Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Activos Riesgos Vuln Amen Pol Cont
Activos Riesgos Vuln Amen Pol Cont
• El contenido de una política guía las acciones y decisiones acerca del tema de la política.
• Una organización puede tener varias políticas; una para cada área de actividad que sea de importancia para la organización.
• Algunas políticas son independientes entre sí, aunque otras políticas tienen una relación jerárquica.
La política de seguridad de la información describe la importancia estratégica del SGSI para la organización y está disponible como
información documentada.
• La política dirige las actividades de seguridad de la información en la organización.
• La política expresa cuáles son las necesidades de seguridad de la información en el contexto real de la organización.
POLÍTICAS CLÁUSULA
Dispositivos móviles A6
Teletrabajo A6
Clasificación de la información A8
Uso aceptable de los activos A8
Control de acceso A9
Uso de controles Criptográficos A10
Gestión de Llaves Criptográficas A10
Seguridad física y del entorno A11
Política de escritorio y pantalla limpia A11
Protección contra códigos maliciosos A12
Gestión de las vulnerabilidades técnicas A12
Restricciones sobre instalaciones y uso del software A12
Copias de respaldo A12
Seguridad de las comunicaciones A13
Transferencia de información A13
Relaciones con los proveedores A15
Privacidad y protección de información de datos Personales A18
nte la alta dirección
zación.
El propósito de la identificación del riesgo es determinar que podría suceder que cause una perdida potencial,
donde, y por qué podría ocurrir está perdida, las siguientes etapas deberían recolectar datos de entrada para
minar que podría suceder que cause una perdida potencial, y llegar a comprender el cómo,
iguientes etapas deberían recolectar datos de entrada para esta actividad.
a. Una amenaza tiene el potencial de causar daños a activos tales como información, procesos y sistemas y,
b. Las amenazas pueden ser de origen natural o humano y podrían ser accidentales o deliberadas es recome
orígenes de las amenazas accidentales como deliberadas.
c. Las amenazas se deberían identificar genéricamente y por tipo (ej. Acciones no autorizadas, daño físico, fa
d. Algunas amenazas pueden afectar a más de un activo y en tales casos pueden causar diferentes impactos
que se vean afectados.
ANEXO C (INFORMATIVO)
Tipo de Amenaza Código
A1
A2
A3
Daño Físico
A4
A5
A6
A7
A8
Eventos Naturales A9
A10
A11
A12
Pérdida de los servicios esenciales A13
A14
A15
Perturbación debida a la radiación A16
A17
A18
A19
A20
A21
A22
Compromiso de la información A23
A24
A25
A26
A27
A28
A29
A30
Fallas técnicas A31
A32
A33
A34
A35
Acciones no autorizadas A36
A37
A38
A39
A40
Compromiso de las funciones A41
A42
A43
A44
A45
A46
A47
Aplicaciones y/o sistemas de información
A48
A49
A50
A51
A52
A53
A54
A55
Red
A56
A57
A58
A59
A60
A61
A62
A63
Servidores (Host) A64
A65
A66
A67
A68
Proyectos A69
deseado, el cual puede ocasionar daño a un sistema o a una
ños a activos tales como información, procesos y sistemas y, por lo tanto, a la entidad.
o humano y podrían ser accidentales o deliberadas es recomendable identificar todos los
eliberadas.
camente y por tipo (ej. Acciones no autorizadas, daño físico, fallas técnicas)
un activo y en tales casos pueden causar diferentes impactos dependiendo de los activos
activos de información.
ueden dañar accidentalmente los activos de información.
no se basan en las acciones humanas.
ANEXO C (INFORMATIVO)
Descripción de la amenaza Origen
Fuego A,D,E
Daños por agua A,D,E
Contaminación A,D,E
Grave accidente A,D,E
La destrucción de los equipos o medios A,D,E
El polvo, la corrosión, la congelación A,D,E
Fenómeno climático E
Fenómeno sísmico E
Fenómeno volcánico E
Fenómeno meteorológico E
Inundar E
La falta de aire acondicionado o el sistema de suministro de agua A,D
La pérdida de la fuente de alimentación A,D,E
La falta de equipo de telecomunicaciones A,D
Radiación electromagnética A,D,E
Radiación termal A,D,E
Los impulsos electromagnéticos A,D,E
Fnterceptación de comprometedoras señales de interferencia D
Espionaje remoto D
Escuchas ilegales D
El robo de los medios de comunicación o documentos D
Robo de equipos D
La recuperación de los medios de comunicación reciclados o
D
desechados
Revelación A,D
Los datos procedentes de fuentes no confiables A,D
La manipulación de hardware D
La manipulación de software A,D
Detección de posición D
Falla en el equipo A
Mal funcionamiento del equipo A
La saturación del sistema de información A,D
Mal funcionamiento de software A
El incumplimiento de la mantenibilidad del sistema de información A,D
El uso no autorizado de equipos D
Copia fraudulenta de software D
El uso de software falsificado o copiado A,D
La corrupción de los datos D
Procesamiento ilegal de datos D
Error en uso A
Abuso de los derechos A,D
Forja de derechos D
La negación de las acciones D
El incumplimiento de la disponibilidad de personal A,D,E
Ataques de identificación y autenticación de usuarios.
Ataques a las llaves criptográficas.
Inadecuada configuración de la aplicación y/o sistemas.
Interrupción continua de sesiones de trabajo.
Desbordamiento de buffer de memoria.
Inyección SQL a las aplicaciones web.
Configuración incorrecta en los mensajes de error.
Revelación de datos sensibles originados por eventos de SQL
Inyección.
Ataques a las contraseñas de la red.
Ataques de denegación de servicios.
Ataques a los sistemas de detección de intrusos (IDS) y Firewalls.
Envenenamiento de la caché del servidor de nombres de dominio
(DNS).
Escucha de puertos abiertos (Fingerprinting).
Secuestro de sesión realizados por Hijacking y Man in the middle.
Spoofing (Suplantación de identidad).
Recolección de información a través de fuentes abiertas.
Acceso no autorizado a los equipos de cómputo y/o servidores.
Ataques a contraseñas de los equipos de cómputo y/o servidores.
Ataques de denegación de servicios.
Ataques de ejecución de código.
Ataques de Footprinting.
Ataques de Malware.
Ataques de puerta trasera (Backdoors).
Ataques de seguridad física.
Escalamiento de privilegios.
Ausencia de definiciones de seguridad de la información y
ciberseguridad en el ciclo de vida de los proyectos.
Las amenazas tienen fuentes de amenazas humanas, motivación y acciones amenazantes.
Fuente de la Amenaza Motivación
• Reto
• Ego
Pirata Informatico, Intruso Ilegal • Rebelión
• Estatus
• Dinero
• Destrucción de información
• Divulgación ilegal sw información
Criminal de la Computación
• Ganancia Monetaria
• Alteración no autorizada de los datos
• Chantaje
• Destrucción
• Explotación
Terrorista • Venganza
• Ganancia Política
• Cubrimiento de los medios de
comunicación
• Curiosidad
• Ego
Instrusos(empleados con
• Inteligencia
entrenamiento deficiente,
• Ganancia monetaria
descontentos,malintensionados,
• Venganza
negligentes, deshonestos o
• Errores y omisiones no intensionales
despedidos)
(Por ejemplo, error en el ingreso de los
datos, error de programación)
• Ego
Instrusos(empleados con
• Inteligencia
entrenamiento deficiente,
• Ganancia monetaria
descontentos,malintensionados,
• Venganza
negligentes, deshonestos o
• Errores y omisiones no intensionales
despedidos)
(Por ejemplo, error en el ingreso de los
datos, error de programación)
s, motivación y acciones amenazantes.
Acciones Amenazantes
• Prateria
• Ingeniería social
• Intrusión Sistema, forzados al sistema
• Acceso no autorizado al sistema
• Crimen por computador (por ejemplo,
espionaje cibernético)
• Acto fraudulento (por ejemplo,
repetición, personificación
interceptación)
• Soborno de la información
• Suplantación de identidad
•• Intrusión en el sistema
Bomba / Terrorismo
• Guerra de información
• Ataques contra el sistema (por
ejemplo negación distribuida del
servicio)
• Penetración
• Ventaja en el sistema
de defensa
• Manipulación
• Ventaja del sistema
Política
• Explotación económica
• Hurto de información
• Intrusión en la privacidad personal
• Ingeniería social
• Penetración en el sistema
• Acceso no autorizado al sistema
(acceso a información clasificada, de
propiedad y/o relacionados con la
tecnología)
• Asalto a un empleado
• Chantaje
• Observar información reservada
• Uso inadecuado de computador
• Fraude y hurto
• Soborno de información
• Ingreso de datos falsos o corruptos
• Interceptación
• Código malicioso (por ejemplo virus,
bomba lógica, troyano)
• Venta de información personal
• Errores en el sistema (bugs)
• Intrusión al sistema
• Sabotaje del sistema
• Soborno de información
• Ingreso de datos falsos o corruptos
• Interceptación
• Código malicioso (por ejemplo virus,
bomba lógica, troyano)
• Venta de información personal
• Errores en el sistema (bugs)
• Intrusión al sistema
• Sabotaje del sistema
• Acceso no autorizado al sistema
Vulnerabilidad: Debilidad de un activo o de un control (3.16) que puede ser explotada por una o má
(3.83).
Para realizar una correcta identificación de vulnerabilidades es necesario conocer la lista de amenaz
lista de inventario de activos y el listado de controles existentes. Se pueden identificar vulnerabilidad
siguientes áreas:
* Organización.
* Procesos y procedimientos.
* Rutinas de gestión.
* Personal
* Ambiente físico
* Configuración del sistema de información.
* Hardware, software y equipos de comunicaciones.
* Dependencia de partes externas.
NOTA: La sola presencia de una vulnerabilidad no causa daños por si misma, dado que es necesari
amenaza presente para explotarla. Una vulnerabilidad que no tiene una amenaza puede no requerir
implementación de un control.
V9
V10
V11
V12
V13
V14
V15
V16
V17
V18
V19
V20
V21
V22
Software
V23
V24
Software
V25
V26
V27
V28
V29
V30
V31
V32
V33
V34
V35
V36
V37
V38
Red
V39
V40
V41
V42
V43
V44
V45
V46
V47
Personal
V48
V49
V50
V51
V52
V53
Lugar
V54
V55
V56
V57
V58
V59
V60
V61
V62
V63
V64
V66
V67
V68
V69
Organización V70
V71
V72
V73
V74
V75
V76
V77
V78
V79
V80
V81
V82
V83
V84
V85
: Debilidad de un activo o de un control (3.16) que puede ser explotada por una o más amenazas
ocedimientos.
stión.
o
del sistema de información.
tware y equipos de comunicaciones.
de partes externas.
presencia de una vulnerabilidad no causa daños por si misma, dado que es necesario que exista una
nte para explotarla. Una vulnerabilidad que no tiene una amenaza puede no requerir la
de un control.
Descripción de la vulnerabilidad
Mantenimiento insuficiente / instalación defectuosa de medios de almacenamiento
La falta de planes de sustitución periódicas
La susceptibilidad a la humedad, el polvo, la suciedad
Sensibilidad a la radiación electromagnética
La falta de control de cambio de configuración eficiente
La susceptibilidad a las variaciones de voltaje
La susceptibilidad a las variaciones de temperatura
Almacenamiento sin protección
La copia no controlada
No hay pruebas de software o insuficiente
Defectos conocidos en el software
No 'Cerrar sesión' al salir de la estación de trabajo
Eliminación o reutilización de los medios de almacenamiento sin borrado adecuada
La falta de seguimiento de auditoría
La asignación de derechos de acceso incorrecto
Software distribuido ampliamente
En terminos de tiempo utilizacion de datos errados en los programas de aplicación
Interfaz de usuario complicada
La falta de documentación
Parámetro incorrecto configurado
Fechas incorrectas
La falta de mecanismos de identificación y autenticación como la autenticación de usuarios
Tablas de contraseñas no protegidas
La mala gestión de contraseñas
Servicios innecesarios habilitadas
Software inmadura o una nueva
Especificaciones confusas o incompletas para desarrolladores
La falta de control de cambio de efectivo
La descarga incontrolada y uso del software
La falta de copias de seguridad
La falta de protección física de los edificios, puertas y ventanas
Falta de presentación de informes de gestión
La falta de prueba de envío o recepción de un mensaje
Líneas de comunicación no protegidos
El tráfico sensible sin protección
Cableado deficiente conjunta
Punto único de fallo
La falta de identificación y autenticación de remitente y el receptor
Arquitectura de red insegura
Transferencia de contraseñas en claro
Inadequatenetworkmanagement (resiliencia de enrutamiento)
Conexiones de red pública no protegidos
Ausencia de personal
La insuficiencia de los procedimientos de contratación
Formación de seguridad insuficientes
El uso incorrecto de software y hardware
La falta de conciencia de seguridad
La falta de mecanismos de seguimiento
El trabajo no supervisado por el exterior o el personal de limpieza
La falta de políticas para el correcto uso de los medios de telecomunicaciones y mensajería
El uso inadecuado o negligente de control de acceso físico a los edificios y recintos
Ubicación en un área susceptible a las inundaciones
Red de energía inestable
La falta de protección física de los edificios, puertas y ventanas
Fallas o ausencia de un procedimiento establecido para la administración, registro, modificación y
retiro de usuarios.
Fallas o ausencia de un procedimiento o proceso establecido para la revisión y/o supervisión de los
derechos de acceso de los usuarios.
Ausencia de cláusulas de seguridad de la información y ciberseguridad en los contratos con los
colaboradores, proveedores, clientes y/o terceras partes.
Fallas o ausencia de procedimientos de monitoreo y/o seguimiento de los recursos de información.
Fallas o ausencia de auditorías periódicas.
Fallas o ausencia en los procedimientos de identificación y valoración de riesgos.
Fallas o ausencia de reportes que identifican las actividades realizadas por los administradores y
usuarios de los sistemas.
Nivel de servicio bajo en relación al mantenimiento de los sistemas de información.
Fallas o ausencia de políticas y/o procedimientos sobre la limpieza del escritorio o pantalla del
equipo de cómputo.
Fallas o ausencia de autorización en el procesamiento de la información.
Fallas o ausencia de mecanismos de monitoreo o seguimiento para brechas en seguridad de la
información y/o ciberseguridad.
Fallas o ausencia de verificaciones periódicas por parte de los dueños de los procesos.
Fallas o ausencia de procedimientos para la presentación de informes sobre las debilidades en la
seguridad de la información y/o ciberseguridad.
Fallas o ausencia de procedimientos del cumplimiento de las disposiciones legales relacionadas con
los derechos intelectuales y/o protección de datos personales.
Amenazas
Incumplimiento en el mantenimiento del sistema
de información
La destrucción de los equipos o medios
El polvo, la corrosión, la congelación
Radiación electromagnética
Error en uso
La pérdida de la fuente de alimentación
Fenómeno meteorológico
El robo de los medios de comunicación o
documentos
El robo de los medios de comunicación o
documentos
El robo de los medios de comunicación o
documentos
Abuso de los derechos
Abuso de los derechos
Abuso de los derechos
Abuso de los derechos
Abuso de los derechos
Abuso de los derechos
La corrupción de los datos
La corrupción de los datos
Error en uso
Error en uso
Error en uso
Error en uso
Falsificacion de derechos
Falsificacion de derechos
Falsificacion de derechos
Procesamiento ilegal de datos
Mal funcionamiento de software
Mal funcionamiento de software
Mal funcionamiento de software
La manipulación de software
La manipulación de software
El robo de los medios de comunicación o
documentos
El uso no autorizado de equipos
La negación de las acciones
Escuchas ilegales
Escuchas ilegales
La falta de equipo de telecomunicaciones
La falta de equipo de telecomunicaciones
Falsificacion de derechos
Espionaje remoto
Espionaje remoto
La saturación del sistema de información
El uso no autorizado de equipos
El incumplimiento de la disponibilidad de personal
La destrucción de los equipos o medios
Error en uso
Error en uso
Error en uso
Procesamiento ilegal de datos
El robo de los medios de comunicación o
documentos
El uso no autorizado de equipos
La destrucción de los equipos o medios
Inundación
La pérdida de la fuente de alimentación
Robo de equipos
Abuso de los derechos
Robo de equipos
Robo de equipos
Robo de equipos
El robo de los medios de comunicación o
documentos
El robo de los medios de comunicación o
documentos
El robo de los medios de comunicación o
documentos
El uso no autorizado de equipos
El uso no autorizado de equipos
Se debe realizar la identificación de los controles existentes para evitar trabajo o costos innecesarios, por ejemplo la
duplicidad de controles, además de esto mientras se identifican los controles se recomienda hacer una verificación para
garantizar que los existentes funcionan correctamente.
Los controles que se planifican para implementar de acuerdo con los planes de implementación de tratamiento de riesgo, se
deberían considerar en la misma forma que aquellos que ya están implementados.
NOTA 1: Los controles incluyen cualquier proceso, política, dispositivo, práctica, u otras acciones que
modifiquen un riesgo.
NOTA 2: Los controles no siempre pueden proporcionar el efecto de modificación previsto o asumido.
1 - Baja El evento puede ocurrir en algún momento. No se ha presentado en los últimos 3 años
2 - Moderada
El evento probablemente ocurriría en la mayoría de las circunstancias. Al menos una vez en el ultimo año
3 - Alta Se espera que el evento ocurra en la mayoría de las circunstancias. Mas de una vez al año.
Impacto / Consecuencia (Financiero - Económico - Legal - Imagen Reputacional - Operativo - Sanción o Multa - Medio Am
1 - Bajo Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad.
2 - Moderado Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad.
3 - Alto Si el hecho llegara a presentarse, tendría altas y desastrosas consecuencias o efectos sobre la entidad.
Alto (3) 2 1
Probabilidad
Moderada (2) 4 3
Bajo (1)
s
en el ultimo año
ño.
d.
ad.
e la entidad.
ar el riesgo
2 - Improbable El evento puede ocurrir solo en algún momento. Al menos una vez en los últ
3 - Posible El evento podría ocurrir en algún momento. Al menos una vez en los último
5 - Casi Seguro Se espera que el evento ocurra en la mayoría de las circunstancias. Mas de un
Impacto / Consecuencia
2 - Menor Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad
Raro (1)
Improbable (2)
Probabilidad
Posible (3)
Probable (4)
mpacto / Consecuencia
Asumir el riesgo
5 - 6 - 8 - 9 - 10)
Asumir el riesgo, evaluar, reducir el riesgo.
1
Según la norma ISO 27000:2013 un activo es todo aquello que tiene valor para la entidad y que, por lo tanto,
La identificación de activos se debería llevar acabo con un nivel adecuado de detalle que proporcione informac
es necesario revisar la guía de gestión de activos.
Tipo de activo
(Información, Instalaciones, Redes
Area o
Nro de comunicaciones, Servicio,
Departamento
Software, Hardware, Recurso
Humano, Claves criptográficas)
n nivel adecuado de detalle que proporcione información suficiente para la valoración del riesgo. Para realizar esta identific
Aplicación de Nomina
ción suficiente para la valoración del riesgo. Para realizar esta identificación
Proceso
Nomina
Tecnología
Contabilidad
Tarjeta de Crédito
Tarjeta de Crédito
Tecnología
Tecnología
Tecnología
Tecnología
Tecnología
Tecnología
Tecnología
Tecnología
Tecnología
Tecnología
Tecnologia
Descripción del activo Ubicación fisica
Centro de
Aplicación Core que usan los empleados de la empresa Procesamiento de
Datos
Bases de datos (Valor Anual)
Responsable de la generacion de la transacción
Financiero
Juridico
Imagen
Responsable
Propietario Costo $
(Custodio)
Financiero
Juridico
Juridico
Imagen
Imagen
Confidencialidad Integridad
(3 Alta / 2 Media/ 1 Baja) (3 Alta / 2 Media/ 1 Baja)
3 2 2 2 1 1 2.7 2.3
Valoración
Tipo de Informaciòn
Disponibilidad
(Confidencial / Uso Interno / Uso
(3 Alta / 2 Media/ 1 Baja)
Externo / Publica)
1.3 Publica
Vulnerabilidades
Nro. Activos Procesos Riesgos Amenazas (Posible
explotación)
Probabilidad
Confidencialidad Integridad Disponibilidad Operativo
(Posibilidad)
Imagen Medio
Financiero Juridico Sanción o multa
Reputacional Ambiente
Brecha de CIS
Acciones a Desarrollar NIST COBIT
Seguridad CONTROL
25-Sep-22 25-Oct-22
Mitigar
Asumir
Eliminar
Trasnferir
Preventivo
Detectivo
Correctivo
Estrategias
Implemento controles para reducir el nivel de riesgo.
Se asume o retiene el riesgo en su nivel actual.
Cancelo la actividad que genera el riesgo.
Comparto el riesgo con partes externas (compra de un seguro o tercerización de servicios)
Tipo de Control
Anticipan eventos no deseados antes de que sucedan.
Identifican los eventos en el momento en que se presentan.
Aseguran que las acciones correctivas sean tomadas para revertir un evento no deseado.