• No existe una IDMZ que permita el intercambio seguro de información entre la zona de

procesos y la zona empresarial.

• No existe un límite claro a nivel de red entre IT y OT.
• Los diagramas de red genéricos e incompletos. No permiten identificar unívocamente
todos los dispositivos.
• No se disponen de fuentes, registros o evaluaciones de las vulnerabilidades de los
activos OT.
• No se posee un sistema de gestión de parches de seguridad.
La empresa cuenta con los siguientes controles de Ciberseguridad

• Antispam en la nube.
• Antivirus de siguiente generación pero la red OT no forma parte del alcance del
despliegue.
• Firewalls de TI perimetrales.
• Control de Acceso a la Red.
• WAF para las aplicaciones criticas.
• Realiza charlas periódicas de concientización a los empleados.
• Políticas de Seguridad de la Información
• Herramientas para la gestión de vulnerabilidades (escaneo). Estas vulnerabilidades son
delegadas al área de infraestructura para su mitigación, pero esta área no cuenta con
una herramienta de despliegue de parches. La instalación de los parches de seguridad
se realiza manualmente.
Taller de Riesgos

En grupo, por favor responsa lo siguiente:

• Identifique los activos de información del caso.

• Identifique las amenazas y vulnerabilidades de los activos.
• Identifique el riesgo o los riesgos.
• Establezca, en base a tu criterio, los niveles de criticidad (impacto y probabilidad de
ocurrencia) del riesgo.
• Establezca, en base a tu criterio, el nivel de tolerancia al riesgo.
• Calcule la criticidad de los riesgos identificados.
• Identifique los controles de ciberseguridad que actualmente cuenta la empresa.
• Calcule el nivel de riesgo después de los controles identificados.
• Realice el tratamiento de los riesgos identificados, tomando como referencia el anexo A
de la ISO/IEC 27001:2013.