CATALINA NAYIVE GIRALDO MEJIA

JULIANA SANCHEZ RAMIREZ

NILSON DANILO SALAMANCA DÍAZ
JULIANA SÁNCHEZ RAMÍREZ
ESTEFANIA FUENTES FERNANDEZ

Usted debe:

1. Identificar 5 activos de información, describiendo el propietario, el por qué es crítico

2. Identificar 5 activos informáticos, identificando el grado de criticidad.
3. A cada activo identificar tres (3) riesgos, con su probabilidad e impacto
4. Realizar el análisis y evaluación de riesgos mediante una matriz de riesgos y seleccione
los 10 riesgos de más alto nivel
5. Con los riesgos seleccionados debe ubicar el dominio en el anexo A de la Norma ISO
27001 al que pertenezca el activo y su riesgo, Enunciar la política u objetivo de seguridad y
el o los controles propuestos personalizados o contextualizados a la empresa

ACTIVOS INFORMÁTICOS

1. Infraestructura de red cableada e inalámbrica.

PROBABILIDAD IMPACTO RIESGO

Desgaste del cableado 4 5 20

Errores de mantenimiento/ actualización 1 1 1

Manipulación del hardware 3 2 6

2. Servidores

PROBABILIDAD IMPACTO RIESGO

Desastres naturales 3 5 15

Avería de origen lógico o físico 3 2 6

Acceso no autorizado 1 3 3

3. Copias de seguridad

PROBABILIDAD IMPACTO RIESGO

Manipulación del hardware 2 1 2

Errores del administrador del sistema 5 4 20

Acceso no autorizado 3 4 12

4. Estaciones de trabajo y dispositivos móviles

PROBABILIDAD IMPACTO RIESGO

Fuego 3 2 6

Daño por agua 3 2 6

Contaminación medioambiental 3 4 12

5. Seguridad física

PROBABILIDAD IMPACTO RIESGO

Condiciones inadecuadas de temperatura o

humedad. 2 5 10

Acceso no autorizado 2 5 10
Desastres naturales 2 2 4

ACTIVOS DE INFORMACIÓN

1. Servidores

PROBABILIDAD IMPACTO RIESGO

Se dañe el servidor 2 3 6

Pérdida de datos 2 4 6

Acceso no autorizado 3 3 9

2. Datos del cliente

PROBABILIDAD IMPACTO RIESGO

Sea robado por un hacker 5 4 20

utilizarla para otras cosas 4 3 12

Acceso no autorizado 9

3 3
 9

3. Datos de empleados

PROBABILIDAD IMPACTO RIESGO

Suplantar a un empleado 4 4 18

utilizarla para otras cosas 4 3 12

Acceso no autorizado 3 3 9

4. Copia de seguridad
PROBABILIDAD IMPACTO RIESGO

No hacer copia 5 5 25

Perder información 4 3 12

Daño en la copia 2 2 4

5. Utilizar barreras físicas de seguridad

PROBABILIDAD IMPACTO RIESGO

No hacer copia de seguridad 5 5 25

Daño en la información 4 3 12

Se roben la copia de seguridad 5 4 20

CONTROL A LOS A LOS ACTIVOS DE INFORMACIÓN

1. INFRAESTRUCTURA DE RED CABLEADA E INALÁMBRICA.

Desgaste del cableado:

A.9.2.3 Seguridad del cableado.

La empresa adoptará un sistema de cableado robusto y eficiente y garantizará que la red

inalámbrica soporte frecuencias y sistemas de seguridad.

Errores de mantenimiento/ actualización:

A.9.2.4 Mantenimiento de los equipos.

La empresa realizará un mantenimiento adecuado para evitar fallas en los equipos y en las
actualizaciones.

Manipulación del hardware:

A.8.1.2 Selección.

La empresa seleccionará adecuadamente el personal que tenga acceso a equipos y

revisará sus antecedentes de acuerdo con los reglamentos, la ética y las leyes pertinentes.

2. SERVIDORES.

Desastres naturales:

A.9.1.4 Protección contra amenazas externas y ambientales.

La empresa establecerá aplicar protecciones físicas contra daños por incendio, inundación,
terremoto, explosión, manifestaciones sociales y otras formas de desastre natural o artificial.

Avería de origen lógico o físico:

A.9.1.1 Perímetro de seguridad física.

La empresa hará una seguridad perimetral corresponde a la integración de elementos y

sistemas, tanto electrónicos​como mecánicos, para la protección de perímetros físicos.
Acceso no autorizado:

A.10.7.3 Procedimientos para el manejo de la información.

La empresa tendrá un estricto esquema de seguridad con el acceso a la información de

personal solo autorizado.

3. COPIAS DE SEGURIDAD

Condiciones inadecuadas de temperatura o humedad:

A.9.1.1 Perímetro de seguridad física.

La empresa hará una seguridad perimetral corresponde a la integración de elementos y

sistemas, tanto electrónicos​como mecánicos, para la protección de perímetros físicos.

Acceso no autorizado:

A.10.7.3 Procedimientos para el manejo de la información.

La empresa tendrá un estricto esquema de seguridad con el acceso a la información de

personal solo autorizado.

Desastres naturales:

A.9.1.4 Protección contra amenazas externas y ambientales.

La empresa establecerá aplicar protecciones físicas contra daños por incendio, inundación,
terremoto, explosión, manifestaciones sociales y otras formas de desastre natural o artificial.

4. ESTACIONES DE TRABAJO Y DISPOSITIVOS MÓVILES.

Fuego:

A.9.1.4 Protección contra amenazas externas y ambientales.

La empresa establecerá aplicar protecciones físicas contra daños por incendio, inundación,
terremoto, explosión, manifestaciones sociales y otras formas de desastre natural o artificial.

Daño por agua:

A.9.1.4 Protección contra amenazas externas y ambientales.

La empresa establecerá aplicar protecciones físicas contra daños por incendio, inundación,
terremoto, explosión, manifestaciones sociales y otras formas de desastre natural o artificial.

Contaminación medioambiental:

A.9.1.4 Protección contra amenazas externas y ambientales.

La empresa establecerá aplicar protecciones físicas contra daños por incendio, inundación,
terremoto, explosión, manifestaciones sociales y otras formas de desastre natural o artificial.

5. SEGURIDAD FÍSICA

Condiciones inadecuadas de temperatura o humedad:

A.9.1.1 Perímetro de seguridad física.

La empresa hará una seguridad perimetral corresponde a la integración de elementos y

sistemas, tanto electrónicos​como mecánicos, para la protección de perímetros físicos.

Acceso no autorizado:

A.10.7.3 Procedimientos para el manejo de la información.

La empresa tendrá un estricto esquema de seguridad con el acceso a la información de

personal solo autorizado.

Desastres naturales:

A.9.1.4 Protección contra amenazas externas y ambientales.

La empresa establecerá aplicar protecciones físicas contra daños por incendio, inundación,
terremoto, explosión, manifestaciones sociales y otras formas de desastre natural o artificial.

CONTROL A LOS ACTIVOS INFORMÁTICOS

1. SERVIDORES

Acceso no autorizado:

A.11.2.1. Registro de usuarios

La empresa determinará un procedimiento para controlar los permisos de acceso de

usuarios a los servidores

Pérdida de datos:

A.12.2.2. Control de procesamiento interno.

La empresa establecerá un sistema de control y back up de la información procesada para

evitar pérdidas y corrupción de la información.

Daño en el servidor:

A.9.2.1. Ubicación y protección de los equipos:

Los servidores estarán ubicados en un área protegida y segura, con el fin de evitar posibles
daños a la infraestructura.

2. DATOS DEL CLIENTE

Robo de datos:

A.15.1.2. Derechos de propiedad intelectual

La empresa implementará un control para asegurar la custodia y manejo de la información

sensible de los clientes.

Utilización inadecuada de los datos de los clientes:

A.15.1.4. Protección de los datos y privacidad de la información personal.

La empresa implementará una política para el tratamiento, manejo y custodia de datos

personales de los clientes, de acuerdo con la legislación aplicable y sus sanciones
pertinentes si se incumple.

Acceso no autorizado:

A.10.7.3 Procedimientos para el manejo de la información.

La empresa tendrá un estricto esquema de seguridad con el acceso a la información de

personal solo autorizado.

3.DATOS DE EMPLEADOS

Suplantación de empleado:

A.8.2.1 Responsabilidades de la dirección

Se implementará un manual con las responsabilidades para cada empleado, en el uso de

los activos de información de la compañía e igualmente para la utilización de credenciales y
permisos de acceso a los sistemas.

Utilización inadecuada de los datos de los empleados:

A.15.1.4. Protección de los datos y privacidad de la información personal.

La empresa implementará una política para el tratamiento, manejo y custodia de datos
personales de los clientes, de acuerdo con la legislación aplicable y sus sanciones
pertinentes si se incumple.

Acceso no autorizado:

A.10.7.3 Procedimientos para el manejo de la información.

La empresa tendrá un estricto esquema de seguridad con el acceso a la información de

personal solo autorizado.

4. COPIAS DE SEGURIDAD

No generar copias de seguridad:

A.6.1.3. Asignación de responsabilidades para la seguridad de la información.

Se designará el personal idóneo y capacitado, para garantizar que se realicen copias de

seguridad de la información de forma continua y de esta forma evitar pérdidas en la misma.

Pérdida de información:

A.7.2.2 Etiquetado y manejo de la información

Se designará un espacio para el archivo y custodia de la información tanto física como

digital en el cual se implementará un procedimiento para el control y etiquetado de dicha
información. (Gestión documental)

Daños en copias de seguridad:

A.10.5.1. Respaldo de la información

Se deben implementar copias de respaldo de la información, las cuales deben ser

monitoreadas de forma constante, para evitar posibles daños y fallas, que generen perdida
de información.

5. Barreras físicas de seguridad

No generar copias de seguridad:

A.6.1.3. Asignación de responsabilidades para la seguridad de la información.

Se designará el personal idóneo y capacitado, para garantizar que se realicen copias de

seguridad de la información de forma continua y de esta forma evitar pérdidas en la misma.

Daños en copias de seguridad:

A.11.1.1. Política de control de acceso

Se deberá estudiar la necesidad de las autorizaciones de ingreso a las áreas sensibles

donde se custodiará la información tanto física como digital.
Robo de información

A.11.5.1 Procedimientos de ingreso seguro.

Se implantará el procedimiento de registro para inicio seguro, para el acceso a todos los
sistemas de la compañía por medio de credenciales personales y tokens.

Robo de copias de seguridad.

A.11.6.1 Restricción de acceso a la información

Se deberá limitar el acceso a la información por parte de empleados y usuarios únicamente

a la requerida para el desarrollo de sus funciones.