VULNERABILIDADES (Causas internas o

Num ACTIVO RIESGO

externas que originan los riesgos)

Acceso al servidor de personas externas a la compañ ía Ataque externo de negació n de Servicio

Fallo
Puerto del
Interno/Externo, nosistema del
necesarios control
abiertosde
modifícació acceso
n malintencionada de los
Acceso y uso no Autorizado elementos del dominio, usuarios, computadoras,
Servidor Controlador Afectació n a la Integridad equipos de red
1
de Dominio Interrupció n del Servicio Interno/Externo, Fallo en la red, Fallo eléctrico
Inserció n de có digo malicioso Repositorio
Logs no activos no actualizado.
en el servidor
Imposibilidad de registrar e identificar una actividad -Auditoría
Pérdida de tarjeta deaacceso ó tarjeta de
malintencionada - Falta de educacióninterna débil los usuarios (Causa
identificació n (Causa Interna)
Acceso físico no autorizado Interna)
- Robo de la -tarjeta Exposición abierta
de acceso de información
(Causa
Acceso a informació n privilegiada a usuarios no
Tarjeta de acceso e autorizados.
Manipulació n de la informació n por parte de usuarios no -confidencial
Exposició
Interna/Externa) n (Causa
abierta de Interna)
informació n confidencial (Causa
2 -Interna)
Control de Calidad de la tarjeta ineficiente
- Exposició n abierta de informació n confidencial (Causa por parte
identificació n autorizados en el area accedida. -del proveedor
Accesos ló gicos(Causas
no externas)
autorizados (Causa Interna)
Robo de informació nde las tarjetas de acceso ó problemas
Mal funcionamiento Interna)
eléctricos que no pertemiten dar acceso oportuno - Accesos ló gicos no autorizados (Causa- Interna)Mal
Perdida total de datos
-funcionamiento
Catá strofe natural de la red eléctrica (Causa Interna)
-- Mal
Corte
Catá configuració
de energía
strofe natural n con el Software que gestiona el
Perdida parcial de datos acceso (Causas Internas)
-- Exposició
Corte de nenergía
Privilegios excesivos
de e inutilizados
los medios de
Datos sensibles mal gestionados
-almacenamiento
Accesos no autorizados
para backup
3 Base de datos Robo de informació n
- Políticas de cifrado no aplicadas
Datos sensibles sin cifrar -- Auditorías
Accesos ló gicos no autorizados
débiles
Inserció n ó modificació n mal intencionada de datos - Inyecció n de SQL
Contraseñ as debiles - Políticas de control de acceso no aplicadas
Avería del equipo por defectos de fá brica
Pésimo control de calidad por el fabricante del
equipo
Inactividad por falta de energía Red eléctrica ineficiente
- Falta de educación de los usuarios
4 Lectores de tarjetas de Usuarios con acceso permiten acceso no autorizado - Control de puerta ineficiente
acceso Captura de ID de tarjetas por lectores portables Transmisió n de ID sin cifrar
Avería por falla eléctrica Mal funcionamiento de la red eléctrica
Ataques secuenciales Uso de secuencias para ID de tarjeta
Atasco de Papel Exceso de papel
Inactividad por falta de energía -Red eléctrica
Impresión ineficiente
Masiva
5 Impresora de Red Retraso de impresión - Termino de tinta
Avería por falla del fusor Límite del tiempo de vida del fusor
Infección por Virus USB Infectada
CRITERIOS DE ACEPTACIÓN DE RIESGOS
Nivel de Riesgos Grado de Aceptación Tratamiento
Alto Inadmisible Mitigar
Medio Inaceptable Mitigar
Bajo Aceptable Aceptar
 Ingreso de Personal - Análisis de Aplicabilidad

PROBABILIDAD DE
NIVEL DE RIESGO CONTROLES EXISTENTES
OCURRENCIA

Bajo 3 Segmentació n de la Red / Firewalls

Bajo 1 Politica de control de acceso
Bajo 6 Manejo de Perfiles de usuarios
Bajo 6 Servicios reduntantes
Medio 6 Antivirus
Alta 3 Activació
- Cá marasnde deseguridad
Logs
Alta - Programas
18 - Concientizació de Concientizació n de
usuarios n de usuarios
Politicas de control de la
Media 12 -informació
Cá maras de seguridad
n yseguridad
reglamentos de
- Cá maras de
Media 12 incumplimientos
-- Politicas
Baterías de respaldo
de control
Sala de seguridad de la
(sansiones) -
Baja 6 Cáinformació
maras de n y reglamentos
seguridad de
- Uso de UPS y Plantas eléctricas
Baja 1 incumplimientos
con control (sansiones)
Media 12 Backups de los datos
Alta 18 Redundancia de los datos
Media 6 Política de control de acceso
Alta 9 Política de control de acceso
Alta 9 No hay controles
Política de desarrollo de
Alta 18 aplicaciones
Baja 3 Política de control de acceso
Media 12 -Elementos
Baterías dederespaldo
soporte
Alta 18 - Concientizació
Uso de UPS y Plantas eléctricas
n de usuarios
Alta 9 - Cá maras de seguridad
Baja 6 -No Sala de seguridad
existe
Baja 6 No existe
Bajo 6 No existe
Medio 2 No existe
Alta 3 - Uso de UPS y Plantas eléctricas
Media 2 Toner de respaldo
Bajo 2 Fusor de respaldo
Bajo 1 Bloqueo de puertos de impresora
plicabilidad
A.9 ** Objetivo: Las áreas
seguras
A.9 deben ser
** Objetivo: Las áreas
A10.6.1 Controles de/ CÓDIGO Redes: Las DEL redes resguardadas
seguras deben por
ser controles
REFERENCIA de acceso
OBJETIVO
adecuados
DEque
debem estar adecuadamente resguardadas por controles APLICABLE?
CONTROL ISO 27001 2005 garanticen
de CONTROL
que sólo seque
acceso adecuados
administradas
A. 14.1.2 Continuidad y controladas,
del negocio con la y
intenció n de
A 11.1.1 Política protegerlas
de control de amenazas,
de accesos: y permite
garanticen el acceso
que sólo a personal
se
evualizació n de riesgos: identificar los
para mantener
establecer, la
documentar
eventos que pueden causar seguridad y para
revisar los
una autorizado.
permite el acceso a personal
sistemas
política de
interrupcionesy aplicaciones
controla los que lasbasada
deprocesos
accesos utilizan,
del Mantener la red interna
en autorizado.
incluyendo
negocio, junto con la probabilidad y el segura.
los
A 11.2.2 la
requerimientos informació
Administració de n
acceso,
n de en trá
de nsito.
privilegios: Restringir A.5los**accesos
Objetivo: a los Si
seguridad
La asignació
impacto
A. 10.4 deytales
del
n y negocio.
Protecció eln uso de los
interrupciones
contra privilegios
có digo equipos.A.5 **laObjetivo:
y sus Proporcionar dirección y Si
debe ser restringido y controlado. Las á reas seguras deben ser Si
consecuencias a la seguridad
malicioso y có digo mó vil: proteger la de la el
Se apoyo
Proporcionar
deben
resguardadas de lala alta
identificar dirección
pordirección los ser
controles y
informació n. Las á reas seguras deben Si
integridad del software
A.11.5 Control de Accesos al Sistema y la para
el apoyo
eventos
de la
acceso seguridad
de
que la alta
pueden
adecuados
resguardadas por controles de la
dirección
causar
que
informació
-- n.
A.9.1 Areas seguras
Operativo:Prevenir el acceso no información,
para la seguridad
interrupciones
garanticen
de acceso quedea
adecuadossóacuerdo
lode
los la con Si
seque
-- A.9.1 Areas seguras
autorizado a los sistemas operativos.
-- A.9.2.1 Ubicacion procesos los requerimientos
información,
permite
garanticen eldel de
acceso
que del
sóacuerdo
negocio, se junto
a personal
lo con Si
--
y A.9.1Controles
proteccion
A.9.1.2 Areas del -- acceso
seguras A.9.2.1
equipamiento
de Ubicacion con
físico negocio
los y las
requerimientos
autorizado.
permitela probabilidad
el accesoleyes del
y el
a personal Si
y proteccion
A.9.1.2 Controles del equipamiento
--A.5.1.1
de-- acceso
A.9.2.1 Ubicacion impacto
Documentacion regulaciones
negocio
autorizado. ydelas leyes y
tales Si
y proteccion
de la politica del
físico equipamiento
de seguridad de la correspondientes.
regulaciones
interrupciones y sus Si
información correspondientes.
consecuencias
Crear backups para ser a la Si
Las á reasElaboració
A.14.1.3
A.12.3.1
- A.14.1.2 seguras
Política
Evaluaciondendeben deser
nutilizació
dee la losnriesgos seguridad
A.12.2.1
guardadas
Validació utiilizados en momentos de Si
de la información.
implementació
de controles
entrada de por controles
n de planes
criptográ
datos deque
ficos catastrofes y/o situaciones Si
acceso adecuados
que incluyan que
la seguridad de Que
Quelanono se
selapueda
pueda acceder
los datos a
garanticen que solo ese en que empresa no Si
la
Se
La informació
debe
entrada
A.11.2.3 dendatos
desarrollar
Administració enpermite
nlas
de las áinsertados
read donde
pueda
A.9.2
el perfil
a través
continuar
Seguridad de de
laborando
del las
equipo
el acceso
implementar
aplicaciones al personal
una
deben politica
ser para puesto del
aplicaciones empleado
desarrolladas no deba Si
contraseñ as de
autorizado
el uso de los
usuario
controles A.9.2
tener
Que Seguridad
losacceso
datos del equiposuen Si
mantengan
validadasControl
A.12.6.1 para asegurar que
de las vulnerablidades la
Quéempresa no permitan
los usuarios
Impedir pérdidas, tengan
dañ os,
criptográ
estos
técnicas
La datos
asignació ficos
son
n decorrectos
contraseñy as integridad
realizar
contraseñ
robos o cambios
as y que
exposiciones endañ laalos,
estas base
sean de Si
riesgo
A.12.3.1 Política de utilizació n Impedir
A.12.3 pérdidas,
Controles
apropiados
debe
A.9.2.2 ser controlada
Elementos mediante
de soporte
datos
lo
de suficientemente
los oactivos
robos así como
exposiciones al riesgo Si
seguras
de
Se
un controles
debe obtener criptográ ficos
informació
proceso formal de gestió n oportuna criptográ
A.9.2
para ficos
Seguridad del equipo
A.9.2.2 Elementos de soporte losque
impedir
de lanointerrupció
activos sean vulnerables
así como n de las Si
acerca de las vulnerabilidades
El equipamiento debe estar prtegido técnicas
contra A.12.6 Gestió
actividades
impedir la den la
deempresa.
interrupció las n de las Si
Se
de debe desarrollar
losdesistemas de de eenergía unotros
informació que 11.1
son Impedir Requerimientos
Proteger pérdidas,
vulnerabilidades dañpara
la confidencialidad,
técnicasos,
fallas suministro actividades dey la empresa.
El equipamiento
implementar
utilizados,
A.11.1.1
elementos
fallas de
unadebe
sesoporte.
debede
Establecer
de
suministro
estar prtegido
politica
evaluar
política
energía
para
lade
u
contra
exposició
control n
otros
control de
autenticidad,
robos o acceso
exposicionesla integridad
al riesgo Si
el
de uso
la de los
organizació
accesos.
A.9.2.2
elementos Elementoscontroles
de soporte. n asoporte
de tales la informació
de los
Reducir activos
el riesgoasíncomo por medios Si
resultante
criptográ
A.9.2.2
A7.1.1 ficos
Elementos
Inventario
vulnerabilidades, yde deActivos
se soporte
deben tomar las de Controlar
criptográ
impedir el acceso
ficos. n dea lan de las Si
la interrupció
la explotació
El equipamiento
medidasInventario debe estar prtegido contra informació
Manual
actividades n.
de Políticas
de la empresa.y Si
A7.1.1 adecuadas deparaActivos
tratar los vulnerabilidades técnicas
fallas
El
Se de suministro
equipamiento
deben
riesgos identificar
asociados. de
debe energía u otros
estar prtegido
claramente todos procedimientos
publicadas. para la mesa Si
elementos de soporte.
A.8.1.1
contra
los
Se Roles
fallas
activos,
deben dey responsabilidades
suministro
elaborando
identificar y de energía
claramente de ayuda
todos Política de protección de Si
u otros
manteniendo
los elementos
activos, elaborando de soporte.
un inventario y de los equipos de protección de
Política Si
activos más importantes.
manteniendo un inventario de los equipos de protección de
Política Si
activos más
A.11.1.1 importantes.
Politicas de control de equipos Si
acceso Políticas de acceso Si
CRITERIO DE ACEPTACIÓN DEL DESCRIPCIÓN DEL RIESGO
RIESGO RESIDUAL

Aún
Si lasluego
Aspectos de aplicar
como
políticas la son
no elllevadas
control
ingeniería existen
social
a cabo
Aceptable posibles
podrían
con vulnerabilidades
ocasional
perfección el robo
puede ser de
quecuentas
se de
Aceptable usuarios
escapen
Inaceptable privilegios
Los servicios de redundancia son
Inaceptable mecánicos y por ende pueden fallar
Inaceptable Antivirus
-QuéPérdida no
de actualizado
los logs no almacenen
equipos o información
Aceptable toda
- Uso la información
Suplantación necesaria
indebido de identidad, pero ya
la información, que
Inadmisible seUso
-sea pueda
para descubrir
beneficio
indebido ainformación,
tiempo.o para
de lapersonal yaun
Inadmisible grupo
sea para especfico
beneficiodepersonal
la institución
o para un
Inadmisible grupo especfico de la institución
Inaceptable - No cumplimiento
-Mal funcionamiento dedela las
política
tarjetas de
Aceptable acceso por causa del proveedor
Inadmisible Backups
Sistemasno derealizados
redundancia
Inadmisible inaccesibles
Inaceptable No cumplimiento de la política
Inadmisible No cumplimiento
Que no se salve la de la política
Inadmisible información correctamente
Inadmisible No cumplimiento de la política
Aceptable No cumplimiento
Avería del equipode porladefectos
política de
Inadmisible fábrica
Inadmisible Fallo de la redundancia
Inadmisible Empleados mal intencionados
Inaceptable Lectura de ID de tarjetas por otro lector
Inaceptable Mal funcionamiento de la red eléctrica
Inaceptable Que identifiquen la secuencia de los ID
Aceptable Que el papel sea mal colocado
Aceptable Fallo de la redundancia
Aceptable Agotamiento de toner de respaldo
Aceptable Agotamiento de fusor de respaldo
Aceptable Infección por la red