Professional Documents
Culture Documents
I. INTRODUCCIN
II. OBJETIVOS
IV.
Matriz de Riesgos con Valoracin
CATEGORA DE
ACTIVO
1. Comunicaciones
SERVICIO DE RED
VULNERABILIDAD
RIESGO
AFECTADO
AMENAZA
RIESGO
CAUSA
CONTROLES
ISO 27002
PROBABILIDAD
IMPACTO
RIESGO
INHERENTE
NIVEL DE
RIESGO
RIESGO
RESIDUAL
Desarrollo
tecnolgico
informtico
Deficiencias en
los
requerimientos
Falta de personal
presentados y en que brinde soporte SOFTWARE
el mantenimiento a los aplicativos
de la herramienta
desarrollada.
Aplicacin
limitada de las
herramientas
informticas
desarrolladas
Humana: falta de
capacitacin,
tecnolgica:
actualizacin de los
sistemas
* A.13.1.2. Seguridad
de los servicios de
red.
* A.14. Adquisicin,
desarrollo y
mantenimiento de
sistemas.
Medio (0.8)
Moderado (0.8)
0.64
Medio
Tolerable
Medio
Desarrollo
tecnolgico
informtico
Obsolescencia de Ausencia
herramientas
herramientas
tecnolgicas
tecnolgicas
Desarrollo y
aplicacin de
herramientas
tecnolgicas no
autorizadas
Tecnolgica: falta
de actualizacin
* A.14.2.2.
Procedimiento de
Medio (0.8)
control de cambios en
sistemas.
Moderado (0.8)
08
Medio
Tolerable
Medio
Daos presentados
en los equipos de HARDWARE
comunicaciones
Daos de los
equipos de
comunicaciones
Tecnolgico y
fsico
A.9.4. Control de
Acceso a Sistemas y
Aplicaciones.
Catastrfico (1)
1
Fuerte
Inaceptable
Critico
Fallas en la red
HARDWARE
telefnica
Leve (0.5)
0.2
Bajo
Aceptable
Bajo
Conocimiento de
HARDWARE
informacin tarda
Cortes
servicio
internet
del
de Tecnolgico
Alto (1)
Catastrfico (1)
1
Fuerte
Inaceptable
Critico
Penetracin
del
sistema a travs de HARDWARE
la red
Intercepcin de
las
Tecnolgico
comunicaciones
A.6.1.1. Seguridad de
la Informacin Roles Alto (1)
y Responsabilidades.
Catastrfico (1)
1
Fuerte
Inaceptable
Critico
Medio (0.8)
Moderado (0.8)
0.64
Medio
Tolerable
Medio
Alto (1)
Catastrfico (1)
Inaceptable
Critico
Retraso en los
Equipos
de enlaces de los
comunicaciones
equipos
de
comunicaciones
Falta
de
Red telefnica
comunicacin
entre empleados
Comunicacin
Internet
no permanente la
red
La interceptacin
de informacin
que
es
Red Informtica
transmitida
desde o hacia el
sistema.
2. Tecnologa
Presencia
software
malicioso
Software
Hardware
de Instalacin
programas
innecesarios
de
SOFTWARE
de
SOFTWARE
Registro
Conflictos en los
inadecuado
de
recursos
programas
de
compartidos
windows
Presenta
Falla
en
la HARDWARE
software
memoria, fuente,
malicioso
disipadores, board,
disco duro, etc
Consumo
de
alimentos en las
reas de trabajo
Daos en
software
Daos en
Hardware
Tecnolgico:
actualizacin de
software
A.14.2.4.
Restricciones sobre
los cambios de
paquetes de software.
Tecnolgico:
Software
A.9.4. Control de
Acceso a Sistemas y
Aplicaciones.
Tecnolgico y
fsico
A.11.2.4.
Mantenimiento de
equipos.
Humano y fsicas
A.11.2.9. Poltica de
escritorio limpio y
pantalla limpia.
Alto (1)
1
Fuerte
4
CATEGORA DE
ACTIVO
SERVICIO DE RED
VULNERABILIDAD
AMENAZA
RIESGO
AFECTADO
Daos
en
los
dispositivos
de
Red
comunicacin
HARDWARE
(rack, servidores,
touters)
Problemas en la
configuracin de
Fallas en la los parmetros de
administracin
seguridad
del
de los aplicativos servidor
del
sistema
de
informacin
Denegacin del
Sistemas
de servicio a travs Falta de soporte y
SOFTWARE
Informacin
de
mltiples mantenimiento de
consultas
fabrica
concurrentes
Problemas en la
oportunidad de la Fallas
en
los
atencin en los controles para el
diferentes
acceso fsico a los
sistemas
de servidores
informacin
Referencia
de
repuestos
El
constante
descontinuados
cambio
Aceleracin
de
tecnolgico
nuevas tecnologas
Dispositivos de red genera que las
HARDWARE
generando
herramientas
discontinuidad de
adquiridas entren
las mismas en un
en inoperancia.
corto periodo de
tiempo
Falta
de
Ausencia
de dispositivos para
Hardware
HARDWARE
Hardware
buen
funcionamiento
TODA
LA
Infraestructura de Violacin
de Personas
no
ORGANIZACI
red
autorizacin
autorizadas
N
Administracin
de la red
3. Seguridad Fsica
Infraestructura
red
de Perdida
hardware
Infraestructura
red
de
de
Riesgos fsicos
RIESGO
CAUSA
Fallas en la red
Fsicos
A.13.1. Gestin de
Seguridad de Redes
PROBABILIDAD
IMPACTO
RIESGO
INHERENTE
Medio (0.8)
Moderado (0.8)
0.64
Medio
Tolerable
Medio
Alto (1)
Catastrfico (1)
1
Fuerte
Inaceptable
Critico
Bajo (0.4)
Leve (0.5)
0.2
Bajo
Aceptable
Bajo
Bajo (0.4)
Moderado (0.8)
0.32
Bajo
Aceptable
Bajo
moderado(0.8)
0.32
Bajo
Aceptable
Bajo
Catastrfico (1)
1
Fuerte
Inaceptable
Critico
Catastrfico (1)
1
Fuerte
Inaceptable
Critico
Aceptable
Bajo
Humana, Falta de
A.9.4. Control de
actualizacin de los
Acceso a Sistemas y
sistemas de
Aplicaciones.
seguridad
Violacin de los
sistemas de
Informacin
Obsolescencia
Tecnolgica
Robos
hardware
de
Vandalismo
TODA
LA
ORGANIZACI Incendios
N
Perdida
de
TODA
LA
Daos en hardware
equipos
en
ORGANIZACI Terremotos
y software
funcionamiento
N
CONTROLES
ISO 27002
Fallas elctricas
Desconocimiento
tecnolgico.
A.12.1.
Procedimientos
operacionales y
responsabilidades.
Humana
A.11.1.2. Controles
Fsicos de entrada.
Tecnologa
A.12.6. Gestin de
vulnerabilidad
tcnica.
Actualizacin
tecnolgica
A.12.5.1. Instalacin
de software en
sistemas operativos.
Humana
A.11.1.
Seguras.
Humana
A.11.1.2. Controles
Bajo (0.4)
Fsicos de entrada.
reas
Humanas y Fsicas
Humanas y fsicas
A.11.1.4. Proteccin
contra
amenazas
Alto (1)
externas
y
ambientales.
A.11.2.2. Servicios Bajo (0.4)
Pblicos de soporte.
Leve (0.5)
0.2
Bajo
5
CATEGORA DE
ACTIVO
SERVICIO DE RED
Hardware
Acceso
4. Manejo de
Personal
5. Proteccin de la
Informacin
Manipulacin de
datos
confidenciales
Tenencia
de
informacin no
autorizada.
Autorizaciones
no verificadas
Autenticacin
Intentos fallidos
Personal
Eficiencia
afectada
Informacin
Obtencin
informacin
Informacin
Obtencin
informacin
Informacin
Obtencin
informacin
Informacin
Informacin
veraz
Usuario
Entorpece
funcionamiento
Backup
Archivos
programas
RIESGO
AFECTADO
AMENAZA
Atrasos en el Perdida
de
funcionamiento
informacin
de los procesos
almacenada
Identidad
Informacin
6. Seguridad
Lgica
VULNERABILIDAD
la
HARDWARE
TODA
LA
Extraccin de datos
ORGANIZACI
no autorizados
N
TODA
LA
Acciones
ORGANIZACI
sospechosas
N
TODA
LA
Accesos
no
ORGANIZACI
autorizados
N
TODA
LA
Autenticacin
ORGANIZACI
repetida
N
Programas
archivos
eliminados
cambiados
NIVEL DE
RIESGO
RIESGO
RESIDUAL
A.11.1.3. Seguridad
de oficinas, salones e Alto (1)
instalaciones.
Catastrfico (1)
1
Fuerte
Inaceptable
Critico
Humana
A.9.3.1.Uso
de
Alto (1)
informacin secreta.
Catastrfico (1)
1
Fuerte
Inaceptable
Critico
Humana
A.10.1.2. Gestin de
Alto (1)
Claves.
Catastrfico (1)
1
Fuerte
Inaceptable
Critico
Suplantacin de
Humana
identidad
A.9.1.1. Poltica de
Alto (1)
Control de Acceso.
Catastrfico (1)
1
Fuerte
Inaceptable
Critico
de A.9.2. Gestin de
Alto (1)
Acceso de Usuarios.
Catastrfico (1)
1
Fuerte
Inaceptable
Critico
Fallas
hardware
de Tecnolgicas
fsicas
Accesos
autorizados
no
Fraude
Fallas
de Controles
autenticacin
ingreso
Bajo (0.4)
Moderado (0.8)
0.32
Bajo
Aceptable
Bajo
TODA LA
ORGANIZACI
N
Fugas de
Informacin
Humana y falta de
controles de
seguridad
A.9.2.4. Gestin de
informacin de
autenticacin secreta
de usuarios.
Bajo (0.4)
Moderado (0.8)
0.32
Bajo
Aceptable
Bajo
Catastrfico (1)
1
Fuerte
Inaceptable
Critico
catastrfico (1)
1
Fuerte
Inaceptable
Critico
catastrfico (1)
1
Fuerte
Inaceptable
Critico
A.9.2. Gestin de
Alto (1)
Acceso de Usuarios.
catastrfico (1)
1
Fuerte
Inaceptable
Critico
y
A.12.4. Registro y
de
Alto (1)
Seguimiento.
catastrfico (1)
1
Fuerte
Inaceptable
Critico
Alto (1)
catastrfico (1)
1
Fuerte
Inaceptable
Critico
y TODA
LA Acceso a los Humana y polticas A.9.1.1. Poltica de Alto (1)
ORGANIZACI programas
y de seguridad
Control de Acceso.
o N
archivos
por
parte de personal
no autorizado
catastrfico (1)
Inaceptable
Critico
de
Humana y falta de
A.9.1.1. Poltica de
controles
de
Alto (1)
Control de Acceso.
seguridad
Humana y falta de
Perdida
de
A.9.1.1. Poltica de
controles
de
Alto (1)
informacin
Control de Acceso.
seguridad
A.9.4.1. Restriccin
Manipulacin de
Humana
de
acceso
a Alto (1)
informacin
informacin.
Robo
informacin
Errores
usuario
de TODA
LA
Eliminacin
real ORGANIZACI
informacin
N
Perdida de datos
RIESGO
INHERENTE
A.7.1.2. Trminos y
condiciones del
empleo.
Demora
en TALENTO
servicios ofrecidos HUMANO
Ausencia
informacin
disponible
IMPACTO
Humana
TODA
LA
ORGANIZACI
N
TODA
LA
de Perdida
de
ORGANIZACI
informacin
N
Personal
TODA
LA
no
involucrado,
ORGANIZACI
Informacin errada N
Falta
de
informacin
completa
Ante cualquier
desastre
la
TODA
LA
ORGANIZACI
Nanizacin
es
perjudicada
y El estado de
programas
y
archivos se ve
afectado
PROBABILIDAD
Indisponibilidad
del personal
de
de Perdida
informacin
CONTROLES
ISO 27002
CAUSA
TALENTO
HUMANO
Rendimiento
desmejorado
de Perdida
informacin
RIESGO
de
de
de
No se encuentran
TODA
LA definidas
las
ORGANIZACI polticas
de
N
copias
de
seguridad
Humana
Humana
controles
seguridad
Tecnolgica, falta
de polticas de A.12.3. Copias
respaldo de los Respaldo.
datos
de
1
Fuerte
6
CATEGORA DE
ACTIVO
SERVICIO DE RED
VULNERABILIDAD
AMENAZA
RIESGO
AFECTADO
RIESGO
CAUSA
Informacin
Accesos
de TODA
LA
transmitida a un Humana
informacin
por ORGANIZACI
destinatario
tecnolgica
medio empleados
N
incorrecto
Modificacin de
Vulneracin
y
TODA
LA los programas y
Programas
y funcionamiento
Funcionamiento
ORGANIZACI archivos
por Humana
archivos
errado de la errado
N
parte de los
informacin
usuarios
Tecnolgica,
Vulneracin de la
Falta de software
Informacin
actualizacin de
control de acceso
privacidad de la SOFTWARE
de control de
puesto es peligro
sistemas
informacin
acceso
seguridad
Mal
Vulnerable todo
Tecnolgica,
funcionamiento de
Entrada de virus
virus
el sistema de
SOFTWARE
actualizacin de
software
o
y malware
informacin
sistemas
hardware
Destinatario
Extraccin
informacin
de
CONTROLES
ISO 27002
PROBABILIDAD
IMPACTO
RIESGO
INHERENTE
NIVEL DE
RIESGO
RIESGO
RESIDUAL
y A.13.2. Transferencia
Alto (1)
de informacin.
catastrfico (1)
1
Fuerte
Inaceptable
Critico
A.12.5. Control de
Software
Alto (1)
Operacional.
Catastrfico (1)
1
Fuerte
Inaceptable
Critico
Catastrfico (1)
1
Fuerte
Inaceptable
Critico
A.12.2.
Proteccin
los contra
cdigos Alto (1)
maliciosos.
Catastrfico (1)
1
Fuerte
Inaceptable
Critico
7
[4]
[5]
V. CONCLUSIONES
[6]
Los riesgos identificados influyen directamente sobre los objetivos de la Gerencia de la empresa, reflejando
las principales deficiencias de la misma.
Existen riesgos que dependen del entorno, en los que las polticas gerenciales de la empresa pueden
minimizarlos, pero de forma interna no pueden ser evitados.
[7]
[8]
[9]
La Gerencia de la empresa tiene polticas de prevencin para los riesgos, pero estas no garantiza el
adecuado control de los mismos.
A partir de la identificacin de un riesgo por pequeo que parezca se puede realizar anlisis del mismo y as
empezar a buscar las alternativas de como mitigarlo y dar el tratamiento adecuado
La aplicacin de los estndares internacionales y modelos permiten que las buenas prcticas en cuento a
seguridad informtica y de la informacin, se genere un control y seguimiento para la proteccin de los
activos de la organizacin y as darle una valor a cada uno de estos.
[2]
[3]
Duque,
R
(s.f.)
Metodologas
de
gestin
de
riesgos.
Disponible
http://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf
Ranz
Perlaes
Eduardo.
Evaluacin
de
control
interno
en
sistemas
informticos.
Disponible
http://www.revistadintel.es/Revista1/DocsNum09/PersAAPP/ranz.pdf
ISO (2013). Controles ISO/IEC 27002. Disponible en: http://iso27000.es/download/ControlesISO27002-2013.pdf
BIOGRAFA
Diana Marcela Caucali Beltrn, naci en Guamal, Meta el 15 de septiembre de 1984. Profesional de
Sistemas de Informacin, bibliotecologa y archivstica, egresada de la Universidad de La Salle. Especialista en
Gestin documental, asesora y consultora en Sistemas de gestin de documento de archivo electrnico
(SGDEA) y Records Management, lineamientos tcnicos archivsticos. Actualmente, estudiante de
especializacin en Seguridad Informtica
VI. REFERENCIAS
[1]
VII.
en:
en: