Versión: 1

Código: DOC-CL-002

Dominios Total Controles Controles Controles a % Cumple

Excluidos evaluar

A5. Política de seguridad de

2 0 2 10%
la información

A6. Organización de la
7 0 7 19%
seguridad de la información

A7. Seguridad de los

6 0 6 64%
recursos humanos

A8. Gestión de activos 10 0 10 30%

A9. Control de acceso 14 0 14 33%

A10. Criptografía 2 0 2 20%

A11. Seguridad física 15 2 13 39%

A12. Gestión de operaciones 14 0 14 29%

A13. Seguridad de las

7 0 7 32%
comunicaciones

A14. Adquisición, desarrollo

y mantenimiento de 13 1 12 28%
sistemas

A15. Relaciones con los

5 0 5 50%
proveedores
A16. Gestión de incidentes
de seguridad de la 7 0 7 10%
información

A17. Continuidad de
4 0 4 11%
seguridad de la información

A18. Cumplimiento 8 1 7 33%

 ANALISIS DE RIESGO
% No % Brecha % Margen
Cumple Tolerancia Valor Probabilidad Valor

90% 60% 70% 4 CRITICO 4

81% 51% 70% 4 CRITICO 4

36% 6% 70% 2 MEDIO 2

70% 40% 70% 3 ALTO 4

67% 37% 70% 3 ALTO 4

80% 50% 70% 3 ALTO 1

61% 31% 70% 2 MEDIO 3

71% 41% 70% 3 ALTO 3

68% 38% 70% 3 ALTO 3

72% 42% 70% 3 ALTO 3

50% 20% 70% 2 MEDIO 1

90% 60% 70% 4 CRITICO 3

89% 59% 70% 4 CRITICO 4

67% 37% 70% 3 ALTO 3

 MATRIZ DE RIESGOS

ANALISIS DE RIESGO EVALUACIÓN DE

Magnitud
Impacto (Riesgo Nivel de Riesgo Descripción Riesgo
Inherente)

No se cuenta con políticas

CATASTROFICO 16 Critico
definidas para el SGSI.

No se evidencia la definición
de roles, responsabilidades y
CATASTROFICO 16 Critico
autoridades en Seguridad de
la Información.

Se puede incurrir en perdida o

alteración de la información
MODERADO 4 Medio
indebida debido a falta de
políticas laborales del SGSI.

No se tiene cuantificados los

CATASTROFICO 12 Critico
activos fisicos y lógicos.

No se cuenta con política de

control de acceso lógico, ni
CATASTROFICO 12 Critico con un directorio activo de
definición de perfiles y su
respectivo rol.

Los sistemas no cuentan con

LEVE 3 Bajo
acceso seguro
 Los equipos se encuentran
ALTO 6 Medio
parcialmente seguros

*No se cuenta con

aseguramiento de Gestión de
Cambios en los sitemas.
*No se tiene protección
segmentada para el ingreso a
ALTO 9 Alto
la información.
*Se tiene una brecha de
seguridad en cuanto a la
instalación de software
indevido en los equipos.

*No se cuenta con politica de

transferencia de información.
*No se tienen los controles
ALTO 9 Alto
adecuados para la protección
de la información con base en
el SGSI.

* No se cuenta con política de

seguridad en los procesos de
desarrollo y soporte.
ALTO 9 Alto * No se tiene ambientes de
pruebas y certificación de los
cambios a realizar en los
sistemas.

No se han identificado riesgos

a gran escala, sin embargo no
LEVE 2 Bajo se tiene definida la política de
seguridad de la información
con proveedores.
 No se tiene definida la gestión
para el tratamiento de
ALTO 12 Critico
incidentes con respecto al
SGSI.

*No se cuenta con un plan de

recuperación de la
información documentado.
Debido a que no ha realizado
CATASTROFICO 16 Critico una correcta identificación y
evaluación.
*No se tienen indicadores
para evaluar el desempeño
del SGSI.

No se ha identificado, ni
valorado
correctamente los riesgos de
ALTO 9 Alto los requisitos legales y
contractuales que puede
afectar la seguridad de la
información.
 EVALUACIÓN DE RIESGOS

Probabilidad de Tipo de Revisión del

Ocurrencia Control Actual Control Control

Alto No se tiene definido Preventivo Anual

Alto No se tiene definido Preventivo Semestral

Calidad de la selección del

Medio Preventivo Mensual
personal

Se tiene la documentación
Medio del levantamiento de algunos Detectivo Anual
activos

Alto No se tiene definido Correctivo Semanal

Medio No se tiene definido Preventivo Mensual

 Se cuenta con un espacio
adecuado para el resguardo
de los equios y la labor del
personal.
Medio Preventivo Semestral
Se cuenta con suministro de
energía de respaldo.
Se realiza mantenimiento a
los equipos.

Se cuenta con
documentación
correspondiente a los
procesos.
Alto Detectivo Semanal
Se cuenta con backups de
respaldo para la
recuperación de la
información

Se cuenta con una

segmentación en la red, la
Alto cual permite un mayor Preventivo Mensual
control en las diferentes
áreas y servicios

Medio No se tiene definido Preventivo Mensual

Se cuenta con revisiones y

Bajo seguimientos periodicos a los Preventivo Mensual
servicios con los proveedores
Alto No se tiene definido Correctivo Semanal

Alto No se tiene definido Preventivo Semestral

Requisitos mínimos legales

Alto Correctivo Semestral
para operar
 TRATAMIENTO

Tiempo de
Mitigación del Riesgo Implementación Responsable

Oficial y profesional
Implementar y divulgar las
Fase1 - 6 meses de Seguridad de la
políticas para el SGSI.
Información

Definir los roles, deberes y

responsabilidades en el área
Oficial de Seguridad
de seguridad de la información Fase1 - 6 meses
de la Información
de la empresa para resguardar
la información.

Implementar lineamientos en Junta Directiva

cuanto a las estrategias de Fase1 - 6 meses
Área de SI
selección de personal y
sensibilización a los mismos
para minimizar el impacto.
Documentar y listar todos los
activos físicos y lógicos, y así
Cada área en
mismo clasificarlos y Fase2 - 1 año
conjunto con TI
cuantificarlos
respectivamente.

Definir, implementar y
divulgar una política de control
de acceso lógico.
Área Seguridad de la
Implementar un LDAP y a su Fase1 - 6 meses
Información
vez un file server para permitir
los accesos a los usuarios
dependiendo del rol.

Definir la política de método

de cifrado seguro para
Área Seguridad de la
controlar el acceso a los Fase2 - 1 año
Información
sistemas y la información
mediante llaves.
Revisiones de los equipos de la
organización garantizando que
estos cuenten con las
herramientas de seguridad Fase2 - 1 año Área de TI
requeridas (Antivirus
actualizados, DLP, Firewall
activado).

* Definir el procedimiento
para los controles de cambios.
* Controlar la capacidad de los
Junta Directiva
sistemas, la infraestructura y
Fase1 - 6 meses Área de TI
crear una administración de
Área de SI
ambientes separados.
* Realizar un análisis de
vulnerabilidades periódico.

* Establecer la política de
transferencia de datos,
realizando acuerdos de
confidencialidad tanto en la Área de TI
Fase1 - 6 meses
entidad como con terceros. Área de SI
* Definir los controles
encaminados a la protección
del SGSI.

* Implementar y estandarizar
la Política para que los
desarrollos sean seguros
* Las pruebas y
procedimientos de los Fase2 - 1 año Desarrollo
desarrollos de los sistemas se
deben ejecutar de forma
exitosa sobre los ambientes
previos.

Diseñar e implementar la
Junta Directiva
política de seguridad del
Fase2 - 1 año Área de TI
tratamiento de la información
Área de SI
con los proveedores.
Definir la atención y respuesta
a incidentes presentados, así
como la matriz de
Fase1 - 6 meses Área de TI
escalamiento garantizando un
RTO de recuperación
adecuado.

*Definir un PCN el cual

abarque el DRP, el PMC y el
PRP.
*Detallar los procesos criticos Fase1 - 6 meses Área de TI
en el BIA evaluando y
mejorando los desempeños de
estos.

Hacer auditorias en donde se

garantice la revisión y el
Área Seguridad de la
cumplimiento de las políticas y Fase1 - 6 meses
Información
normas establecidas en el
SGSI.
 Crítico
Alto
Probabilidad

Medio
Baja

Leve Moderado Alto Catastrófico

Impacto

Probabilidad
1 Bajo
2 Medio
3 Alto
4 Critico
ESCALA PROBABILIDADES
Descripción
Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 70% - 100%
un margen
Riesgo cuyade tolerancia aceptable.
probabilidad de ocurrencia es media, es decir, se tiene entre 40% -
69% un margen de tolerancia aceptable.
Riesgo cuya probabilidad de ocurrencia es Alta, es decir, se tiene entre 20 - 39% un
margen de tolerancia aceptable.
seguridad de que se pueda presentar, se tiene entre 0 - 19% el margen de
tolerancia aceptable.

ESCALA IMPACTOS
Impacto Descripción
1 Leve Consecuencias leves o con problemas menores de que se materialice un riesgo.
Consecuencias moderadas o con problemas significativos de que se materialice un
2 Moderado riesgo.
3 Alto Consecuencias altas o con problemas mayores de que se materialice un riesgo.
Consecuencias catastróficas o con problemas críticos de que se materialice un
4 Catastrofico riesgo.

ESCALA RIESGOS
Riesgo Descripción

0-3 Bajo Materialización de una amenaza que podría tener un impacto leve en los procesos
de la organización.
4-7 Medio Materialización de una amenaza que como consecuencia altere los procesos de la
organización en un tiempo determinado, no superior a 6 horas.
8-11 Alto Materialización de una amenaza que como consecuencia altere los procesos de la
organización en un tiempo determinado, no superior a 4 horas.
12-16 Critico Materialización de una amenaza que como consecuencia afecta la operación de
los procesos y la reputación de la organización a termino indefinido.

Probabilidad Tipo de Revisión del TIEMPO DE

de Ocurrencia Control Control IMPLEMENTA
CIÓN
Fase1 - 6
Bajo Preventivo Anual meses
Medio Detectivo Semestral Fase2 - 1 año
Alto Correctivo Trimestral
Mensual
Quincenal
Semanal
 0-19% CRITICO

20 - 39% ALTO

40 - 69% MEDIO

70 - 100% BAJO