Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Mapa de Riesgo Base.
Mapa de Riesgo Base.
Definir, adquirir, implementar las Tecnologías de la información y las comunicaciones (Tics) de acuerdo con los planes, programas, presupuesto y recursos disponibles para SECUREREG de modo que estas se conviertan en herramientas de apoyo a la gestión administrativa y misional, en
Objetivo del Proceso:
términos de calidad, efectividad, adición de valor y competitividad.
CODIGO: S-MR-01
VERSIÓN: 00
FASE: IDENTIFICACIÓN DE RIESGOS
FECHA:
NOMBRE DEL PROCESO OBJETIVO DEL PROCESO
Definir, adquirir, implementar las Tecnologías de la información y las comunicaciones (Tics) de acuerdo con los planes, programas, presupuesto y recursos
GESTION DE LA SEGURIDAD INFORMATICA SEGÚN LAS
disponibles para SECUREREG de modo que estas se conviertan en herramientas de apoyo a la gestión administrativa y misional, en términos de calidad,
CONDICIONES DE OWASP Y LA NORMATIVIDAD ISO 27001
efectividad, adición de valor y competitividad.
La implementación de políticas de
bloqueo después de un número
determinado de intentos fallidos de
inicio de sesión es una solución costo
efectiva a corto plazo, ya que no
requiere de grandes inversiones en
tecnología o personal. Sin embargo,
CAMBIOS EN LOS es importante considerar el impacto Implementar políticas de bloqueo después de "n" intentos fallidos de
R2 Ataque de fuerza bruta 4 4 OPERATIVO 64 ZONA RIESGO EXTREMA EVITAR EL RIESGO
PROCEDIMIENTOS en la experiencia del usuario, ya que inicio de sesión.
un bloqueo excesivamente estricto
puede resultar en un aumento de
llamadas de soporte técnico. Además,
es importante monitorear
constantemente los intentos de inicio
de sesión para ajustar las políticas
según sea necesario.
FASE: GRÁFICA
FECHA: 4/17/2023
NOMBRE DEL PROCESO OBJETIVO DEL PROCESO
GESTION DE LA
SEGURIDAD
Definir, adquirir, implementar las Tecnologías de la información y las comunicaciones (Tics) de acuerdo con los planes, programas, presupuesto y recursos disponibles para
INFORMATICA SEGÚN LAS
SECUREREG de modo que estas se conviertan en herramientas de apoyo a la gestión administrativa y misional, en términos de calidad, efectividad, adición de valor y
CONDICIONES DE OWASP
competitividad.
Y LA NORMATIVIDAD ISO
27001
GESTION DE LA SEGURIDAD INFORMATICA SEGÚN LAS CONDICIONES DE OWASP Y LA NORMATIVIDAD ISO 27001
5 Impacto
Proceso No. Riesgo Probabilidad (Y)
(X)
Casi
Seg.
GESTION DE R1 5 3
LA SEGURIDAD R2 4 4
4 R2 INFORMATICA
R3 3 2
R5 SEGÚN LAS
PosibleProba.
CONDICIONES R4 4 3
PROBABILIDAD
R4 DE OWASP Y
3 R1
R7 LA R5 3 4
NORMATIVIDAD R6 4 2
ISO 27001
R6 R7 5 3
2 R3
Imp.
1
Raro
0
ZONA RIESGO EXTREMA
0 1 2 3 4 5 ZONA RIESGO ALTA
INSIG. MENOR MOD. MAYOR CAT IMPACTO ZONA RIESGO MODERADA
ZONA RIESGO BAJA
RIESGO INHERENTE 52
Control Interno: La disminucion de la probabilidad e impacto dependerá del cumplimiento de uno de los dos factores mencionados a
continuación
1. Cuando el riesgo residual sea =< a 25
2. Cuando de acuerdo al criterio de la coordinación de Control Interno, basados en datos históricos se determine que la ponderación inicial no
refleja la realidad del riesgo en el proceso.
Definir, adquirir,ISO
SEGURIDAD INFORMATICA SEGÚN LAS CONDICIONES DE OWASP Y LA NORMATIVIDAD implementar
27001 las
CALIFICACION NUEVA CALIFICACIÓN
No. DEL ENCARGADO DE DAR
NOMBRE DEL RIESGO PROBABILIDAD EVALUACION PERFIL DEL NUEVA EVALUACIÓN OPCIONES MANEJO ACCIONES INDICADOR
RIESGO IMPACTO (1-5) CONTROLES REDUCE PROBABILIDAD IMPACTO RESPUESTA
(1-5) RIESGO RIESGO (1-100)
Implementar soluciones de
protección contra DDoS, como
firewalls de aplicaciones web (WAF),
ZONA
Ataque de denegación de servicio distribuido ZONA RIESGO servicios de mitigación de DDoS o
R1 3 5 RIESGO .. 1 3 12 EVITAR EL RIESGO
(DDoS) MODERADA soluciones de balanceo de carga.
EXTREMA También es recomendable tener un
plan de contingencia en caso de un
ataque DDoS.
ZONA Implementar políticas de bloqueo
R2 Ataque de fuerza bruta 4 4 RIESGO .. 2 2 16 ZONA RIESGO BAJA EVITAR EL RIESGO después de "n" intentos fallidos de
EXTREMA inicio de sesión.
ZONA Realizar copias de seguridad
R3 Copia de seguridad insuficiente 2 3 RIESGO .. 0 1 0 FALSE REDUCIR EL RIESGO regulares y almacenarlas en un lugar
MODERADA seguro, fuera del sitio.
ZONA Validar todas las entradas de usuario
R4 Ataque de inyección SQL 3 4 RIESGO .. 1 2 8 ZONA RIESGO BAJA EVITAR EL RIESGO y usar parámetros de consulta
EXTREMA preparados.
GRAFICA DESPUÉS
FASE:
DEL CONTROL
FECHA: 4/17/2023
GESTION DE LA SEGURIDAD INFORMATICA SEGÚN LAS CONDICIONES DE OWASP Y LA NORMATIVIDAD ISO 27001
5 Impacto
Proceso No. Riesgo Probabilidad (Y)
(X)
Casi
Seg.
R1 3 1
GESTION DE R2 2 2
4 LA SEGURIDAD R3 1 0
Proba.
INFORMATICA
SEGÚN LAS R4 2 1
CONDICIONES
R5 1 2
PROBABILIDAD
DE OWASP Y
3 LA R6 2 0
NORMATIVIDA
Posible
D ISO 27001
R7 3 1
2 R2
Imp.
R5
1 R4 R7
R1
Raro
R6
0 R3
0 0.5 1 1.5 2 2.5 3 3.5 4 4.5 5 ZONA RIESGO EXTREMA
ZONA RIESGO ALTA
INSIG. MENOR MOD. MAYOR CAT IMPACTO ZONA RIESGO MODERADA
ZONA RIESGO BAJA