinas con
Equipo sin Dominio con acceso a las prácticas de la organización para el uso de información de autenticación secreta. sus recpectivos usuarios al dominio
53 HARDWARE computador PC2 9 [A11] Acceso no autorizado recursos y datos del sistema A 0D 0D DOMINIO_A9 OBJETIVO_A9_3 designado.

A9.2.2 Suministro de acceso de usuarios --Control: Se debe implementar un proceso de suministro de Cada usuario debera estar reistrado en
acceso formal de usuarios para asignar o revocar los derechos de acceso para todo tipo de usuarios para u dominio activo con los accesos y
Sin ninguna configuracion de todos los sistemas y servicios. restricciones establecidas por el
54 HARDWARE computador PC2 9 [A23] Manipulación de los equipos restriccion de accesos en la red A 0D 0D DOMINIO_A9 OBJETIVO_A9_2 administrador de la red.

Se deben mantener los S.O de los

A12.5.1 Instalación de software en sistemas operativos --Control: Se deben implementar procedimientos equipo de computo de la organización
No tiene licencia de windows pro para controlar la instalación de software en sistemas operativos. actualizados y definidos para las
55 HARDWARE equipos de computo 18 [A6] Abuso de privilegios de acceso para unirlos al Dominio A 0D 0D DOMINIO_A12 OBJETIVO_A12_5 operaciones de trabajo.

A11.2.1 Ubicación y protección de los equipos --Control: Los equipos deben de estar ubicados y NO permitir acceso no autorizado a
protegidos para reducir los riesgos de amenazas y peligros del entorno, y las posibilidades de acceso no personal que corresponde a la
Perdida de equipo fisico por no autorizado. organización ni tampoco salida de
56 HARDWARE equipos de computo 18 [A25] Robo poseer un inventario. A 0D 0D DOMINIO_A11 OBJETIVO_A11_2 equipos de computo.

A9.1.2 Acceso a redes y a servicios en red --Control: Solo se debe permitir acceso de los usuarios a la red Direccionamiento a sgmento de red
Configraciones inapropiadads y a los servicios de red para los que hayan sido autorizados específicamente. como restriccion de usuarios a
57 HARDWARE Router Net Gear 9 [A23] Manipulación de los equipos para dar servicio de internet A 0D 0D DOMINIO_A9 OBJETIVO_A9_1 subredes.

Denegnar accesos a usuario no

A9.1.1 Política de control de acceso --Control: Se debe establecer, documentar y revisar una política de autorizados como permitir acceso a los
Permite el acceso a todas las control de acceso con base en los requisitos del negocio y de la seguridad de la información. que se le designe privilegios y
58 HARDWARE Router Net Gear 9 [A6] Abuso de privilegios de acceso subredes A 0D 0D DOMINIO_A9 OBJETIVO_A9_1 autorizaciones.

A11.2.4 Mantenimiento de los equipos. --Control: Los equipos se deben mantener correctamente para Realizar los mantenimientos
[E23] Errores de mantenimiento / Falla de funcionamiento por falta asegurar su disponibilidad e integridad continuas. preventivos de los equipos de
59 HARDWARE Firewall 9 actualización de equipos (hardware) de mantenimiento A 0D 0D DOMINIO_A11 OBJETIVO_A11_2 comunicaciones de la red.

A13.1.1 Controles de redes --Control: Las redes se deben gestionar y controlar para proteger la Aplicar las configuraciones pertinentes
configuracion inadecuada para información en sistemas y aplicaciones. de acuerdo a la politica de control de
60 HARDWARE Firewall 9 [A6] Abuso de privilegios de acceso usuarios no autorizados A 0D 0D DOMINIO_A13 OBJETIVO_A13_1 usuarios y accesos.

A11.2.1 Ubicación y protección de los equipos --Control: Los equipos deben de estar ubicados y
Habiitado para uso eb protegidos para reducir los riesgos de amenazas y peligros del entorno, y las posibilidades de acceso no Ubicación y restriccion de los equipos
condiciones no aptas dentro de la autorizado. de comunicaciones para servicios de
61 HARDWARE Access point 9 [A7] Uso no previsto red. A 0D 0D DOMINIO_A11 OBJETIVO_A11_2 internet.

Falla de funcionamiento por A11.2.4 Mantenimiento de los equipos. --Control: Los equipos se deben mantener correctamente para Reaizacion de mantenimiento e
[E24] Caída del sistema por carga de usuarios conectados a asegurar su disponibilidad e integridad continuas. actuaizacion de los equipos de acceso
62 HARDWARE Access point 9 agotamiento de recursos internet A 0D 0D DOMINIO_A11 OBJETIVO_A11_2 inalambrico a Internet.

A18.1.3 Protección de registros --Control: Los registros se deben proteger contra perdida, destrucción,
falsificación, acceso no autorizado y liberación no autorizada, de acuerdo con los requisitos legislativos,
permisos de accesos a usuarios de reglamentación, contractuales y de negocio. restringir el acceso a el registro de fisico
63 INSTALACIONES Archivo de hojas de vida 9 [E19] Fugas de información no autorizados A 0D 0D DOMINIO_A18 OBJETIVO_A18_1 de hjas de vida de la organización.

A18.1.4 Privacidad y protección de información de datos personales --Control: Se deben asegurar la Se debe mantener una privacidad y
privacidad y la protección de la información de datos personales, como se exige e la legislación y la confidencialidad de la informacin para
[E18] Destrucción de Daño fisico de archivo de hojas reglamentación pertinentes, cuando sea aplicable. evitar algun hurto o flujo de
64 INSTALACIONES Archivo de hojas de vida 9 información de vide A 0D 0D DOMINIO_A18 OBJETIVO_A18_1 informacion.

[E23] Errores de NO actualizacion de sistema A11.2.4 Mantenimiento de los equipos. --Control: Los equipos se deben mantener correctamente para Realizar la actualizaciones pertinentes al
mantenimiento / actualización operativo y aptualizaciones o asegurar su disponibilidad e integridad continuas. cronograma estipulado por la directiva
65 HARDWARE servidor Linux 9 de equipos (hardware) parches. A 0D 0D DOMINIO_A11 OBJETIVO_A11_2 de TIC.
A13.1.2 Seguridad de los servicios
de red --Control: Se deben identificar los mecanismos de seguridad, los niveles de servicio y los Configurar y administrar los servicios de
requisitos de gestión de todos los servicios de red, e incluirlos en los acuerdos de servicio de red, red contratados de acuerdo a las
66 HARDWARE servidor Linux 9 [A11] Acceso no autorizado acceso a usuarios no autorizados A 0D 0D DOMINIO_A13 OBJETIVO_A13_1
ya sea que los servicios se presten internamente o se contraten externamente. politicas de usuarios .

No aplicar reglas sobre las A13.2.3 Mensajería Electronica --Control: Se debe proteger adecuadamente la información incluida en Se debe configurar la mensajeria de
cuentas de usuario según el rol la mensajería electrónica. acuerdo a los roles y privilegios dados a
67 SERVICIOS Postfix 9 [E2] Errores del administrador asignado. A 0D 0D DOMINIO_A13 OBJETIVO_A13_2 cada usuario.

[I5] Avería de origen físico o corrupcion de memoria por no

68 SERVICIOS Postfix 9 lógico actualizacion de la version A 0D 0D

Se debe mantener un control de acceso

Acceso no autrizado que oermita A9.2.3 Gestión de derechos de acceso privilegiado --Control: Se debe restringir y controlar la asignación y de los usuarios a quienes se le ha
[A6] Abuso de privilegios de elingreso de usuarios uso de derechos de acceso privilegiado otorgado priviliegios potenciales de
69 HARDWARE Router Proveedor Internet 9 acceso potencialmente dañinos, A 0D 0D DOMINIO_A9 OBJETIVO_A9_2 cambio.

A11.2.4 Mantenimiento de los equipos. --Control: Los equipos se deben mantener correctamente para Realziar el mantenimiento periodico de
[I5] Avería de origen físico o Daño fisico por sobre carga y asegurar su disponibilidad e integridad continuas. los equipos de comunicaciones de
70 HARDWARE Router Proveedor Internet 9 lógico recalentamiento del equipo A 0D 0D DOMINIO_A11 OBJETIVO_A11_2 proveedores de servicios de internet.
 APETITO POR EL RIESGO Y ZONAS DE ADMISIBILIDAD

IMPACTO
Insignificante Menor Moderado Mayor

MUY ALTA
, R27, R25,
, R14,
R24,
, R38,
R13
R21,
R37,R20,
R34,R19,
R33,R17,
R32,R11,
R31,R9,
R30,
R8,R29,
R5, R4,
R23,R3R22,
, R2R18, R10, R7, R6

ALTA , R46, R45, R44, R43, R42, R41, R40, R39, R35
IMPACTO

MEDIA

BAJA

MUY BAJA

RIESGO MUY BAJA BAJA MEDIA ALTA

PROBABILIDAD
AD Evaluar riesgo
✘
moderado

Catastrófico

, Riesgo48, Riesgo47, Riesgo1

MUY ALTA
 ✘ Evaluar riesgo
1 moderado

C I A

Insignificante Menor Moderado Mayor Catastrófico Menor Moderado Mayor Catastrófico Menor Moderado Mayor

, Riesgo1
, R2 , Riesgo1
, R3 , R2 , Riesgo1
, R4, R3 , R2 , Riesgo1
, R5, R4, , R2 , Riesgo1
, R5, R4, , R6 , R2 , Riesgo1
, R5, R4, , R7, R6 , R2 , Riesgo1
, R8, R5, , R7, R6 , R2 , Riesgo1
, R9, R8, , R7, R6 , R2 , Riesgo1
, R9, R8, , R10, R7, R6 , R2 , Riesgo1
, R11, R9 , R10, R7, R6 , R2 , Riesgo1
, R11, R9 , R10, R7, R6 , R2 , Riesgo1
, R13 , R11, R9 , R10, R7, R6 , R2 , Riesgo1
, R14, R13 , R11, R9 , R10, R7, R6 , R2 , Riesgo1
, R14, R13 , R11, R9 , R10, R7, R6 , R2 , Riesgo1
, R14, R13 , R11, R9 , R10, R7, R6 , R2 , Riesgo1
, R14, R13 , R17, R1 , R10, R7, R6 , R2 , Riesgo1
, R14, R13 , R17, R1 , R18, R10, R , R2 , Riesgo1
, R14, R13 , R19, R1 , R18, R10, R , R2 , Riesgo1
, R14, R13 , R20, R1 , R18, R10, R , R2 , Riesgo1
, R14, R13 , R21, R2 , R18, R10, R , R2 , Riesgo1
, R14, R13 , R21, R2 , R22, R18, R , R2 , Riesgo1
, R14, R13 , R21, R2 , R23, R22, R , R2 , Riesgo1
, R14, R13 , R24, R2 , R23, R22, R , R2 , Riesgo1
, R14, R13 , R25, R2 , R23, R22, R , R2 , Riesgo1
, R14, R13 , R25, R2 , R23, R22, R , R2 , Riesgo1
, R14, R13 , R27, R2 , R23, R22, R , R2 , Riesgo1
, R14, R13 , R27, R2 , R23, R22, R , R2 , Riesgo1
, R14, R13 , R27, R2 , R29, R23, R , R2 , Riesgo1
, R14, R13 , R27, R2 , R30, R29, R , R2 , Riesgo1
, R14, R13 , R27, R2 , R31, R30, R , R2 , Riesgo1
, R14, R13 , R27, R2 , R32, R31, R , R2 , Riesgo1
, R14, R13 , R27, R2 , R33, R32, R , R2 , Riesgo1
, R14, R13 , R27, R2 , R34, R33, R , R2 , Riesgo1
, R14, R13 , R27, R2 , R34, R33, R , R2 , Riesgo1 , R35
, R14, R13 , R27, R2 , R34, R33, R , R2 , Riesgo1 , R35
, R14, R13 , R27, R2 , R37, R34, R , R2 , Riesgo1 , R35
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo1 , R35
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo1 , R39, R3
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo1 , R40, R3
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo1 , R41, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo1 , R42, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo1 , R43, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo1 , R44, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo1 , R45, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo1 , R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo47, Riesgo1 , R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
, R14, R13 , R27, R2 , R38, R37, R , R2 , Riesgo48, Riesgo47, R46, R4
 IMP
A B
Insignificant
D e
Catastrófico Moderado Mayor Catastrófico Catastrófico

c , R14, R13

IMPACTO
a

RIESGO 1

PROBA
Valor que nutre la matriz
 IMPACTO
Menor Moderado Mayor Catastrófico

R24,
38, R37,
R21,R34,
R20,R33,
R19,R32,
R17,R31,
R11,R30,
R9, R8,
R29,R5,
R23,
R4,
,,R22,
R2
Riesgo48,
R3 R18, R10,
Riesgo47,
R7, R6Riesgo1

, R45, R44, R43, R42, R41, R40, R39, R35

2 3 4 5

PROBABILIDAD
 TIPO AMENAZA AMENAZA T1 T2 T3 T4
[N] Desastres naturales [N1] Fuego HW MEDIA AUX L
[N] Desastres naturales [N2] Daños por agua HW MEDIA AUX L
[N] Desastres naturales [N*] Desastres naturales HW MEDIA AUX L
[I] De origen industrial [I1] Fuego HW MEDIA AUX L
[I] De origen industrial [I2] Daños por agua HW MEDIA AUX L
[I] De origen industrial [I*] Desastres industriales HW MEDIA AUX L
[I] De origen industrial [I3] Contaminación mecánica HW MEDIA AUX
[I] De origen industrial [I4] Contaminación electromagnética HW MEDIA AUX
[I] De origen industrial [I5] Avería de origen físico o lógico HW MEDIA AUX
[I] De origen industrial [I6] Corte del suministro eléctrico HW MEDIA AUX
[I] De origen industrial [I7] Condiciones inadecuadas de temperatura o humedad HW MEDIA AUX
[I] De origen industrial [I8] Fallo de servicios de comunicaciones
[I] De origen industrial [I9] Interrupción de otros servicios y suministros esenciales AUX
[I] De origen industrial [I10] Degradación de los soportes de almacenamiento de la información MEDIA
[I] De origen industrial [I11] Emanaciones electromagnéticas HW MEDIA AUX L
[E] Errores y fallos no intencionados [E1] Errores de los usuarios MEDIA
[E] Errores y fallos no intencionados [E2] Errores del administrador HW MEDIA
[E] Errores y fallos no intencionados [E3] Errores de monitorización (log)
[E] Errores y fallos no intencionados [E4] Errores de configuración
[E] Errores y fallos no intencionados [E7] Deficiencias en la organización
[E] Errores y fallos no intencionados [E8] Difusión de software dañino
[E] Errores y fallos no intencionados [E9] Errores de [re-]encaminamiento
[E] Errores y fallos no intencionados [E10] Errores de secuencia
[E] Errores y fallos no intencionados [E14] Escapes de información
[E] Errores y fallos no intencionados [E15] Alteración accidental de la información MEDIA L
[E] Errores y fallos no intencionados [E18] Destrucción de información MEDIA L
[E] Errores y fallos no intencionados [E19] Fugas de información MEDIA L
[E] Errores y fallos no intencionados [E20] Vulnerabilidades de los programas (software)
[E] Errores y fallos no intencionados [E21] Errores de mantenimiento / actualización de programas (software)
[E] Errores y fallos no intencionados [E23] Errores de mantenimiento / actualización de equipos (hardware) HW MEDIA AUX
[E] Errores y fallos no intencionados [E24] Caída del sistema por agotamiento de recursos HW
[E] Errores y fallos no intencionados [E25] Pérdida de equipos HW MEDIA AUX
[E] Errores y fallos no intencionados [E28] Indisponibilidad del personal
[A] Ataques intencionados [A3] Manipulación de los registros de actividad (log)
[A] Ataques intencionados [A4] Manipulación de la configuración
[A] Ataques intencionados [A5] Suplantación de la identidad del usuario
[A] Ataques intencionados [A6] Abuso de privilegios de acceso HW
[A] Ataques intencionados [A7] Uso no previsto HW MEDIA AUX L
[A] Ataques intencionados [A8] Difusión de software dañino
[A] Ataques intencionados [A9] [Re-]encaminamiento de mensajes
[A] Ataques intencionados [A10] Alteración de secuencia
[A] Ataques intencionados [A11] Acceso no autorizado HW MEDIA AUX L
[A] Ataques intencionados [A12] Análisis de tráfico
[A] Ataques intencionados [A13] Repudio
[A] Ataques intencionados [A14] Interceptación de información (escucha)
[A] Ataques intencionados [A15] Modificación deliberada de la información MEDIA L
[A] Ataques intencionados [A18] Destrucción de información MEDIA L
[A] Ataques intencionados [A19] Divulgación de información MEDIA L
[A] Ataques intencionados [A22] Manipulación de programas
[A] Ataques intencionados [A23] Manipulación de los equipos HW MEDIA AUX
[A] Ataques intencionados [A24] Denegación de servicio HW
[A] Ataques intencionados [A25] Robo HW MEDIA AUX
[A] Ataques intencionados [A26] Ataque destructivo HW MEDIA AUX L
[A] Ataques intencionados [A27] Ocupación enemiga L
[A] Ataques intencionados [A28] Indisponibilidad del personal
[A] Ataques intencionados [A29] Extorsión
[A] Ataques intencionados [A30] Ingeniería social (picaresca)
T5 T6 T7 T8 T9 T10 D1 D2 D3 D4 D5
DISPONIBILIDAD
DISPONIBILIDAD
DISPONIBILIDAD
DISPONIBILIDAD
DISPONIBILIDAD
DISPONIBILIDAD
DISPONIBILIDAD
DISPONIBILIDAD
SW DISPONIBILIDAD
DISPONIBILIDAD
DISPONIBILIDAD
COM DISPONIBILIDAD
DISPONIBILIDAD
DISPONIBILIDAD
CONFIDENCIALIDAD
SW D KEY S DISPONIBILIDAD CONFIDENCIALIDAD INTEGRIDAD
SW COM D KEY S DISPONIBILIDAD CONFIDENCIALIDAD INTEGRIDAD
D INTEGRIDAD TRAZABILIDAD
D INTEGRIDAD
P DISPONIBILIDAD
SW DISPONIBILIDAD CONFIDENCIALIDAD INTEGRIDAD
SW COM S CONFIDENCIALIDAD
SW COM S INTEGRIDAD
CONFIDENCIALIDAD
SW COM D KEY S INTEGRIDAD
SW COM D KEY S DISPONIBILIDAD
SW COM D KEY S P CONFIDENCIALIDAD
SW DISPONIBILIDAD CONFIDENCIALIDAD INTEGRIDAD
SW DISPONIBILIDAD INTEGRIDAD
DISPONIBILIDAD
COM S DISPONIBILIDAD
 DISPONIBILIDAD CONFIDENCIALIDAD
P DISPONIBILIDAD
D INTEGRIDAD TRAZABILIDAD
D CONFIDENCIALIDAD INTEGRIDAD AUTENTICIDAD
SW COM D KEY S CONFIDENCIALIDAD INTEGRIDAD AUTENTICIDAD
SW COM D KEY S DISPONIBILIDAD CONFIDENCIALIDAD INTEGRIDAD
SW COM S DISPONIBILIDAD CONFIDENCIALIDAD INTEGRIDAD
SW DISPONIBILIDAD CONFIDENCIALIDAD INTEGRIDAD
SW COM S CONFIDENCIALIDAD
SW COM S INTEGRIDAD
SW COM D KEY S CONFIDENCIALIDAD INTEGRIDAD
COM CONFIDENCIALIDAD
D S INTEGRIDAD TRAZABILIDAD
COM CONFIDENCIALIDAD
SW COM D KEY S INTEGRIDAD
SW D KEY S DISPONIBILIDAD
SW COM D KEY S CONFIDENCIALIDAD
SW DISPONIBILIDAD CONFIDENCIALIDAD INTEGRIDAD
DISPONIBILIDAD CONFIDENCIALIDAD
COM S DISPONIBILIDAD
DISPONIBILIDAD CONFIDENCIALIDAD
DISPONIBILIDAD
DISPONIBILIDAD CONFIDENCIALIDAD
P DISPONIBILIDAD CONFIDENCIALIDAD
P DISPONIBILIDAD CONFIDENCIALIDAD INTEGRIDAD
P DISPONIBILIDAD CONFIDENCIALIDAD INTEGRIDAD
Orden TIPO Codificacion TITULO
1D A5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACION
A5.1.1 Políticas para la seguridad de la información

4C
A5.1.2 Revisión de las políticas para la seguridad de la información.

5C
6D A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACION
A6.1.1 Roles y responsabilidades para la seguridad de la información
9C
A6.1.2 Separación de deberes

10 C
A6.1.3 Contacto con las autoridades
11 C
A6.1.4 Contacto con grupos de interés especial

12 C
A6.1.5 Seguridad de la información en la gestión de proyectos.

13 C
A6.2.1 Política para dispositivos móviles

16 C
 A6.2.2 Teletrabajo

17 C
18 D A7 SEGURIDAD DE LOS RECURSOS HUMANOS
A7.1.1 Selección

21 C
A7.1.2 Términos y condiciones del empleo

22 C
A7.2.1 Responsabilidades de la dirección

25 C
A7.2.2 Toma de conciencia, educación y formación en la seguridad de
la información.

26 C
A7.2.3 Proceso disciplinario

27 C
 A7.3.1 Terminación o cambio de responsabilidades de empleo

30 C
31 D A8 GESTION DE ACTIVOS
A8.1.1 Inventario de activos

34 C
A8.1.2 Propiedad de los activos
35 C
A8.1.3 Uso aceptable de los activos

36 C
A8.1.4 Devolución de activos

37 C
A8.2.1 Clasificación de la información

40 C
A8.2.2 Etiquetado de la información

41 C
A8.2.3 Manejo de activos

42 C
 A8.3.1 Gestión de medio removibles

45 C
A8.3.2 Disposición de los medios

46 C
A8.3.3 Transferencia de medios físicos

47 C
48 D A9 CONTROL DE ACCESO
A9.1.1 Política de control de acceso

51 C
A9.1.2 Acceso a redes y a servicios en red

52 C
A9.2.1 Registro y cancelación del registro de usuarios

55 C
A9.2.2 Suministro de acceso de usuarios

56 C
A9.2.3 Gestión de derechos de acceso privilegiado
57 C
A9.2.4 Gestión de información de autenticación secreta de usuarios

58 C
A9.2.5 Revisión de los derechos de acceso de usuarios

59 C
 A9.2.6 Retiro o ajuste de los derechos de acceso

60 C
A9.3.1 Uso de información de autenticación secreta

63 C
A9.4.1 Restricción de acceso a la información

66 C
A9.4.2 Procedimiento de ingreso seguro

67 C
A9.4.3 Sistema de gestión de contraseñas

68 C
A9.4.4 Uso de programas utilitarios privilegiados

69 C
A9.4.5 Control de acceso a códigos fuente de programas
70 C
71 D A10 CRIPTOGRAFIA
A10.1.1 Política sobre el uso de controles criptográficos

74 C
A10.1.2 Gestión de llaves

75 C
76 D A11 SEGURIDAD FISICA Y DEL ENTORNO
 A11.1.1 Perímetro de seguridad física

79 C
A11.1.2 Controles de acceso físicos

80 C
A11.1.3 Seguridad de oficinas, recintos e instalaciones.
81 C
A11.1.4 Protección contra amenazas externas y ambientales.

82 C
A11.1.5 Trabajo en áreas seguras.
83 C
A11.1.6 Áreas de carga, despacho y acceso público

84 C
A11.2.1 Ubicación y protección de los equipos

87 C
A11.2.2 Servicios de suministro

88 C
A11.2.3 Seguridad en el cableado.

89 C
 A11.2.4 Mantenimiento de los equipos.

90 C
A11.2.5 Retiro de activos
91 C
A11.2.6 Seguridad de equipos y activos fuera de las instalaciones

92 C
A11.2.7 Disposición segura o reutilización de equipos

93 C
A11.2.8 Equipos de usuario desatendido

94 C
A11.2.9 Política de escritorio limpio y pantalla limpia

95 C
96 D A12 SEGURIDAD DE LAS OPERACIONES
A12.1.1 Procedimientos de operación documentados

99 C
A12.1.2 Gestión de cambios

100 C
 A12.1.3 Gestión de capacidad

101 C
A12.1.4 Separación de los ambientes de desarrollo, pruebas y operación

102 C
A12.2.1 Controles contra códigos maliciosos

105 C
A12.3.1 Respaldo de la información

108 C
A12.4.1 Registro de eventos

111 C
A12.4.2 Protección de la información de registro

112 C
A12.4.3 Registros del administrador y del operador

113 C
A12.4.4 Sincronización de relojes

114 C
 A12.5.1 Instalación de software en sistemas operativos

117 C
A12.6.1 Gestión de las vulnerabilidades técnicas

120 C
A12.6.2 Restricciones sobre la instalación de software

121 C
A12.7.1 Controles de auditorías de sistemas de información

124 C
125 D A13 SEGURIDAD DE LAS COMUNICACIONES
A13.1.1 Controles de redes

128 C
A13.1.2 Seguridad de los servicios
de red

129 C
A13.1.3 Separación en las redes

130 C
 A13.2.1 Políticas y procedimientos de transferencia de
información

133 C
A13.2.2 Acuerdos sobre
transferencia de información
134 C
A13.2.3 Mensajería Electronica
135 C
A13.2.4 Acuerdos de
confidencialidad o de no divulgación

136 C
A14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
137 D
A.14.1.1 Análisis y especificación de requisitos de seguridad de la
información

140 C
A.14.1.2 Seguridad de servicios de las aplicaciones en redes
públicas

141 C
A.14.1.3 Protección de transaccciones de los servicios de las
aplicaciones.

142 C
 A.14.2.1 Política de desarrollo seguro

145 C
A.14.2.2 Procedimientos de control de cambios en sistemas

146 C
A.14.2.3 Revisión técnica de las aplicaciones después de cambios en la
plataforma de operación

147 C
A.14.2.4 Restricciones en los cambios a los paquetes de software

148 C
A.14.2.5 Principio de Construcción de los Sistemas Seguros.

149 C
A.14.2.6 Ambiente de desarrollo seguro

150 C
A.14.2.7 Desarrollo contratado externamente

151 C
A.14.2.8 Pruebas de seguridad de sistemas
152 C
 A.14.2.9 Prueba de aceptación de sistemas

153 C
A.14.3.1 Protección de datos de prueba

156 C
157 D A15 RELACIONES CON LOS PROVEEDORES
A15.1.1 Política de seguridad de la información para las relaciones con
proveedores

160 C
A15.1.2 Tratamiento de la seguridad dentro de los acuerdos con
proveedores

161 C
A15.1.3 Cadena de suministro de tecnología de información y
comunicación

162 C
A15.2.1 Seguimiento y revisión de los servicios de los proveedores

165 C
A15.2.2 Gestión del cambio en los servicios de los proveedores

166 C
 A16 GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION
167 D
A16.1.1 Responsabilidades y procedimientos

170 C
A16.1.2 Reporte de eventos de seguridad de la información

171 C
A16.1.3 Reporte de debilidades de seguridad de la información

172 C
A16.1.4 Evaluación de eventos de seguridad de la información y
decisiones sobre ellos

173 C
A16.1.5 Respuesta a incidentes de seguridad de la información

174 C
A16.1.6 Aprendizaje obtenido de los incidentes de seguridad de la
información

175 C
A16.1.7 Recolección de evidencia

176 C
A17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA
GESTION DE CONTINUIDAD DE NEGOCIO
177 D
 A17.1.1 Planificación de la continuidad de la seguridad de la información

180 C
A17.1.2 Implementación de la continuidad de la seguridad de la
información

181 C
A17.1.3 Verificación, revisión y evaluación de la continuidad de la
seguridad de la información

182 C
A17.2.1 Disponibilidad de instalaciones de procesamiento de
información

185 C
186 D A18 CUMPLIMIENTO
A18.1.1 Identificación de la legislación aplicable.

189 C
A18.1.2 Derechos propiedad intelectual (DPI)

190 C
 A18.1.3 Protección de registros

191 C
A18.1.4 Privacidad y protección de información de datos personales

192 C
A18.1.5 Reglamentación de controles criptográficos.

193 C
A18.2.1 Revisión independiente de la seguridad de la información

196 C
A18.2.2 Cumplimiento con las políticas y normas de seguridad

197 C
A18.2.3 Revisión del cumplimiento técnico

198 C
 Descripción

Control: Se debe definir un conjunto de políticas para la

seguridad de la información, aprobada por la dirección,
publicada y comunicada a los empleados y a las partes
externas pertinentes.

Control: Las políticas para la seguridad de la información

se deben revisar a intervalos planificados o si ocurren
cambios significativos, para para asegurar su
conveniencia, adecuación y eficacia continuas.

Control: Se deben definir y asignar todas las

responsabilidades de la seguridad de la información.
Control: Los deberes y áreas de responsabilidad en
conflicto se deben separar para reducir las posibilidades
de modificación no autorizada o no intencional, o el uso
indebido de los activos de la organización

Control: Se deben mantener contactos apropiados con las

autoridades pertinentes.
Control: Se deben mantener contactos apropiados con
grupos de interés especial u otros foros y asociaciones
profesionales especializadas en seguridad

Control: La seguridad de la información se debe tratar en

la gestión de proyectos, independientemente del tipo de
proyecto.

Control: Se deben adoptar una política y unas medidas de

seguridad de soporte, para gestionar los riesgos
introducidos por el uso de dispositivos móviles.
Control: Se deben implementar una política y unas
medidas de seguridad de soporte, para proteger la
información a la que se tiene acceso, que es procesada o
almacenada en los lugares en los que se realiza
teletrabajo.

Control: Las verificaciones de los antecedentes de todos

los candidatos a un empleo se deben llevar a cabo de
acuerdo con las leyes, reglamentaciones y ética
pertinentes y deben ser proporcionales a los requisitos de
negocio, a la clasificación de la información a que se va a
tener acceso y a los riesgos percibidos.

Control: Los acuerdos contractuales con empleados y

contratistas deben establecer sus responsabilidades y las
de la organización en cuanto a la seguridad de la
información.

Control: La dirección debe exigir a todos los empleados y

contratista la aplicación de la seguridad de la información
de acuerdo con las políticas y procedimientos
establecidos por la organización.

Control: Todos los empleados de la organización, y en

donde sea pertinente, los contratistas, deben recibir la
educación y la formación en toma de conciencia
apropiada, y actualizaciones regulares sobre las políticas y
procedimientos de la organización pertinentes para su
cargo.

Control: Se debe contar con un proceso formal, el cual

debe ser comunicado, para emprender acciones contra
empleados que hayan cometido una violación a la
seguridad de la información.
Control: Las responsabilidades y los deberes de seguridad
de la información que permanecen validos después de la
terminación o cambio de empleo de deben definir,
comunicar al empleado o contratista y se deben hacer
cumplir.

Control: Se deben identificar los activos asociados con

información e instalaciones de procesamiento de
información, y se debe elaborar y mantener un inventario
de estos activos.

Control: Los activos mantenidos en el inventario deben

tener un propietario.
Control: Se deben identificar, documentar e implementar
reglas para el uso aceptable de información y de activos
asociados con información e instalaciones de
procesamiento de información.

Control: Todos los empleados y usuarios de partes

externas deben devolver todos los activos de la
organización que se encuentren a su cargo, al terminar su
empleo, contrato o acuerdo.

Control: La información se debe clasificar en función de

los requisitos legales, valor, criticidad y susceptibilidad a
divulgación o a modificación no autorizada.

Control: Se debe desarrollar e implementar un conjunto

adecuado de procedimientos para el etiquetado de la
información, de acuerdo con el esquema de clasificación
de información adoptado por la organización.

Control: Se deben desarrollar e implementar

procedimientos para el manejo de activos, de acuerdo
con el esquema de clasificación de información adoptado
por la organización.
Control: Se deben implementar procedimientos para la
gestión de medio removibles, de acuerdo con el esquema
de clasificación adoptado por la organización.

Control: Se debe disponer en forma segura de los medios

cuando ya no se requieran, utilizando procedimientos
formales.

Control: Los medios que contienen información se deben

proteger contra acceso no autorizado, uso indebido o
corrupción durante el transporte.

Control: Se debe establecer, documentar y revisar una

política de control de acceso con base en los requisitos
del negocio y de la seguridad de la información.

Control: Solo se debe permitir acceso de los usuarios a la

red y a los servicios de red para los que hayan sido
autorizados específicamente.

Control: Se debe implementar un proceso formal de

registro y de cancelación de registro de usuarios, para
posibilitar la asignación de los derechos de acceso.

Control: Se debe implementar un proceso de suministro

de acceso formal de usuarios para asignar o revocar los
derechos de acceso para todo tipo de usuarios para todos
los sistemas y servicios.

Control: Se debe restringir y controlar la asignación y uso

de derechos de acceso privilegiado
Control: La asignación de información de autenticación
secreta se debe controlar por medio de un proceso de
gestión formal.

Control: Los propietarios de los activos deben revisar los

derechos de acceso de los usuarios, a intervalos
regulares.
Control: Los derechos de acceso de todos los empleados y
de usuarios externos a la información y a las instalaciones
de procesamiento de información se deben retirar al
terminar su empleo, contrato o acuerdo, o se deben
ajustar cuando se hagan cambios.

Control: Se debe exigir a los usuarios que cumplan las

prácticas de la organización para el uso de información de
autenticación secreta.

Control: El acceso a la información y a las funciones de los

sistemas de las aplicaciones se debe restringir de acuerdo
con la política de control de acceso.

Control: Cuando lo requiere la política de control de

acceso, el acceso a sistemas y aplicaciones se debe
controlar mediante un proceso de ingreso seguro.

Control: Los sistemas de gestión de contraseñas deben

ser interactivos y deben asegurar la calidad de las
contraseñas.

Control: Se debe restringir y controlar estrictamente el

usos de programas utilitarios que podrían tener capacidad
de anular el sistema y los controles de las aplicaciones.

Control: Se debe restringir el acceso a los códigos fuente

de los programas.

Control: Se debe desarrollar e implementar una política

sobre el uso de controles criptográficos para la protección
de la información.

Control: Se debe desarrollar e implementar una política

sobre el uso, protección y tiempo de vida de las llaves
criptográficas, durante todo su ciclo de vida.
Control: Se deben definir y usar perímetros de seguridad,
y usarlos para proteger áreas que contengan información
confidencial o critica, e instalaciones de manejo de
información.

Control: Las áreas seguras deben estar protegidas con

controles de acceso apropiados para asegurar que sólo se
permite el acceso a personal autorizado.

Control: Se debe diseñar y aplicar la seguridad física para

oficinas, recintos e instalaciones..
Control: Se deben diseñar y aplicar protección física
contra desastres naturales, ataques maliciosos o
accidentes.

Control: Se deben diseñar y aplicar procedimientos para

trabajo en áreas seguras.
Control: Se deben controlar los puntos de acceso tales
como las áreas de despacho y carga y otros puntos por
donde pueden entrar personas no autorizadas y, si es
posible, aislarlos de las instalaciones de procesamiento de
información para evitar el acceso no autorizado.

Control: Los equipos deben de estar ubicados y

protegidos para reducir los riesgos de amenazas y peligros
del entorno, y las posibilidades de acceso no autorizado.

Control: Los equipos se deben proteger contra fallas de

energía y otras interrupciones causadas por fallas en los
servicios de suministro.

Control: El cableado de energía eléctrica y de

telecomunicaciones que porta datos o brinda soporte a
los servicios de información se debe proteger contra
interceptación, interferencia o daño.
Control: Los equipos se deben mantener correctamente
para asegurar su disponibilidad e integridad continuas.

Control: Los equipos, información o software no se deben

retirar de su sitio sin autorización previa
Control: Se deben aplicar medidas de seguridad a los
activos que se encuentran fuera de las instalaciones de la
organización, teniendo en cuenta los diferentes riesgos de
trabajar fuera de dichas instalaciones.

Control: Se deben verificar todos los elementos de

equipos que contengan medios de almacenamiento para
asegurar que cualquier dato confidencial o software
licenciado haya sido retirado o sobreescrito en forma
segura antes de su disposición o reúso.

Control: Los usuarios deben asegurarse de que a los

equipos desatendidos se les da protección apropiada.

Control: Se debe adoptar una política de escritorio limpio

para los papeles y medios de almacenamiento
removibles, y una política de pantalla limpia en las
instalaciones de procesamiento de información.

Control: Los procedimientos de operación se deben

documentar y poner a disposición de todos los usuarios
que los necesitan.

Control: Se deben controlar los cambios en la

organización, en los procesos de negocio, en las
instalaciones y en los sistemas de procesamiento de
información que afectan la seguridad de la información.
Control: Se debe hacer seguimiento al uso de recursos,
hacer los ajustes, y hacer proyecciones de los requisitos
de capacidad futura, para asegurar el desempeño
requerido del sistema.

Control: Se deben separar los ambientes de desarrollo,

pruebas y operación, para reducir los riesgos de acceso o
cambios no autorizados al ambiente de operación.

Control: Se deben implementar controles de detección,

de prevención y de recuperación, combinados con la
toma de conciencia apropiada de los usuarios, para
proteger contra códigos maliciosos.

Control: Se deben hacer copias de respaldo de la

información, software e imágenes de los sistemas, y
ponerlas a prueba regularmente de acuerdo con una
política de copias de respaldo acordadas.

Control: Se deben elaborar, conservar y revisar

regularmente los registros acerca de actividades del
usuario, excepciones, fallas y eventos de seguridad de la
información.

Control: Las instalaciones y la información de registro se

deben proteger contra alteración y acceso no autorizado.

Control: Las actividades del administrador y del operador

del sistema se deben registrar, y los registros se deben
proteger y revisar con regularidad.

Control: Los relojes de todos los sistemas de

procesamiento de información pertinentes dentro de una
organización o ámbito de seguridad se deben sincronizar
con una única fuente de referencia de tiempo.
Control: Se deben implementar procedimientos para
controlar la instalación de software en sistemas
operativos.

Control: Se debe obtener oportunamente información

acerca de las vulnerabilidades técnicas de los sistemas de
información que se usen; evaluar la exposición de la
organización a estas vulnerabilidades, y tomar las
medidas apropiadas para tratar el riesgo asociado.

Control: Se deben establecer e implementar las reglas

para la instalación de software por parte de los usuarios.

Control: Los requisitos y actividades de auditoria que

involucran la verificación de los sistemas operativos se
deben planificar y acordar cuidadosamente para
minimizar las interrupciones en los procesos del negocio.

Control: Las redes se deben gestionar y controlar para

proteger la información en sistemas y aplicaciones.

Control: Se deben identificar los mecanismos de

seguridad, los niveles de servicio y los requisitos de
gestión de todos los servicios de red, e incluirlos en los
acuerdos de servicio de red, ya sea que los
servicios se presten internamente o se contraten
externamente.

Control: Los grupos de servicios de información,

usuarios y sistemas de información se deben separar en
las redes.
Control: Se debe contar con políticas, procedimientos
y controles de transferencia información formales para
proteger la transferencia de información mediante el
uso de
todo tipo de instalaciones de comunicaciones.

Control: Los acuerdos deben tratar la transferencia

segura de información del negocio entre la
organización y las partes externas.

Control: Se debe proteger adecuadamente la información

incluida en la mensajería electrónica.
Control: Se deben identificar, revisar regularmente y
documentar los requisitos para los acuerdos de
confidencialidad o no divulgación que reflejen las
necesidades de la organización para la protección de la
información.

Control: Los requisitos relacionados con seguridad de la

información se deben incluir en los requisitos para
nuevos sistemas de información o para mejoras a los
sistemas de información existentes.

Control: La informacion involucrada en los servicios

de las aplicaciones que pasan sobre redes públicas se
debe proteger de actividades fraudulentas, disputas
contractuales y divulgación y modificación no
autorizadas.

Control: La información involucrada en las transacciones

de los servicios de las aplicaciones se deben proteger para
evitar la transmisión incompleta, el enrutamiento errado,
la alteración no autorizada de mensajes, la divulgación no
autorizada, y la duplicación o reproducción de mensajes
no autorizada.
Control: Se debe establecer y aplicar reglas para el
desarrollo de software y de sistemas, a los desarrollos
dentro de la organización.

Control: Los cambios a los sistemas dentro del ciclo de

vida de desarrollo se deben controlar mediante el uso de
procedimientos formales de control de cambios.

Control: Cuando se cambian las plataformas de

operación, se deben revisar las aplicaciones críticas del
negocio, y someter a prueba para asegurar que no haya
impacto adverso en las operaciones o seguridad de la
organización.

Control: Se deben desalentar las modificaciones a los

paquetes de software, los cuales se deben limitar a los
cambios necesarios, y todos los cambios se deben
controlar estrictamente.

Control: Se deben establecer, documentar y

mantener principios para la construcción de
sistemas seguros, y aplicarlos a cualquier actividad de
implementación de sistemas de información.

Control: Las organizaciones deben establecer y

proteger adecuadamente los ambientes de desarrollo
seguros para las actividades de desarrollo e integración
de sistemas que comprendan todo el ciclo de vida
de desarrollo de sistemas.

Control: La organización debe supervisar y hacer

seguimiento de la actividad de desarrollo de sistemas
contratados externamente.

Control: Durante el desarrollo se deben llevar a cabo

pruebas de funcionalidad de la seguridad.
Control: Para los sistemas de información nuevos,
actualizaciones y nuevas versiones, se deben
establecer programas de prueba para aceptación y
criterios de aceptación relacionados.

Control:Los datos de prueba se deben seleccionar,

proteger y controlar cuidadosamente.

Control: Los requisitos de seguridad de la información

para mitigar los riesgos asociados con el acceso de
proveedores a los activos de la organización se deben
acordar con estos y se deben documentar.

Control: Se deben establecer y acordar todos los

requisitos de seguridad de la información pertinentes con
cada proveedor que pueda tener acceso, procesar,
almacenar, comunicar o suministrar componentes de
infraestructura de TI para la información de la
organización.

Control: Los acuerdos con proveedores deben incluir

requisitos para tratar los riesgos de seguridad de la
información asociados con la cadena de suministro de
productos y servicios de tecnología de información y
comunicación.

Control: Las organizaciones deben hacer seguimiento,

revisar y auditar con regularidad la prestación de servicios
de los proveedores.

Control: Se deben gestionar los cambios en el suministro

de servicios por parte de los proveedores, incluido el
mantenimiento y las mejoras de las políticas,
procedimientos y controles de seguridad de la
información existentes, teniendo en cuenta la criticidad
de la información, sistemas y procesos de negocio
involucrados, y la rrevaluación de los riesgos.
Control: Se deben establecer las responsabilidades y
procedimientos de gestión para asegurar una respuesta
rápida, eficaz y ordenada a los incidentes de seguridad de
la información.

Control: Los eventos de seguridad de la información se

deben informar a través de los canales de gestión
apropiados, tan pronto como sea posible.

Control: Se debe exigir a todos los empleados y

contratistas que usan los servicios y sistemas de
información de la organización, que observen y reporten
cualquier debilidad de seguridad de la información
observada o sospechada en los sistemas o servicios.

Control: Los eventos de seguridad de la información se

deben evaluar y se debe decidir si se van a clasificar como
incidentes de seguridad de la información.

Control: Se debe dar respuesta a los incidentes de

seguridad de la información de acuerdo con
procedimientos documentados.

Control: El conocimiento adquirido al analizar y resolver

incidentes de seguridad de la información se debe usar
para reducir la posibilidad o impacto de incidentes
futuros.

Control: La organización debe definir y aplicar

procedimientos para la identificación, recolección,
adquisición y preservación de información que pueda
servir como evidencia.
Control: La organización debe determinar sus requisitos
para la seguridad de la información y la continuidad de la
gestión de la seguridad de la información en situaciones
adversas, por ejemplo, durante una crisis o desastre.

Control: La organización debe establecer, documentar,

implementar y mantener procesos, procedimientos y
controles para asegurar el nivel de continuidad requerido
para la seguridad de la información durante una situación
adversa.

Control: La organización debe verificar a intervalos

regulares los controles de continuidad de la seguridad de
la información establecidos e implementados, con el fin
de asegurar que son válidos y eficaces durante
situaciones adversas.

Control: Las instalaciones de procesamientos de

información se deben implementar con redundancia
suficiente para cumplir los requisitos de disponibilidad.

Control: Todos los requisitos estatutarios, reglamentarios

y contractuales pertinentes y el enfoque de la
organización para cumplirlos, se deben identificar y
documentar explícitamente y mantenerlos actualizados
para cada sistema de información y para la organización.

Control: Se deben implementar procedimientos

apropiados para asegurar el cumplimiento de los
requisitos legislativos, de reglamentación y contractuales
relacionados con los derechos de propiedad intelectual y
el uso de productos de software patentados.
Control: Los registros se deben proteger contra perdida,
destrucción, falsificación, acceso no autorizado y
liberación no autorizada, de acuerdo con los requisitos
legislativos, de reglamentación, contractuales y de
negocio.

Control: Se deben asegurar la privacidad y la protección

de la información de datos personales, como se exige e la
legislación y la reglamentación pertinentes, cuando sea
aplicable.

Control: Se deben usar controles criptográficos, en

cumplimiento de todos los acuerdos, legislación y
reglamentación pertinentes.

Control: El enfoque de la organización para la gestión de

la seguridad de la información y su implementación (es
decir los objetivos de control, los controles, las políticas,
los procesos y los procedimientos para seguridad de la
información), se deben revisar independientemente a
intervalos planificados o cuando ocurran cambios
significativos.

Control: Los directores deben revisar con regularidad el

cumplimiento del procesamiento y procedimientos de
información dentro de su área de responsabilidad, con las
políticas y normas de seguridad apropiadas, y cualquier
otro requisito de seguridad.

Control: Los sistemas de información se deben revisar

periódicamente para determinar el cumplimiento con las
políticas y normas de seguridad de la información.
A5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACION

A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACION

A7 SEGURIDAD DE LOS RECURSOS HUMANOS
A8 GESTION DE ACTIVOS
A9 CONTROL DE ACCESO
A10 CRIPTOGRAFIA

A11 SEGURIDAD FISICA Y DEL ENTORNO

A12 SEGURIDAD DE LAS OPERACIONES
A13 SEGURIDAD DE LAS COMUNICACIONES
A14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
A15 RELACIONES CON LOS PROVEEDORES
A16 GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION

A17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTION DE CONTINUIDAD DE NEGOCIO

A18 CUMPLIMIENTO
DIMENSION Probabilidad de vulneración
B Bajo 1 Muy raro
M Medio 2 Poco probable
A Alto 3 Posible
MA Muy Alto 4 Probable
MB Muy Bajo 5 Practicamente serguro
 CRIPT
OGRA SERVI
Calificación de Gestión Activo DATOS FICAS CIOS
1 Control no Existente DATOS [E1] Err [E1] Er [E1] E
2 Existe pero no efectivo CRIPTOGRAFICAS [E2] Er [E2] Er [E2] E
3 Efectivo pero no documentado SERVICIOS [E3] Err [E15] A [E9]
4 Efectivo y documentado SOFTWARE [E4] Er [E18] [E10]
HARDWARE [E15] A [E19] [E15]
COMUNICACIONES [E18] D [A5] Su [E18]
SOPORTE [E19] F [A6] A [E19]
AUXILIAR [A3] Ma [A11] [E24]
INSTALACIONES [A4] Ma [A15] [A5] S
PERSONAL [A5] Su [A18] [A6] A
[A6] Ab [A19] [A7] U
[A11] Acceso n [A9]
[A13] Repudio [A10]
[A15] Modifica [A11]
[A18] Destrucc [A13]
[A19] Divulgac [A15]
[A18]
[A19]
[A24]
 CO
M
UN
ICA INST
CIO ALA
SOFT HARD NE SOPO AUXIL CIO
WARE WARE S RTE IAR NES PERSONAL
[I5] Av [N1] F [I8 [N1] F [N1] F [N1] [E7] Deficiencias en la organización
[E1] E [N2] D [E2 [N2] D [N2] D [N2] [E19] Fugas de información
[E2] E [N*] D [E9 [N*] D [N*] D [N*] [E28] Indisponibilidad del personal
[E8] D [I1] F [E1 [I1] Fu [I1] F [I1] [A28] Indisponibilidad del personal
[E9] E [I2] D [E1 [I2] D [I2] D [I2] [A29] Extorsión
[E10] [I*] D [E1 [I*] De [I*] D [I*] [A30] Ingeniería social (picaresca)
[E15] [I3] C [E1 [I3] C [I3] [I11] Emanaciones electromagnéticas
[E18] [I4] C [E2 [I4] C [I4] [E15] Alteración accidental de la información
[E19] [I5] Av [A5 [I5] Av [I5] A [E18] Destrucción de información
[E20] [I6] C [A6 [I6] Co [I6] C [E19] Fugas de información
[E21] [I7] C [A7 [I7] C [I7] [A7] Uso no previsto
[A5] S [I11] [A9 [I10] [I9] I [A11] Acceso no autorizado
[A6] A [E2] E [A1 [I11] [I11] [A15] Modificación deliberada de la información
[A7] U [E23] [A1 [E1] Er [E23] [A18] Destrucción de información
[A8] D [E24] [A1 [E2] E [E25] [A19] Divulgación de información
[A9] [E25] [A1 [E15] [A7] U [A26] Ataque destructivo
[A10] [A6] A [A1 [E18] [A11] [A27] Ocupación enemiga
[A11] [A7] U [A1 [E19] [A23] Manipulación de los equipos
[A15] [A11] [A2 [E23] [A25] Robo
[A18] [A23] Mani[E25] [A26] Ataque destructivo
[A19] [A24] Dene[A7] Uso no previsto
[A22] [A25] Rob [A11] Acceso no autorizado
[A26] Ataq [A15] Modificación deliberada de la información
[A18] Destrucción de información
[A19] Divulgación de información
[A23] Manipulación de los equipos
[A25] Robo
[A26] Ataque destructivo
 1 a 5 ACEPTABLE SI X
6 a 15 MODERADO (M) NO
16 a 26 INACEPTABLE(I)

nformación

la información
Bibliografía consultada

Ministerio de Hacienda. (2012). MAGERIT v.3. 29/01/2019, de Portal de Administración

Electrónica Sitio Libro II.
https://administracionelectronica.gob.es/pae_Home/dam/jcr:5fbe15c3-c797-46a6-acd8-
51311f4c2d29/2012_Magerit_v3_libro2_catalogo-de-elementos_es_NIPO_630-12-171-
8.pdf
Córdova R., N. (2012). Evaluación de riesgos, Amenazas y Vulnerabilidades. (p.2-20)
http://sisbib.unmsm.edu.pe/bibvirtualdata/tesis/basic/Cordova_RN/Cap5.PDF
GOV.CO, Ministerio de Tecnologías de la Información y las Comunicaciones [en línea]
Sistema de detección de intrusos (consultado el 29 nov. 2022) recuperado en:
https://mintic.gov.co/portal/inicio/Glosario/S/18811:Sistema-de-deteccion-de-intrusos
CRESPO, Adriana. [en línea] Punto de acceso WiFi TP-Link EAP225-Outdoor AC1200

(consultado el 30 nov. 2022) recuperado en: https://www.redeszone.net/analisis/puntos-

de-acceso/eap225-outdoor-ac1200/
NEXTU, Blog [en línea] Hardware y software: ¿Qué son y para qué sirven?. recuperado en:
https://www.nextu.com/blog/hardware-y-software-rc22/