Tabla

Activo TI PGT-04 Portal Web Gobernación de Tipo Sistema de Información
Nariño
Administrador Administrador Portal Web Degradación 50%
Impacto 3 Moderado Ubicación Proceso de Gestión Tic
Riesgo Actual Riesgo Residual Esperado

Exposición / 3 Intolerable 2 Tolerable
Tipo ID Amenaza Control recomendado
Vulnerabilidad
Frecuencia Frecuencia
R NR R' NR'
(F) (F')
Un error del 5.1.1 La Dirección debería aprobar y publicar un

administrador puede documento de la política de seguridad de la
conllevar a la información y comunicar la política a todos los
Errores y fallos no intencionados
disponibilidad de las empleados y las partes externas relevantes.

aplicaciones los 8.1.1 Se deberían definir y documentar los roles y
servicios que ellos responsabilidades de la seguridad de los
E2 Errores del administrador soportan se vera Media 4 12 3 Intolerable empleados, contratistas y terceros en Raro 1 3 2 Tolerable
seriamente afectado concordancia con la política de seguridad de la
información de la organización.
8.2.2 Todos los empleados de la organización y
donde sea relevante, contratistas y usuarios de
terceros deberían recibir entrenamiento apropiado
del conocimiento y actualizaciones regulares en
políticas y procedimientos organizacionales como
sean relevantes para la función de su trabajo.
12.6 Se debería obtener información oportuna

Hay poca sobre la vulnerabilidad técnica de los sistemas de
capacitación para los información que se están utilizando, evaluar la
E8 Difusión de software dañino Baja 3 9 3 Intolerable Raro 1 3 2 Tolerable
exposición de la organización ante tal
empleados que
vulnerabilidad y tomar las medidas adecuadas
manejan software de para hacer frente a los riesgos asociados.
la organización
Alteración accidental de la
5.1.1 La Dirección debería aprobar y publicar un
información documento de la política de seguridad de la
No existe mediadas
de control información y comunicar la política a todos los
empleados y las partes externas relevantes.
E15 Baja 3 9 3 Intolerable Raro 1 3 2 Tolerable
5.1.2 La política de seguridad de la información se
debería revisar a intervalos planificados (o en
caso que se produzcan cambios significativos)
para garantizar que es adecuada, eficaz y
suficiente.
o No existe un 10.7.3 Se deberían establecer procedimientos

para la manipulación y almacenamiento de la
protocolo para la información con el objeto de proteger esta
información contra divulgaciones o usos no
limpieza del sitio web autorizados o inadecuados.
y un procedimiento
E18 Destrucción de información o Baja 3 9 3 Intolerable Raro 1 3 2 Tolerable
12.3.1 Se debería desarrollar e implantar una
de mantenimiento
política de uso de controles criptográficos para la
protección de la información.
6.1.1 Los miembros de la Dirección deberían

No existe medidas respaldar activamente las iniciativas de seguridad
de control esta demostrando su claro apoyo y compromiso,
asignando y aprobando explícitamente las
información puede
responsabilidades en seguridad de la información
E19 Fugas de información ser modificada o Baja 3 9 3 Intolerable dentro de la Organización. Raro 1 3 2 Tolerable
usada para
beneficios propios 6.1.2 Las actividades para la seguridad de la
información deberían ser coordinadas por
representantes que posean de cierta relevancia
en su puesto y funciones y de los distintos
sectores que forman la Organización.
No existe un 10.5.1 Se deberían hacer regularmente copias de
procedimiento para seguridad de toda la información esencial del
Vulnerabilidades de los negocio y del software, de acuerdo con la política Muy
E20 llevar a cabo las Media 4 12 3 Intolerable 2 6 2 Tolerable
programas acordada de recuperación baja
pruebas de los
programas antes de
ponerlos en
funcionamiento
9.2.4 Se deberían mantener adecuadamente los

No existe un equipos para garantizar su continua disponibilidad
protocolo para la e integridad.
actualización de las
10.4.1 Se deberían implantar controles de
diferentes detección, prevención y recuperación contra el
Errores de aplicaciones software malicioso, junto a procedimientos Muy
E21 mantenimiento/actualización Baja 3 9 3 Intolerable adecuados para la concienciación de los usuarios. 2 6 2 Tolerable
baja
de programas
11.3.2 Los usuarios deberían garantizar que los

equipos desatendidos disponen de la protección
apropiada.
11.2.2 Se debería restringir y controlar la

No se han asignación y uso de los privilegios.
Suplantación de la identidad implementado

A5 normativas para el Baja 3 9 3 Intolerable 11.3.1 Se debería exigir a los usuarios el uso de Raro 1 3 2 Tolerable
del usuario las buenas prácticas de seguridad en la selección
uso de contraseñas y uso de las contraseñas.
fuertes para el
acceso a los 11.3.2 Los usuarios deberían garantizar que los
equipos desatendidos disponen de la protección
apropiada.
servicios

No existe un detección, prevención y recuperación contra el
A8 Difusión de software dañino Baja 3 9 3 Intolerable Raro 1 3 2 Tolerable
procedimiento para software malicioso, junto a procedimientos
la actualización de adecuados para la concienciación de los usuarios.
software
Falta de controles,
esta falla permite
desplegar en el
navegador datos no
confiables
proporcionados por 6.1.3 Se deberían definir claramente todas las
usuarios, responsabilidades para la seguridad de la
Ataques intencionados
generalmente información.
[Re-] encaminamiento de inyectando código
A9 Baja 3 9 3 Intolerable 10.5.1 Se deberían hacer regularmente copias de Raro 1 3 2 Tolerable
mensajes javascript malicioso.
seguridad de toda la información esencial del
Estos datos pueden negocio y del software, de acuerdo con la política
acordada de recuperación
Secuestrar tu sitio
web, permitiendo 10.10.4 Se deberían registrar las actividades del
que tus usuarios administrador y de los operadores del sistema.
sean re
direccionados a
sitios maliciosos o
descarguen
malware.
6.1.3 Se deberían definir claramente todas las

Modificación deliberada de responsabilidades para la seguridad de la
A15 Falta de controles, Media 4 12 3 Intolerable información. Raro 1 3 2 Tolerable
la información
afectara
6.1.5 Se deberían identificar y revisar
directamente la
regularmente en los acuerdos aquellos requisitos
dimensión de de confidencialidad o no divulgación que
integridad en un contemplan las necesidades de protección de la
nivel muy alto, información de la Organización.
porque de
7.2.1 La información debería clasificarse en
presentarse ataques relación a su valor, requisitos legales, sensibilidad
de modificación de y criticidad para la Organización
información se va a
ver alterados los
datos almacenados,
causando un caos
informático y
arrojando datos
erróneos a la hora
de las consultas
transacciones en
cada uno de los
procesos
normalizados dentro
de las labores de la
organización
10.7.3 Se deberían establecer procedimientos

No existe un control para la manipulación y almacenamiento de la
para la información información con el objeto de proteger esta
información contra divulgaciones o usos no
importante, seria mu
Destrucción de información Media 4 12 3 Intolerable autorizados o inadecuados. Raro 1 3 2 Tolerable
grave destruir
información 12.3.1 Se debería desarrollar e implantar una
A18 importante de la política de uso de controles criptográficos para la
organización protección de la información.
Activo TI PGT-01 Soporte Técnico Tipo Personal
Administrador Administrador de Sistemas Degradación 50%


Exposición / 2.6 Tolerable 2 Tolerable
Vulnerabilidad
R NR R' NR'
(F) (F')
6.1.1 Los miembros de la Dirección

Falta de controles, al haber deberían respaldar activamente las
fuga de información esta iniciativas de seguridad demostrando
su claro apoyo y compromiso,
puede ser modificada o
asignando y aprobando
usada para beneficios propios explícitamente las responsabilidades
llevando a perdida de en seguridad de la información dentro
Fugas de confianza de la organización de la Organización.
E19 Baja 3 9 3 Intolerable Raro 1 3 2 Tolerable
información
6.1.2 Las actividades para la
seguridad de la información deberían
ser coordinadas por representantes
que posean de cierta relevancia en su
puesto y funciones y de los distintos
E

Falta de controles, al haber deberían respaldar activamente las
indisponibilidad del personal iniciativas de seguridad demostrando
Indisponibilidad Muy su claro apoyo y compromiso,
E28 pueden dejar ausentes sus 2 6 2 Tolerable Raro 1 3 2 Tolerable
del personal baja asignando y aprobando
puestos de trabajo dejando explícitamente las responsabilidades
así al no desarrollo de sus en seguridad de la información dentro
labores de la Organización.
11.3.2 Los usuarios deberían

garantizar que los equipos
desatendidos disponen de la
protección apropiada.

Falta de controles, ejecutar deberían respaldar activamente las
información importante para la iniciativas de seguridad demostrando
organización si el personal
esta indispuesto explícitamente las responsabilidades
Indisponibilidad Muy
A28 2 6 2 Tolerable en seguridad de la información dentro Raro 1 3 2 Tolerable
del personal baja de la Organización.
11.3.2 Los usuarios deberían

garantizar que los equipos
desatendidos disponen de la
protección apropiada.
13.1.1 Se deberían comunicar los

Mediante amenazas pueden eventos en la seguridad de
sacar información importante información lo más rápido posible
mediante canales de gestión
para la organización
apropiados.
13.1.2 Todos los empleados,

contratistas y terceros que son
usuarios de los sistemas y servicios
A29 Extorsión Baja 3 9 3 Intolerable de información deberían anotar y Raro 1 3 2 Tolerable
A
comunicar cualquier debilidad

observada o sospechada en la
seguridad de los mismos.
13.2.1 Se deberían establecer las

responsabilidades y procedimientos
de gestión para asegurar una
respuesta rápida, efectiva y ordenada
a los incidentes en la seguridad de
información.
8.2.1 La Dirección debería requerir a
Falta de concientización del empleados, contratistas y usuarios de
personal en las mejores terceras partes aplicar la seguridad
en concordancia con las políticas y
practicas de seguridad
los procedimientos establecidos de la
informática. Llevando a un organización.
afectación alta en la
dimensión de confidencialidad 8.2.2 Todos los empleados de la
organización y donde sea relevante,
contratistas y usuarios de terceros
Ingeniería deberían recibir entrenamiento
A30 Baja 3 9 3 Intolerable apropiado del conocimiento y Raro 1 3 2 Tolerable
social actualizaciones regulares en políticas
y procedimientos organizacionales
como sean relevantes para la función
de su trabajo.
8.2.3 Debería existir un proceso

formal disciplinario para empleados
que produzcan brechas en la
seguridad.
Activo TI PGT-08 Base de datos Correo Tipo Datos / Información
Electrónico Institucional
Administrador Administrador de Sistemas Degradación 100%
Impacto 8 Desastroso Ubicación Proceso de Gestión Tic

Exposición / 4 Extremo 2 Tolerable
Vulnerabilidad
R NR R' NR'
(F) (F')
Errores y fallos no
8.2.2 Todos los empleados de la

intencionados
Los usuarios no cuentan organización y donde sea relevante,

con capacitación para el contratistas y usuarios de terceros deberían
Errores de los recibir entrenamiento apropiado del
E1 manejo del activo Media 4 32 4 Extremo Raro 1 3 2 Tolerable
usuarios conocimiento y actualizaciones regulares en
políticas y procedimientos organizacionales
como sean relevantes para la función de su
trabajo.
Algunos equipos del 5.1.1 La Dirección debería aprobar y
Proceso de Gestión TIC publicar un documento de la política de
no están actualizados por seguridad de la información y comunicar la
software de protección y política a todos los empleados y las partes
reparación de virus externas relevantes.
8.1.1 Se deberían definir y documentar los
roles y responsabilidades de la seguridad
de los empleados, contratistas y terceros en
concordancia con la política de seguridad
Errores del
E2 Media 4 32 4 Extremo de la información de la organización. Raro 1 3 2 Tolerable
administrador
contratistas y usuarios de terceros deberían
recibir entrenamiento apropiado del
conocimiento y actualizaciones regulares en
políticas y procedimientos organizacionales
como sean relevantes para la función de su
trabajo.
10.3.1 Se debería monitorizar el uso de

No se realizan recursos, así como de las proyecciones de
correctamente los los requisitos de las capacidades
adecuadas para el futuro con objeto de
mantenimientos
asegurar el funcionamiento requerido del
Errores de sistema.
E3 Baja 3 24 4 Extremo Raro 1 3 2 Tolerable
monitorización 10.3.2 Se deberían establecer criterios de
aceptación para nuevos sistemas de
información, actualizaciones y versiones
nuevas. Se deberían desarrollar las pruebas
adecuadas del sistema durante el desarrollo
y antes de su aceptación.
No se tiene un Anti spam 12.4.1 Se deberían establecer
para controlar el ingreso procedimientos con objeto de controlar la
de correos no deseados instalación de software en sistemas que
propagación de virus estén operativos.
Errores de
E4 Baja 3 24 4 Extremo 12.4.3 Se debería restringir el acceso al Raro 1 3 2 Tolerable
configuración
código fuente de los programas.
12.5.4 Se debería prevenir las posibilidades

de fuga de información.
13.1.1 Se deberían comunicar los eventos

Se obtiene fácil acceso a en la seguridad de información lo más
la BIOS, lo que ocasiona rápido posible mediante canales de gestión
apropiados.
que otras personas
puedan modificar la 13.1.2 Todos los empleados, contratistas y
configuración terceros que son usuarios de los sistemas y
Alteración servicios de información deberían anotar y
Muy comunicar cualquier debilidad observada o
E15 accidental de la 2 16 4 Extremo Raro 1 3 2 Tolerable
baja sospechada en la seguridad de los mismos.
información
responsabilidades y procedimientos de
gestión para asegurar una respuesta rápida,
efectiva y ordenada a los incidentes en la
seguridad de información.
10.7.3 Se deberían establecer

Destrucción de
E18 No existe un protocolo Media 4 32 4 Extremo procedimientos para la manipulación y Raro 1 3 2 Tolerable
la información para la clasificación de la almacenamiento de la información con el
objeto de proteger esta información contra
información
divulgaciones o usos no autorizados o
inadecuados.
12.3.1 Se debería desarrollar e implantar
una política de uso de controles
criptográficos para la protección de la
información.

Falta de interés por aplicar deberían respaldar activamente las
las políticas de seguridad iniciativas de seguridad demostrando su
claro apoyo y compromiso, asignando y
aprobando explícitamente las
responsabilidades en seguridad de la
Fugas de Muy información dentro de la Organización.
E19 2 16 4 Extremo Raro 1 3 2 Tolerable
información baja
6.1.2 Las actividades para la seguridad de
la información deberían ser coordinadas por
representantes que posean de cierta
relevancia en su puesto y funciones y de los
distintos sectores que forman la
Organización.

Falta de controles relación a su valor, requisitos legales,
sensibilidad y criticidad para la
Organización.
7.2.2 Se debería desarrollar e implantar un

conjunto apropiado de procedimientos para
Manipulación el etiquetado y tratamiento de la
información, de acuerdo con el esquema de
A3 de los registros Baja 3 24 4 Extremo Raro 1 3 2 Tolerable
clasificación adoptado por la Organización.
de actividad
procedimientos para la manipulación y
almacenamiento de la información con el
inadecuados.
7.2.2 Se debería desarrollar e implantar un
Falta de controles conjunto apropiado de procedimientos para
el etiquetado y tratamiento de la
información, de acuerdo con el esquema de
clasificación adoptado por la Organización.

procedimientos para la manipulación y
almacenamiento de la información con el
Manipulación inadecuados.
de la Muy
A4 2 16 4 Extremo Raro 1 3 2 Tolerable
configuración baja
[D.log] 10.10.2 Se deberían establecer
procedimientos para el uso del monitoreo
de las instalación de procesamiento de
información y revisar regularmente los
resultados de las actividades de monitoreo.
10.10.3 Se deberían proteger los servicios y

la información de registro de la actividad
contra acciones forzosas o accesos no
autorizados.
11.2.1 Debería existir un procedimiento

No existe una formal de alta y baja de usuarios con objeto

implementación de de garantizar y cancelar los accesos a
todos los sistemas y servicios de
procesos rigurosos para
información.
Suplantación actualizar las contraseñas
Muy
A5 de la identidad 2 16 4 Extremo 11.2.2 Se debería restringir y controlar la Raro 1 3 2 Tolerable
baja
del usuario asignación y uso de los privilegios.
11.2.3 Se debería controlar la asignación de

contraseñas mediante un proceso de
gestión formal.
11.2.4 El órgano de Dirección debería

revisar con regularidad los derechos de
acceso de los usuarios, siguiendo un
procedimiento formal.
11.4.2 Se deberían utilizar métodos de

No existe mecanismos de autenticación adecuados para el control del
control acceso remoto de los usuarios.
Abuso de 11.4.4 Se debería controlar la configuración

A6 privilegios de Baja 3 24 4 Extremo y el acceso físico y lógico a los puertos de Raro 1 3 2 Tolerable
acceso diagnóstico.
11.4.5 Se deberían segregar los grupos de

usuarios, servicios y sistemas de
información en las redes.
Falta de controles 9.1.1 - Los perímetros de seguridad (como

paredes, tarjetas de control de entrada a
puertas o un puesto manual de recepción)
deberían utilizarse para proteger las áreas
que contengan información y recursos para
su procesamiento.
9.1.2 - Las áreas de seguridad deberían
estar protegidas por controles de entrada
Acceso no Muy adecuados que garanticen el acceso
A11 2 16 4 Extremo Raro 1 3 2 Tolerable
autorizado baja únicamente al personal autorizado.
9.2.7 - No deberían sacarse equipos,
información o software fuera del local sin
una autorización.
10.10.2 - Se deberían establecer
procedimientos para el uso del monitoreo
de las instalación de procesamiento de
resultados de las actividades de monitoreo.
10.10.4 - Se deberían registrar las
actividades del administrador y de los
operadores del sistema.
11.1.1 - Se debería establecer, documentar
y revisar una política de control de accesos
en base a las necesidades de seguridad y
de negocio de la Organización.

No realizan copias de responsabilidades y procedimientos de
seguridad periódicamente gestión para asegurar una respuesta rápida,
efectiva y ordenada a los incidentes en la
Modificación seguridad de información.
A15 deliberada de la Baja 3 24 4 Extremo Raro 1 3 2 Tolerable
10.5.1 Se deberían hacer regularmente
información copias de seguridad de toda la información
esencial del negocio y del software, de
acuerdo con la política acordada de
recuperación

No hay mayor seguridad deberían respaldar activamente las
para la información iniciativas de seguridad demostrando su
claro apoyo y compromiso, asignando y
aprobando explícitamente las
responsabilidades en seguridad de la
información dentro de la Organización.
6.1.2 Las actividades para la seguridad de

Divulgación de
A19 Baja 3 24 4 Extremo la información deberían ser coordinadas por Raro 1 3 2 Tolerable
información representantes que posean de cierta
relevancia en su puesto y funciones y de los
distintos sectores que forman la
Organización.
6.1.3 Se deberían definir claramente todas

las responsabilidades para la seguridad de
la información.
Activo TI PGT-03 Código fuente Portal Tipo Datos/información
Web de la Gobernación de
Administrador Administrador Portal Web
Nariño, Portales. Degradación 100%

Vulnerabilidad
R NR R' NR'
(F) (F')
De origen
industrial
9.1.4 - Se debería designar y aplicar medidas

Muy de protección física contra incendio,
I8 Fuego No existe sistema de 2 16 4 Extremo Raro 1 3 2 Tolerable
baja inundación, terremoto, explosión, malestar civil
alarma contra
y otras formas de desastre natural o humano.
incendios.
La actualización del 5.1.1 La Dirección debería aprobar y publicar
antivirus no se actualiza un documento de la política de seguridad de la
diariamente información y comunicar la política a todos los
empleados y las partes externas relevantes.
8.1.1 Se deberían definir y documentar los
roles y responsabilidades de la seguridad de
Errores del los empleados, contratistas y terceros en
E2 Media 4 32 4 Extremo Raro 1 3 2 Tolerable
administrador concordancia con la política de seguridad de la
8.2.2 Todos los empleados de la organización
y donde sea relevante, contratistas y usuarios
de terceros deberían recibir entrenamiento
apropiado del conocimiento y actualizaciones
E
regulares en políticas y procedimientos

organizacionales como sean relevantes para la
función de su trabajo.

No cuenta con una con objeto de controlar la instalación de
protección segura a los software en sistemas que estén operativos.
Errores de ataques al sitio web

12.4.3 Se debería restringir el acceso al código
configuración fuente de los programas.
12.5.4 Se debería prevenir las posibilidades de

fuga de información.
6.1.1 Los miembros de la Dirección deberían
Los datos no son respaldar activamente las iniciativas de
correctamente seguridad demostrando su claro apoyo y
compromiso, asignando y aprobando
protegidos
explícitamente las responsabilidades en
seguridad de la información dentro de la
Fugas de
E19 Media 4 32 4 Extremo Organización. Raro 1 3 2 Tolerable
información
6.1.2 Las actividades para la seguridad de la
información deberían ser coordinadas por
representantes que posean de cierta relevancia
en su puesto y funciones y de los distintos

Suplantación de relación a su valor, requisitos legales,
contenido sensibilidad y criticidad para la Organización.
Manipulación 7.2.2 Se debería desarrollar e implantar un

Muy conjunto apropiado de procedimientos para el
A3 de los registros 2 16 4 Extremo
etiquetado y tratamiento de la información, de
Raro 1 3 2 Tolerable
baja
de actividad acuerdo con el esquema de clasificación
adoptado por la Organización.
10.7.4 Se debería proteger la documentación

de los sistemas contra accesos no autorizados.

Autorización procedimientos para el uso del monitoreo de
insuficiente las instalación de procesamiento de
Uso no
A7 Baja 3 24 4 Extremo resultados de las actividades de monitoreo. Raro 1 3 2 Tolerable
previsto
10.10.3 Se deberían proteger los servicios y la
información de registro de la actividad contra
acciones forzosas o accesos no autorizados.
No cuenta con la detección, prevención y recuperación contra el
suficiente protección a software malicioso, junto a procedimientos
adecuados para la concienciación de los
Denegación de los Ataques maliciosos
usuarios.
A24 Media 4 32 4 Extremo Raro 1 3 2 Tolerable
servicio
10.9.3 Se debería proteger la integridad de la
información que pone a disposición en un
sistema de acceso público para prevenir
modificaciones no autorizadas.

No se cuenta con la para la manipulación y almacenamiento de la
suficiente protección información con el objeto de proteger esta
Ataque
A26 Media 4 32 4 Extremo información contra divulgaciones o usos no Raro 1 3 2 Tolerable
destructivo autorizados o inadecuados.
12.3.1 Se debería desarrollar e implantar una

política de uso de controles criptográficos para
la protección de la información.
Activo TI PGT-07 Correo Electrónico Tipo Sistema de Información
institucional
Administrador Administrador Portal Web Degradación 100%

Vulnerabilidad
R NR R' NR'
(F) (F')
9.2.3 - Se debería proteger el

cableado de energía y de
No existe una fuente alterna telecomunicaciones que transporten
de corriente eléctrica datos o soporten servicios de
información contra posibles
interceptaciones o daños.
De origen industrial
9.2.4 - Se deberían mantener

Corte del
Muy adecuadamente los equipos para
I6 suministro 2 16 4 Extremo Muy baja 2 6 2 Tolerable
baja garantizar su continua disponibilidad e
eléctrico
integridad.
13.1.2 - Todos los empleados,

de información deberían anotar y
13.1.1 Se deberían comunicar los
Baja capacidad de respuesta eventos en la seguridad de
información lo más rápido posible
mediante canales de gestión
Fallo de servicio apropiados.
I8 de Baja 3 24 4 Extremo Muy baja 2 6 2 Tolerable
comunicaciones 13.1.2 Todos los empleados,
de información deberían anotar y
No existe un análisis de 5.1.1 La Dirección debería aprobar y

seguridad para todos los publicar un documento de la política
correos spam que llegan de seguridad de la información y
comunicar la política a todos los
empleados y las partes externas
relevantes.
8.1.1 Se deberían definir y
documentar los roles y
responsabilidades de la seguridad de
Errores del los empleados, contratistas y terceros
en concordancia con la política de
E
administrador
seguridad de la información de la
organización.
deberían recibir entrenamiento
apropiado del conocimiento y
actualizaciones regulares en políticas
y procedimientos organizacionales
como sean relevantes para la función
de su trabajo.
No existe un protocolo deberían respaldar activamente las
adecuado ya que Mediante el iniciativas de seguridad demostrando
uso de scripts en el código
HTML, intrusos pueden leer el explícitamente las responsabilidades
Fugas de correo electrónico de terceros,
E19 Baja 3 24 4 Extremo en seguridad de la información dentro Raro 1 3 2 Tolerable
información enviar correo usurpando de la Organización.
identidades e incluso hacerse
del control de un PC 6.1.2 Las actividades para la
seguridad de la información deberían
intervenido.
ser coordinadas por representantes
que posean de cierta relevancia en su
puesto y funciones y de los distintos
9.2.4 Se deberían mantener

No se mantienen actualizados adecuadamente los equipos para
los parches de seguridad. garantizar su continua disponibilidad e
integridad.
9.2.6 Debería revisarse cualquier

elemento del equipo que contenga
dispositivos de almacenamiento con el
fin de garantizar que cualquier dato
sensible y software con licencia se
Errores de haya eliminado o sobrescrito con
mantenimiento / seguridad antes de la eliminación
E21 actualización de Media 4 32 4 Extremo Raro 1 3 2 Tolerable
programas
criterios de aceptación para nuevos
(Software) sistemas de información,
actualizaciones y versiones nuevas.
Se deberían desarrollar las pruebas
adecuadas del sistema durante el
desarrollo y antes de su aceptación.
Se deberían hacer regularmente

copias de seguridad de toda la
información esencial del negocio y del
software, de acuerdo con la política
acordada de recuperación
10.4.1 Se deberían implantar
controles de detección, prevención y
recuperación contra el software
malicioso, junto a procedimientos
adecuados para la concienciación de
los usuarios.

procedimientos con objeto de
controlar la instalación de software en
sistemas que estén operativos.
11.2.1 Debería existir un

No existe un protocolo de procedimiento formal de alta y baja de
seguridad ya que Mediante el usuarios con objeto de garantizar y
cancelar los accesos a todos los

uso de scripts en el código
sistemas y servicios de información.
HTML, intrusos pueden leer el
correo electrónico de terceros, 11.2.2 Se debería restringir y controlar
Suplantación de enviar correo usurpando la asignación y uso de los privilegios.
A5 la identidad del identidades e incluso hacerse Baja 3 24 4 Extremo Raro 1 3 2 Tolerable
del control de un PC 11.2.3 Se debería controlar la
usuario asignación de contraseñas mediante
intervenido.
un proceso de gestión formal.
11.2.4 El órgano de Dirección debería

revisar con regularidad los derechos
de acceso de los usuarios, siguiendo
un procedimiento formal.
No existe un protocolo para 9.2.4 - Se deberían mantener
acceder a al información adecuadamente los equipos para
garantizar su continua disponibilidad e
integridad.
14.1.3 - Se deberían desarrollar e

Denegación de Muy
A24 2 16 4 Extremo implantar planes de mantenimiento o Raro 1 3 2 Tolerable
servicio baja
recuperación de las operaciones del
negocio para asegurar la
disponibilidad de la información en el
grado y en las escalas de tiempo
requerido, tras la interrupción o fallo
de los procesos críticos de negocio.
Activo TI PGT-13 Computadores de Escritorio Tipo Hardware
Administrador Soporte Técnico Degradación 50%


Vulnerabilidad
R NR R' NR'
(F) (F')
No existe sistema de alarma 9.1.4 - Se debería designar y aplicar

contra incendios. medidas de protección física contra
No poseen extintor en al oficina incendio, inundación, terremoto,
N1 Fuego Baja 3 9 3 Intolerable Raro 1 3 2 Tolerable
de Proceso de Gestión TIC explosión, malestar civil y otras
formas de desastre natural o
humano.
Desastres naturales
Los computadores de escritorio 9.1.4 - Se debería designar y aplicar

se encuentra ubicados sin medidas de protección física contra
ninguna precaución incendio, inundación, terremoto,
N2 Daños por agua Bajo 3 9 3 Intolerable Raro 1 3 2 Tolerable
explosión, malestar civil y otras
formas de desastre natural o
humano.
El Proceso de Gestión TIC se 9.1.4 - Se debería designar y aplicar

encuentra en zona media de medidas de protección física contra
Desastres riesgo de desastre natural de incendio, inundación, terremoto,
N* Baja 3 9 3 Intolerable Raro 1 3 2 Tolerable
naturales origen de inundación debido a explosión, malestar civil y otras
su mala ubicación en el primer formas de desastre natural o
piso humano.
No existe una fuente de energía 9.2.3 - Se debería proteger el
alterna cableado de energía y de
telecomunicaciones que transporten
datos o soporten servicios de
información contra posibles
interceptaciones o daños.
Corte del adecuadamente los equipos para
I6 suministro Baja 3 9 3 Intolerable garantizar su continua disponibilidad Muy baja 2 6 2 Tolerable
eléctrico e integridad. 13.1.2 -
Todos los empleados, contratistas y
terceros que son usuarios de los
sistemas y servicios de información
deberían anotar y comunicar
cualquier debilidad observada o
sospechada en la seguridad de los

mismos.
No cuentan con aire 9.2.1 - El equipo debería situarse y

acondicionado en la oficina de protegerse para reducir el riesgo de
Proceso de Gestión TIC materialización de las amenazas del
entorno, así como las oportunidades
de acceso no autorizado.
Condiciones adecuadamente los equipos para
inadecuadas de garantizar su continua disponibilidad
I7 Baja 3 9 3 Intolerable Muy baja 2 6 2 Tolerable
temperatura o e integridad. 13.1.2 - Todos
humedad los empleados, contratistas y
terceros que son usuarios de los
sistemas y servicios de información
deberían anotar y comunicar
cualquier debilidad observada o
sospechada en la seguridad de los
mismos.
No se utilizan paneles de 9.1.1 Los perímetros de

Desastres obturación para el cableado. seguridad (como paredes,
I* Baja 3 9 3 Intolerable Raro 1 3 2 Tolerable
industriales No existe sistema de alarma de tarjetas de control de entrada a
control de temperatura y puertas o un puesto manual de
humedad. recepción) deberían utilizarse
No existen planos, esquemas, para proteger las áreas que
avisos que indiquen que hay contengan información y
una fuente de energía y recursos para su
señales de estas mismas. procesamiento.
9.1.3 Se debería asignar y

aplicar la seguridad física para
oficinas, despachos y recursos.
9.2.2 Se deberían proteger los

equipos contra fallos en el
suministro de energía u otras
anomalías eléctricas en los
equipos de apoyo.
9.2.3 Se debería proteger el

telecomunicaciones que
transporten datos o soporten
servicios de información contra
posibles interceptaciones o
daños.
No existe un manual para el 8.2.2 Todos los empleados de la

uso de las diferentes organización y donde sea relevante,
aplicaciones contratistas y usuarios de terceros
Errores de los
E1 Baja 3 9 3 Intolerable actualizaciones regulares en Raro 1 3 2 Tolerable
usuarios políticas y procedimientos
organizacionales como sean
relevantes para la función de su
trabajo.
No existe un protocolo para la 5.1.1 La Dirección debería aprobar y
instalación de las diferentes publicar un documento de la política
aplicaciones de seguridad de la información y
comunicar la política a todos los
empleados y las partes externas
relevantes.
responsabilidades de la seguridad
de los empleados, contratistas y
terceros en concordancia con la
Errores del
E2 Baja 3 9 3 Intolerable política de seguridad de la Raro 1 3 2 Tolerable
E
administrador
actualizaciones regulares en
políticas y procedimientos
trabajo.
No existe un manual para la 12.4.1 Se deberían establecer

debida configuración de los procedimientos con objeto de
equipos de computo controlar la instalación de software
en sistemas que estén operativos.
Errores de
E4 Baja 3 9 3 Intolerable 12.4.3 Se debería restringir el Raro 1 3 2 Tolerable
configuración acceso al código fuente de los
programas.
12.5.4 Se debería prevenir las

posibilidades de fuga de
información.
No cuentan con una política de 8.2.2 Todos los empleados de la
mantenimiento organización y donde sea relevante,
Errores de
mantenimiento /
E21 actualización de Baja 3 9 3 Intolerable Raro 1 3 2 Tolerable
trabajo.
programas
(hardware)
adecuadamente los equipos para
garantizar su continua disponibilidad
e integridad.
12.5.1 Se debería controlar la
implantación de cambios mediante
la aplicación de procedimientos
formales de control de cambios.
No existen las suficientes 9.1.1 - Los perímetros de seguridad
cámaras de seguridad en la (como paredes, tarjetas de control
oficina de Proceso de Gestión de entrada a puertas o un puesto
TIC manual de recepción) deberían
utilizarse para proteger las áreas
que contengan información y
recursos para su procesamiento.
9.1.2 - Las áreas de seguridad
deberían estar protegidas por
controles de entrada adecuados que
garanticen el acceso únicamente al
personal autorizado.
9.2.7 - No deberían sacarse
equipos, información o software
Perdida de
E25 Baja 3 9 3 Intolerable fuera del local sin una autorización. Raro 1 3 2 Tolerable
equipos
procedimientos para el uso del
monitoreo de las instalación de
procesamiento de información y
revisar regularmente los resultados
de las actividades de monitoreo.
actividades del administrador y de
los operadores del sistema.
11.1.1 - Se debería establecer,
documentar y revisar una política de
control de accesos en base a las
necesidades de seguridad y de
negocio de la Organización.
Debido a la gran cantidad de 10.4.1 Se deberían implantar

intencionad
equipos de computo que están controles de detección, prevención y

Ataques
destinados para los usuarios y recuperación contra el software

Difusión de
A6 Baja 3 9 3 Intolerable malicioso, junto a procedimientos Raro 1 3 2 Tolerable
os
software dañino la falta de asesoría puede

adecuados para la concienciación
causar daños de los usuarios.
No se han implementado 11.2.1 Debería existir un
normativas para el uso de procedimiento formal de alta y baja
contraseñas fuertes para el de usuarios con objeto de garantizar
y cancelar los accesos a todos los
acceso a los servicios
sistemas y servicios de información.
11.2.2 Se debería restringir y

controlar la asignación y uso de los
Suplantación de privilegios.
A11 la identidad del Baja 3 9 3 Intolerable Raro 1 3 2 Tolerable
usuario asignación de contraseñas
mediante un proceso de gestión
formal.
11.2.4 El órgano de Dirección

debería revisar con regularidad los
derechos de acceso de los usuarios,
siguiendo un procedimiento formal.
No se ha tomado medidas o 6.1.3 Se deberían definir claramente
políticas de seguridad que todas las responsabilidades para la
asesore a los usuarios de la seguridad de la información.
manipulación de las
aplicaciones organización y donde sea relevante,
trabajo.
8.2.3 Debería existir un proceso

Manipulación de formal disciplinario para empleados
A3 Baja 3 9 3 Intolerable que produzcan brechas en la Raro 1 3 2 Tolerable
la configuración
seguridad.
11.3.1 Se debería exigir a los

usuarios el uso de las buenas
prácticas de seguridad en la
selección y uso de las contraseñas.

responsabilidades y procedimientos
de gestión para asegurar una
respuesta rápida, efectiva y
ordenada a los incidentes en la
seguridad de información.
Activo TI PGT-14 Computadores Portátiles Tipo Hardware
Administrador Soporte Técnico Degradación 50%


Vulnerabilidad
R NR R' NR'
(F) (F')
No existe sistema de alarma 9.1.4 - Se debería designar y

contra incendios. aplicar medidas de protección
No poseen extintor en al oficina física contra incendio, inundación,
N1 Fuego Baja 3 9 3 Intolerable Raro 1 3 2 Tolerable
de Proceso de Gestión TIC terremoto, explosión, malestar civil
y otras formas de desastre natural
o humano.
Desastres naturales
Los computadores portátiles se 9.1.4 - Se debería designar y

encuentra ubicados sin ninguna aplicar medidas de protección
precaución física contra incendio, inundación,
N2 Daños por agua Bajo 3 9 3 Intolerable Raro 1 3 2 Tolerable
terremoto, explosión, malestar civil
o humano.
No se utilizan paneles de
obturación para el cableado.
9.1.4 - Se debería designar y
No existe sistema de alarma de
aplicar medidas de protección
control de temperatura y
Desastres física contra incendio, inundación,
N* humedad. Baja 3 9 3 Intolerable Raro 1 3 2 Tolerable
naturales terremoto, explosión, malestar civil
No existen planos, esquemas,
avisos que indiquen que hay
o humano.
una fuente de energía y señales
de estas mismas.
No existe una fuente de energía 9.2.3 - Se debería proteger el
alterna cableado de energía y de
posibles interceptaciones o daños.
Corte del adecuadamente los equipos para
I6 suministro Baja 3 9 3 Intolerable garantizar su continua Muy baja 2 6 2 Tolerable
eléctrico disponibilidad e integridad.
usuarios de los sistemas y
servicios de información deberían

anotar y comunicar cualquier
debilidad observada o sospechada
en la seguridad de los mismos.
No cuentan con aire 9.2.1 - El equipo debería situarse y

acondicionado en la oficina de protegerse para reducir el riesgo de
Proceso de Gestión TIC materialización de las amenazas
del entorno, así como las
oportunidades de acceso no
autorizado.
Condiciones
inadecuadas de
I7 Baja 3 9 3 Intolerable garantizar su continua Muy baja 2 6 2 Tolerable
temperatura o
disponibilidad e integridad.
humedad
usuarios de los sistemas y
servicios de información deberían
anotar y comunicar cualquier
debilidad observada o sospechada
en la seguridad de los mismos.
No se utilizan paneles de 9.1.1 Los perímetros de seguridad
obturación para el cableado. (como paredes, tarjetas de control
No existe sistema de alarma de de entrada a puertas o un puesto
manual de recepción) deberían
control de temperatura y
humedad. que contengan información y
No existen planos, esquemas, recursos para su procesamiento.
avisos que indiquen que hay
una fuente de energía y señales 9.1.3 Se debería asignar y aplicar
de estas mismas. la seguridad física para oficinas,
despachos y recursos.
Desastres
I* Baja 3 9 3 Intolerable Raro 1 3 2 Tolerable
industriales 9.2.2 Se deberían proteger los
equipos contra fallos en el
suministro de energía u otras
anomalías eléctricas en los equipos
de apoyo.
9.2.3 Se debería proteger el

posibles interceptaciones o daños.
No existe un manual para el uso 8.2.2 Todos los empleados de la

de las diferentes aplicaciones organización y donde sea
relevante, contratistas y usuarios
de terceros deberían recibir
Errores de los entrenamiento apropiado del
E1 Baja 3 9 3 Intolerable conocimiento y actualizaciones Raro 1 3 2 Tolerable
usuarios regulares en políticas y
procedimientos organizacionales
como sean relevantes para la
No existe un protocolo para la 5.1.1 La Dirección debería aprobar
instalación de las diferentes y publicar un documento de la
aplicaciones política de seguridad de la
información y comunicar la política
a todos los empleados y las partes
externas relevantes.
responsabilidades de la seguridad
de los empleados, contratistas y
terceros en concordancia con la
Errores del
E2 Baja 3 9 3 Intolerable política de seguridad de la Raro 1 3 2 Tolerable
E
administrador
organización y donde sea
entrenamiento apropiado del
conocimiento y actualizaciones
regulares en políticas y
No existe un manual para la 12.4.1 Se deberían establecer

debida configuración de los procedimientos con objeto de
equipos de computo controlar la instalación de software
en sistemas que estén operativos.
Errores de
E4 Baja 3 9 3 Intolerable 12.4.3 Se debería restringir el Raro 1 3 2 Tolerable
configuración acceso al código fuente de los
programas.
12.5.4 Se debería prevenir las

posibilidades de fuga de
información.
No cuentan con una política de 8.2.2 Todos los empleados de la
mantenimiento organización y donde sea
entrenamiento apropiado del
conocimiento y actualizaciones
regulares en políticas y
Errores de
mantenimiento /
E21 actualización de Baja 3 9 3 Intolerable Raro 1 3 2 Tolerable
programas
(hardware)
garantizar su continua
disponibilidad e integridad.
implantación de cambios mediante
la aplicación de procedimientos
formales de control de cambios.
No existen las suficientes 9.1.1 - Los perímetros de seguridad
cámaras de seguridad en la (como paredes, tarjetas de control
oficina de Proceso de Gestión de entrada a puertas o un puesto
TIC manual de recepción) deberían
que contengan información y
recursos para su procesamiento.
9.1.2 - Las áreas de seguridad
deberían estar protegidas por
controles de entrada adecuados
que garanticen el acceso
únicamente al personal autorizado.
9.2.7 - No deberían sacarse
equipos, información o software
Perdida de
E25 Baja 3 9 3 Intolerable fuera del local sin una autorización. Raro 1 3 2 Tolerable
equipos
procedimientos para el uso del
monitoreo de las instalación de
procesamiento de información y
revisar regularmente los resultados
de las actividades de monitoreo.
actividades del administrador y de
los operadores del sistema.
11.1.1 - Se debería establecer,
documentar y revisar una política
de control de accesos en base a
las necesidades de seguridad y de
negocio de la Organización.
Debido a la gran cantidad de 10.4.1 Se deberían implantar

intencionad
equipos de computo que están controles de detección, prevención

Ataques
destinados para los usuarios y la y recuperación contra el software

Difusión de
A6 Baja 3 9 3 Intolerable malicioso, junto a procedimientos Raro 1 3 2 Tolerable
os
software dañino falta de asesoría puede causar

adecuados para la concienciación
daños de los usuarios.
No se han implementado 11.2.1 Debería existir un
normativas para el uso de procedimiento formal de alta y baja
contraseñas fuertes para el de usuarios con objeto de
garantizar y cancelar los accesos a
acceso a los servicios
todos los sistemas y servicios de
información.
11.2.2 Se debería restringir y

controlar la asignación y uso de los
Suplantación de privilegios.
A11 la identidad del Baja 3 9 3 Intolerable Raro 1 3 2 Tolerable
usuario asignación de contraseñas
mediante un proceso de gestión
formal.
11.2.4 El órgano de Dirección

debería revisar con regularidad los
derechos de acceso de los
usuarios, siguiendo un
procedimiento formal.
No se ha tomado medidas o 6.1.3 Se deberían definir
políticas de seguridad que claramente todas las
asesore a los usuarios de la responsabilidades para la
manipulación de las seguridad de la información.
aplicaciones
8.2.2 Todos los empleados de
la organización y donde sea
relevante, contratistas y
usuarios de terceros deberían
recibir entrenamiento apropiado
del conocimiento y
relevantes para la función de
su trabajo.
8.2.3 Debería existir un

Manipulación de proceso formal disciplinario
A3 Baja 3 9 3 Intolerable Raro 1 3 2 Tolerable
la configuración para empleados que produzcan
brechas en la seguridad.
11.3.1 Se debería exigir a los

usuarios el uso de las buenas
prácticas de seguridad en la
selección y uso de las
contraseñas.

las responsabilidades y
procedimientos de gestión para
asegurar una respuesta rápida,
efectiva y ordenada a los
incidentes en la seguridad de
información.

Tabla

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tabla

Uploaded by

Copyright:

Available Formats

Activo TI PGT-04 Portal Web Gobernación de Tipo Sistema de Información

Riesgo Actual Riesgo Residual Esperado

Un error del 5.1.1 La Dirección debería aprobar y publicar un

disponibilidad de las empleados y las partes externas relevantes.

12.6 Se debería obtener información oportuna

o No existe un 10.7.3 Se deberían establecer procedimientos

6.1.1 Los miembros de la Dirección deberían

9.2.4 Se deberían mantener adecuadamente los

11.3.2 Los usuarios deberían garantizar que los

11.2.2 Se debería restringir y controlar la

Suplantación de la identidad implementado

10.4.1 Se deberían implantar controles de

6.1.3 Se deberían definir claramente todas las

10.7.3 Se deberían establecer procedimientos

Administrador Administrador de Sistemas Degradación 50%

Riesgo Actual Riesgo Residual Esperado

6.1.1 Los miembros de la Dirección

sectores que forman la Organización.

6.1.1 Los miembros de la Dirección

11.3.2 Los usuarios deberían

6.1.1 Los miembros de la Dirección

11.3.2 Los usuarios deberían

13.1.1 Se deberían comunicar los

13.1.2 Todos los empleados,

comunicar cualquier debilidad

13.2.1 Se deberían establecer las

8.2.3 Debería existir un proceso

Riesgo Actual Riesgo Residual Esperado

8.2.2 Todos los empleados de la

Los usuarios no cuentan organización y donde sea relevante,

10.3.1 Se debería monitorizar el uso de

12.5.4 Se debería prevenir las posibilidades

13.1.1 Se deberían comunicar los eventos

10.7.3 Se deberían establecer

6.1.1 Los miembros de la Dirección

7.2.1 La información debería clasificarse en

7.2.2 Se debería desarrollar e implantar un

10.7.3 Se deberían establecer

10.10.3 Se deberían proteger los servicios y

11.2.1 Debería existir un procedimiento

No existe una formal de alta y baja de usuarios con objeto

11.2.3 Se debería controlar la asignación de

11.2.4 El órgano de Dirección debería

11.4.2 Se deberían utilizar métodos de

Abuso de 11.4.4 Se debería controlar la configuración

11.4.5 Se deberían segregar los grupos de

Falta de controles 9.1.1 - Los perímetros de seguridad (como

13.2.1 Se deberían establecer las

6.1.1 Los miembros de la Dirección

6.1.2 Las actividades para la seguridad de

6.1.3 Se deberían definir claramente todas

Riesgo Actual Riesgo Residual Esperado

9.1.4 - Se debería designar y aplicar medidas

regulares en políticas y procedimientos

12.4.1 Se deberían establecer procedimientos

Errores de ataques al sitio web

12.5.4 Se debería prevenir las posibilidades de

7.2.1 La información debería clasificarse en

Manipulación 7.2.2 Se debería desarrollar e implantar un

10.7.4 Se debería proteger la documentación

10.10.2 Se deberían establecer

10.7.3 Se deberían establecer procedimientos

12.3.1 Se debería desarrollar e implantar una

Riesgo Actual Riesgo Residual Esperado