Análisis de riesgos y amenazas de seguridad de la información

No. Proceso

Gestión de la
1 documentación

Admon. Portal de
2 terceros

Identificación y carge de
documentos en sistema
3 interno
 `
Área de negocio Proceso Activo Propietario Ubicación

Computadores de Edificio 2. Area

escritorio de recepción de
Compras 1 Tec. José Pérez merc
 Sensibilidad →
de la información

Valor Descripción

La brecha puede resultar en poca o

1 nula pérdida o daño.

La brecha puede resultar en una

2 pérdida o daño menor.

La brecha puede resultar en una

pérdida o daño serio, y los procesos
3 del negocio pueden verse afectados
negativamente.

La brecha puede resultar en una

pérdida o daño serio, y los procesos
4 del negocio pueden fallar o
interrumpirse.

La brecha puede resultar en altas

5 pérdidas. Los procesos del negocio
fallarán.
 <---Click en '+' para mostrar descripciones, '-' para ocultar

detección
inherente
control
Sensibilidad de los activos
Clasificación C I D Total1 Valor1 Valor2

1 3 2 6 Medio 2

1 1 1 3 Bajo 1

3 3 3 9 Medio 2

0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
 Impacto →
Exposición Severidad
ones, '-' para ocultar

Descripción de impactos al negocio

Las claves del portal de documentos son un activo de informacion de alto impacto puesto que el que
tenga acceso a ellas puede modificar, suplantar y sustraer informacion vital de gas natural.
Los equipos de computo tiene un alto impacto puesto que en ellos se almacen una gran cantidad de
informacion como por ejemplo los documentos normativos, los aplicativos que soportan los procesos
de negocio el que logre evadir los permisos de los equipos tiene acceso a toda esta informacion.
Los usuarios almacenados en Signatural tambien tienen un alto impacto puesto que si alguien tiene
acceso a ellos puede modificar las claves de acceso al portal de documentos y a su vez puede
modifcar, suplantar y sustraer informacion vital de gas natural.
El correo electronico de la empresa almacena informacion confidencial de la misma, por ejemplo
reuniones, modificaciones de los procesos de negocio, informacion de pagos, el acceso sin
autorizacion de cataloga como delito informatico.
 Vulnerabilidades →
Valor

Severidad Menor: se requiere una cantidad

significativa de recursos para explotar la
1 vulnerabilidad y tiene poco potencial de
pérdida o daño en el activo.

Severidad Moderada: se requiere una

Capacidad
cantidad significativa de recursos para
explotar la vulnerabilidad y tiene un potencial
2 significativo de pérdida o daño en el activo; o
se requieren pocos recursos para explotar la
vulnerabilidad y tiene un potencial moderado
de pérdida o daño en el activo.

Severidad Alta: se requieren pocos recursos

para explotar la vulnerabilidad y tiene un
3 potencial significativo de pérdida o daño en el
activo.

Exposición Menor: los efectos de la

vulnerabilidad son mínimos. No incrementa la
1 probabilidad de que vulnerabilidades
adicionales sean explotadas.

Exposición Moderada: la vulnerabilidad

Motivación

puede afectar a más de un elemento o

2 componente del sistema. La explotación de la
vulnerabilidad aumenta la probabilidad de
explotar vulnerabilidades adicionales.

Exposición Alta: la vulnerabilidad afecta a la

mayoría de los componentes del sistema. La
3 explotación de la vulnerabilidad aumenta
significativamente la probabilidad de explotar
vulnerabilidades adicionales.
<---Click en '+' para mostrar métricas, '-' para ocultar

Análisis de vulnerabilidades
Vulnerabilidad Severidad Exposición Valor3

informacion inadecuada para favorecer a terceros 2 1 2

-1

-1

-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
Valor Descripción

1 Poca o nula capacidad de realizar el ataque.

Capacidad moderada. Se tiene el conocimiento y habilidades para realizar el ataque, pero pocos recursos. O, tiene
2 suficientes recursos, pero conocimiento y habilidades limitadas.

3 Altamente capaz. Se tienen los conocimientos, habilidades y recursos necesarios para realizar un ataque.

1 Poca o nula motivación. No se está inclinado a actuar.

2 Nivel moderado de motivación. Se actuará si se le pide o provoca.

3 Altamente motivado. Casi seguro que intentará el ataque.

<---Click en '+' para mostrar métricas, '-' para ocultar

Análisis de amenazas
Agente Evento de amenaza Capacidad

agente interno alimentar de manera malisiosa 3

 Amenazas →

Valor Descripción

1 Baja, no hay historial y es raro que la amenazas ocurra.

Probabilidad de ocurrencia

zar el ataque, pero pocos recursos. O, tiene

2 Media, se han presentado casos y puede ocurrrir la amenaza.

Alta, se han presentado suficientes casos y la amenaza seguramente

ecesarios para realizar un ataque. 3 ocurrirá.

Riesgo Total = Amenaza x Vulnerabilidad x Probabili

 <---Click en '+' para mostrar métricas, '-' para ocultar

Riesgo = Amenaza x Vulnerabilidad x Probabilidad x Impacto

Motivación Valor4 Amenaza Vulnerabilidad Probabilidad Impacto

3 5 5 2 3 6

-1 -1 -1 3

-1 -1 -1 9

-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
-1 -1 -1 0
 Riesgos iniciales →
ón

enazas ocurra.

e ocurrrir la amenaza.

s y la amenaza seguramente

= Amenaza x Vulnerabilidad x Probabilidad x Impacto

babilidad x Impacto
Riesgo Total NIVEL BAJO MEDIO ALTO

180 BAJO Ä

0 ERROR

0 ERROR

0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
0 ERROR
 Descripción

Severidad Menor: se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene poco potencial de
pérdida o daño en el activo.

Severidad Moderada: se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene un potencial
significativo de pérdida o daño en el activo; o se requieren pocos recursos para explotar la vulnerabilidad y tiene un potencial
moderado de pérdida o daño en el activo.

Severidad Alta: se requieren pocos recursos para explotar la vulnerabilidad y tiene un potencial significativo de pérdida o daño
en el activo.

Exposición Menor: los efectos de la vulnerabilidad son mínimos. No incrementa la probabilidad de que vulnerabilidades
adicionales sean explotadas.

Exposición Moderada: la vulnerabilidad puede afectar a más de un elemento o componente del sistema. La explotación de la
vulnerabilidad aumenta la probabilidad de explotar vulnerabilidades adicionales.

Exposición Alta: la vulnerabilidad afecta a la mayoría de los componentes del sistema. La explotación de la vulnerabilidad
aumenta significativamente la probabilidad de explotar vulnerabilidades adicionales.
 Descripción del control Severidad Exposición

candado cuando halla suficiente stock 1 1

1 1
1 1
1 1
1 1
-14 1
1 2
2 2
1 1
1 1
1 1
1 1
1 2
1 2
1 2
 Riesgo residual →
Valor Descripción

ene poco potencial de

1 Baja, no hay historial y es raro que la amenazas ocurra.

y tiene un potencial
d y tiene un potencial 2 Media, se han presentado casos y puede ocurrrir la amenaza.

ativo de pérdida o daño

3 Alta, se han presentado suficientes casos y la amenaza seguramente ocurrirá.

vulnerabilidades

a. La explotación de la

de la vulnerabilidad

Riesgo Total = Amenaza x Vulnerabilidad x Probabilidad x Impacto

 Con control

Riesgo con control = Amenaza x Vulnerabilidad x Probabilidad x Impacto

Valor Amenaza Vulnerabilidad Probabilidad Impacto Riesgo Residual

1 5 1 2 6 60

-1 -1 -1 3 0

-1 -1 -1 9 0

1 -1 1 1 0 0
1 -1 1 1 0 0
1 -1 1 1 0 0
1 -1 1 2 0 0
-14 -1 -14 1 0 0
2 -1 2 3 0 0
3 -1 3 2 0 0
1 -1 1 1 0 0
1 -1 1 1 0 0
1 -1 1 1 0 0
1 -1 1 1 0 0
2 -1 2 3 0 0
2 -1 2 3 0 0
2 -1 2 3 0 0
 Tratamiento →

idad x Probabilidad x Impacto

 ISO/IEC 27005:2008:
REDUCIR (REDUCTION)
RETENER (RETENTION)
EVITAR (AVOIDANCE)
TRANSFERIR (TRANSFER)
<---Click en '+'
Administración de riesgos

evitar

RETENER

RETENER

RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
REDUCIR
REDUCIR
RETENER
Controles Recomendados (Ejemplo con ISO/IEC 27001:2005)
Controles →

Umbrales →
UMBRALES DE RIESGO LIMITE INFERIOR LÍMITE SUPERIOR %umbral
ALTO 751 1125 33.24%
MEDIO 376 750
33.24%
BAJO 1 375 33.24%
1125 #REF!
Empresa:

Tel:

Dirección:

Desarrollado por:
 MAPA DE RIE
Identificación del riesgo Calificacion d
Nº DE
RIESGO CAUSAS CONSECUENCIAS PROBABILIDAD
RIESGO

EFICACIA DEL CONTROL

ALTO 4
MEDIO 3
BAJO 2
INEXISTENTE 1
A DE RIESGOS
lificacion del riesgo Valoracion del riesgo
EVALUACIO GRADO DE
NIVEL DE CONTROLES VALORACIO
N DEL EFICACIA EXPOSICIO
IMPACTO RIESGO EXISTENTE N DEL
RIESGO CONTROL N
INHERENTE S CONTROL
(RESIDUAL)

* No
divulgar
clave
* Anotar la
3 0 ALTO #DIV/0!
clave en un
sitio seguro
*Cerrar
sesión

0 0 ALTO #DIV/0!

VALORACION DEL RIESGO

NIVEL DE RIESGO INHERENTE CALIFICACION
EXTREMO 41 A 75
ALTO 21 A 40
MODERADO 11 A 20
BAJO 1 A 10

VALORACION DEL RIESGO

NIVEL DE RIESGO RESIDUAL CALIFICACION
EXTREMO 41 A 75
ALTO 21 A 40
MODERADO 11 A 20
BAJO 1 A 10
l riesgo
NIVEL DE
RIESGO
RESIDUAL

VALORACION CONTROL
EXCELENTE 5
MEDIO 4
REGULAR 3

BAJO 2

NULO 1
Riesgo Inherente Total
EXTREMO 0 Riesgo residual
ALTO 0

MODERADO 0

BAJO 0
TOTALES 0 EXTREMO
ALTO
MODERADO
BAJO
Riesgo Residual Total
EXTREMO 0

ALTO 0

MODERADO #DIV/0!

BAJO #DIV/0!
TOTALES #DIV/0!

Vulnerabilidad Severidad Exposición Valor3 0

-1
-1 -0.2
-1
-1 -0.4
-1
-1 -0.6
-1
-0.8
-1
-1
Evento de amenaza Capacidad Motivación Valor4
-1 -1.2
-1
-1
-1
-1
-1
-1
-1 0
-1
-1 -0.2
-1
-1 -0.4
-1
-1
-0.6
-1
-1
-1 -0.8

-1

-1.2
 -1

-1.2
 Riesgo inherente

EXTREMO EXTREMO
ALTO ALTO
MODERADO MODERADO
BAJO BAJO

Vulnerabilidades
0

-0.2

-0.4

-0.6

-0.8

-1

-1.2

Severidad Exposición Valor3

Eventos de amenazas
0

-0.2

-0.4

-0.6

-0.8

-1

-1.2

Capacidad Motivación Valor4

 -1

-1.2

Capacidad Motivación Valor4