Documentos de Académico
Documentos de Profesional
Documentos de Cultura
No. Proceso
Gestión de la
1 documentación
Admon. Portal de
2 terceros
Identificación y carge de
documentos en sistema
3 interno
`
Área de negocio Proceso Activo Propietario Ubicación
Valor Descripción
detección
inherente
control
Sensibilidad de los activos
Clasificación C I D Total1 Valor1 Valor2
1 3 2 6 Medio 2
1 1 1 3 Bajo 1
3 3 3 9 Medio 2
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
Impacto →
Exposición Severidad
ones, '-' para ocultar
Las claves del portal de documentos son un activo de informacion de alto impacto puesto que el que
tenga acceso a ellas puede modificar, suplantar y sustraer informacion vital de gas natural.
Los equipos de computo tiene un alto impacto puesto que en ellos se almacen una gran cantidad de
informacion como por ejemplo los documentos normativos, los aplicativos que soportan los procesos
de negocio el que logre evadir los permisos de los equipos tiene acceso a toda esta informacion.
Los usuarios almacenados en Signatural tambien tienen un alto impacto puesto que si alguien tiene
acceso a ellos puede modificar las claves de acceso al portal de documentos y a su vez puede
modifcar, suplantar y sustraer informacion vital de gas natural.
El correo electronico de la empresa almacena informacion confidencial de la misma, por ejemplo
reuniones, modificaciones de los procesos de negocio, informacion de pagos, el acceso sin
autorizacion de cataloga como delito informatico.
Vulnerabilidades →
Valor
Capacidad
cantidad significativa de recursos para
explotar la vulnerabilidad y tiene un potencial
2 significativo de pérdida o daño en el activo; o
se requieren pocos recursos para explotar la
vulnerabilidad y tiene un potencial moderado
de pérdida o daño en el activo.
Análisis de vulnerabilidades
Vulnerabilidad Severidad Exposición Valor3
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
Valor Descripción
Capacidad moderada. Se tiene el conocimiento y habilidades para realizar el ataque, pero pocos recursos. O, tiene
2 suficientes recursos, pero conocimiento y habilidades limitadas.
3 Altamente capaz. Se tienen los conocimientos, habilidades y recursos necesarios para realizar un ataque.
Análisis de amenazas
Agente Evento de amenaza Capacidad
Valor Descripción
3 5 5 2 3 6
-1 -1 -1 3
-1 -1 -1 9
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
Riesgos iniciales →
ón
enazas ocurra.
e ocurrrir la amenaza.
s y la amenaza seguramente
180 BAJO Ä
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
Descripción
Severidad Menor: se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene poco potencial de
pérdida o daño en el activo.
Severidad Moderada: se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene un potencial
significativo de pérdida o daño en el activo; o se requieren pocos recursos para explotar la vulnerabilidad y tiene un potencial
moderado de pérdida o daño en el activo.
Severidad Alta: se requieren pocos recursos para explotar la vulnerabilidad y tiene un potencial significativo de pérdida o daño
en el activo.
Exposición Menor: los efectos de la vulnerabilidad son mínimos. No incrementa la probabilidad de que vulnerabilidades
adicionales sean explotadas.
Exposición Moderada: la vulnerabilidad puede afectar a más de un elemento o componente del sistema. La explotación de la
vulnerabilidad aumenta la probabilidad de explotar vulnerabilidades adicionales.
Exposición Alta: la vulnerabilidad afecta a la mayoría de los componentes del sistema. La explotación de la vulnerabilidad
aumenta significativamente la probabilidad de explotar vulnerabilidades adicionales.
Descripción del control Severidad Exposición
1 1
1 1
1 1
1 1
-14 1
1 2
2 2
1 1
1 1
1 1
1 1
1 2
1 2
1 2
Riesgo residual →
Valor Descripción
y tiene un potencial
d y tiene un potencial 2 Media, se han presentado casos y puede ocurrrir la amenaza.
vulnerabilidades
a. La explotación de la
de la vulnerabilidad
1 5 1 2 6 60
-1 -1 -1 3 0
-1 -1 -1 9 0
1 -1 1 1 0 0
1 -1 1 1 0 0
1 -1 1 1 0 0
1 -1 1 2 0 0
-14 -1 -14 1 0 0
2 -1 2 3 0 0
3 -1 3 2 0 0
1 -1 1 1 0 0
1 -1 1 1 0 0
1 -1 1 1 0 0
1 -1 1 1 0 0
2 -1 2 3 0 0
2 -1 2 3 0 0
2 -1 2 3 0 0
Tratamiento →
evitar
RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
REDUCIR
REDUCIR
RETENER
Controles Recomendados (Ejemplo con ISO/IEC 27001:2005)
Controles →
Umbrales →
UMBRALES DE RIESGO LIMITE INFERIOR LÍMITE SUPERIOR %umbral
ALTO 751 1125 33.24%
MEDIO 376 750
33.24%
BAJO 1 375 33.24%
1125 #REF!
Empresa:
Tel:
Dirección:
Desarrollado por:
MAPA DE RIE
Identificación del riesgo Calificacion d
Nº DE
RIESGO CAUSAS CONSECUENCIAS PROBABILIDAD
RIESGO
* No
divulgar
clave
* Anotar la
3 0 ALTO #DIV/0!
clave en un
sitio seguro
*Cerrar
sesión
0 0 ALTO #DIV/0!
VALORACION CONTROL
EXCELENTE 5
MEDIO 4
REGULAR 3
BAJO 2
NULO 1
Riesgo Inherente Total
EXTREMO 0 Riesgo residual
ALTO 0
MODERADO 0
BAJO 0
TOTALES 0 EXTREMO
ALTO
MODERADO
BAJO
Riesgo Residual Total
EXTREMO 0
ALTO 0
MODERADO #DIV/0!
BAJO #DIV/0!
TOTALES #DIV/0!
-1
-1.2
-1
-1.2
Riesgo inherente
EXTREMO EXTREMO
ALTO ALTO
MODERADO MODERADO
BAJO BAJO
Vulnerabilidades
0
-0.2
-0.4
-0.6
-0.8
-1
-1.2
Eventos de amenazas
0
-0.2
-0.4
-0.6
-0.8
-1
-1.2
-1.2