Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Falta de definición de
SERVIDOR NAS R1 Ataques informaticos reglas de accesos a la red Acceso
La falta no autorizado
de parches de seguridad 5 4 20 EXTREMO REDUCIR EL RIESGO
interna permite el acceso, la modificación
R2 Malware El entorno IaaS carece de Alteración, exposición e
y la eliminación de la información 5 4 20 EXTREMO REDUCIR EL RIESGO
SERVIDOR DEAPLIICACIONES parches de seguridad. indisponibilidad de activos
la información
Ausencia de un almacenada en los de
ERP R3 Infeccion por codigo mecanismo de analisis de ante la ausencia
información. de controles de 4 4 16 ALTO REDUCIR EL RIESGO
malicioso (malware) protección perimetral y controles
codigo malicioso Acceso
frente ano autorizado
software debido
malicioso ena el
la
Exposición de puertos y
DATA CENTER R4 Ataques informaticos Exposición
ambiente IaaSde servicios y puertos 4 4 16 ALTO REDUCIR EL RIESGO
servicios restringidos
no autorizados
SERVIDOR DE BASE DE Información borrada
DATOS por error
Secuestro de
ORACLE DB
información
Indisponibilidad y pérdida de
R5 No hay recopilación de datos como resultado de la falta 4 5 20 EXTREMO REDUCIR EL RIESGO
datos ni backups.
de backup y retención de datos.
Carecer de un modelo
MAF de autentificación y Acceso no autorizado, debido a la
de Parametros de ausencia de Parametros de
SERVIDOR WEB seguridad para el seguridad para el
R8 Ataques informaticos establecimiento de establecimiento de Usuario y 4 4 16 ALTO REDUCIR EL RIESGO
Usuario y Contraseña en la Contraseña en la pataforma web
pataforma web alineados alineados a las politicas de acceso
a las politicas de acceso de de la compañía
Granelsa.
Las coookies no tienen un
indicador de seguridad, lo
R9 Ataques informaticos que las hace vulnerables a Secuestro de cookies 4 4 16 ALTO REDUCIR EL RIESGO
la secuestro a través de Secuestro de las acciones del
R10 Ataques informaticos Ausencia de protección
canales inseguros. usuario en el servicio web y 4 4 16 ALTO REDUCIR EL RIESGO
contra CSRF utilizarla para cualquier tipo de
SERVIDOR DE Uso inadecuado de los Ausencia de un contrato fraude o robo de
Incumplimiento deinformación
terminos de
R11 4 5 20 EXTREMO REDUCIR EL RIESGO
ALMACENAMIENTO activos marco regulatorio seguridad
Uso inadecuado de los Ausencia de un acuerdo Exposición de información
R12 4 4 16 ALTO REDUCIR EL RIESGO
activos de confidencialidad confidencial
Incumplimiento Falta de Declaración de Sanciones regulatorias, debido a
R13 la falta de declaración de flujo 4 5 20 EXTREMO REDUCIR EL RIESGO
regulatorio Flujo Transfronterizo
transfronterizo
Indisponibilidad de información y perdida
R14 Ataques informaticos Ausencia de copias de respaldo de información, debido a la ausencia de 4 4 16 ALTO REDUCIR EL RIESGO
backups y retención de información.
Indisponibilidad del debido a la ausencia
SERVIDOR DE DOMINIO Ausencia de restricciones de
Ataques de denegación de de
R15 distribución geografica del 4 4 16 ALTO REDUCIR EL RIESGO
servicio restricciones de distribución geografica
contenido web
del contenido web
Ataques informaticos
R16 Falta de Aislamiento de red Acceso no autorizado a la red 4 5 20 EXTREMO REDUCIR EL RIESGO
Usuarios mal intencionados
Ausencia de una solución
Alteración, exposición e indisponibilidad
antimalware que escanee
de la información ante la ausencia de
R17 Malware automáticamente los algoritmos 4 4 16 ALTO REDUCIR EL RIESGO
controles de protección perimetral y
que permitieron una
controles frente a software malicioso
comunicación no autorizada
FIREWALL
Indisponibilidad de información y perdida
Falta de un proceso de
R18 Eliminado accidentalmente. de información, debido a la ausencia de 4 5 20 EXTREMO REDUCIR EL RIESGO
recuperación de objetos
FIREWALL backups de losobjetos
Ausencia de trazabilidad de las Incapacidad de poder identificar errores
R19 Usuarios mal intencionado 4 4 16 ALTO REDUCIR EL RIESGO
actividad de los usuarios ante incidentes de seguridad
Alteración, exposición e indisponibilidad
Permite la carga de archivos no de la información ante la ausencia de
R20 Usuarios mal intencionado 4 4 16 ALTO REDUCIR EL RIESGO
autorizados controles de protección perimetral y
controles frente
Exposición a archivos
a amenazas si lamaliciosos
falla en la administración
R21 Ataques informaticos administración remota del firewall no 4 4 16 ALTO REDUCIR EL RIESGO
remota
está segura
Fuga de información sensible debido a la
Filtrado de Información
R22 Exposición de información falta de filtrado de contenido o 4 5 20 EXTREMO REDUCIR EL RIESGO
confidencial
inspección de aplicaciones.
Abuso de derechos Ausencia de Proceso de altas, Acceso no autorizado, debido a la
R23 bajas y modificaciones en su ausencia de proceso de altas, bajas y 4 4 16 ALTO REDUCIR EL RIESGO
Usuarios mal intencionados protección modificaciones de SFTP
Abuso de derechos
Servidor SFTP
Falta de control de las Acceso no autorizado debido a la falta
R25 operaciones permitidas a traves de control de las operaciones permitidas 4 4 16 ALTO REDUCIR EL RIESGO
Usuarios mal intencionados de roles a traves de roles
Es necesario
Una cookie debeincluir un caracter
enviarse siempre
5.2 Usuarios/Proteger espcial.
usando un canal cifrado cuando
6. Si ha restaurado
contiene una clave
datos sensibles o es por
un
3.10 Datos/Proteger defecto
token deosesión.
ha ingresado
Asegúresepor de Dpto Informática Pendiente
Se recomienda
primera vez, establecer
debe obligarlouna token
configurar
anti-CSRF la bandera de seguridad
cambiar lapara evitar posibles
contraseña.
para las cookies que contienen
3.11 Datos/Proteger ataques de secuestro de Dpto Informática Pendiente
información
actividades confidencial.
del cliente
No debe permitir
Establecer un contrato el usoweb sin 3que
de las
marco que
15.1 Identificar logre identificarlo.
contraseñaslas
contengan más recientes.
clausulas de Dpto Informática Pendiente
8. Bloquear
seguridadun
Celebrar el usuario
deacuerdo después
la información
de de
3.8 Datos/Proteger que se ingresen contraseñas
confidencialidad entre ambas que Dpto Informática Pendiente
no sean
Declarar válidas.
empresasla transferencia de
información a la autoridad
15.6 Datos/Detectar 9. las contraseñas tienen Dpto Informática Pendiente
nacional de protección de6datos
de
expiración.
personales
Efectuar una Copia de respaldo de los NAS
3.13 Datos/Proteger Infraestructura Pendiente
habilitados
Restringir la distribución geográfica de su
contenido:
Puede usar la función de restricción Infraestructura Pendiente
geográfica, denominada también bloqueo
4, 9 Dispositivos / Proteger
geográfico, para evitar que usuarios de
ubicaciones
tener geográficas
una gestión específicas.
más granular de la red,
13.6 Red /Detectar lo que facilita la segmentación y la Infraestructura Pendiente
implementación de políticas de seguridad.
Las amenazas se pueden propagar a
aplicaciones, usuarios y bases de datos
13.10 Red/Proteger adicionales. Se necesita una solución que Seguridad TI Pendiente
escanee automáticamente y verifique
constantemente el firewall
Implementar un control de versiones para
ayuda a recuperar objetos que se han
2.7 Aplicaciones/Proteger Dpto Informática Pendiente
sobreescrito y eliminado
involuntariamente.
Identificar patrones inusuales o
13.6 Red/Detectar actividades sospechosas revisando los Infraestructura Pendiente
registros con frecuencia.
Delimitarla carga de archivos solo a los
13.5 Dispositivos/Proteger Infraestructura Pendiente
autorizados
Limitar el acceso remoto, utilizar
conexiones seguras (por ejemplo, VPN) y
3.3 Datos/Proteger Infraestructura Pendiente
proteger las credenciales de
Implementar
administraciónreglas de filtrado de
contenido y realizar inspección de
13.2 Dispositvos/Detectar Infraestructura Pendiente
aplicaciones para prevenir la filtración de
datos.