analisis de riesgo de los activos de la empresa abc1v2 ultimo(2)

Aplicaciones

Activo CantidadMS Windows Server 2003 Std - Open 4MS Windows Server 2003 Std - OEM 1MS Windows Server 2003 Std - CAL 500

MS Office XP Standard 50MS Office 2003 Profesional 100

MS Windows XP Profesional ESP 300MS ISA Server 2004 Eng 2

Panda Enterprise Security Ver 4.10 500MS Exchange Server 2003 Std Esp 1

MS Exchange Server 2003 Std - CAL 1Winzip 9.0 50

Sistema de contabilidad 1Sistema de ventas 1

Sistema de almacen 1MS Exchange Server 2003 Std - CAL 1

Winzip 9.0 50

Equipos Informaticos

Activo CantidadPC Compatibles P-IV 2 GB RAM 50HP Pavilion Slimline S5610LA 300

IBM System x3500 MX3 6

Intangibles

Activo CantidadProcedimiento de backup -

Plan de contingencia -Formato de solicitud de acceso RR II -

Equipamiento auxiliar

Activo CantidadAPC Back-UPS 350, 230v 1

Xerox WorkCenter 5020N 140Epson TX115 5

Instalaciones

Activo CantidadMS Windows XP Profesional - OEM 300

Redes de comunicación

Activo Cantidad3Com Switch 4500 40

3Com Switch 7700 Overview 1

CodAct

ACT-001

ACT-002

ACT-003

ACT-004

ACT-005

ACT-006

ACT-007

ACT-008

ACT-009

ACT-010

ACT-011

ACT-012

ACT-013

ACT-014

ACT-015

Clasificación de Activo

Nombre Activo

SERVIDORES

V - Servidor de Dominio (IBM System V - Servidor de Correos (IBM System V - Srv. Firewall (IBM System V Srv. Antivirus (IBM System V Srv. BD y App (IBM System SRVPRD07V Srv. Pruebas (IBM System x3500 M3)

SERVICIOS

Servicio de dominioServicio de correosServicio de FirewallServicio de AntivirusServicio de BD y App

Servicio de Pruebas

INFORMACION

backup de servidor de dominio

HARDWARE

IBM System x3500 M3APC Back-UPS 350, 230V

ACT-016

ACT-017

ACT-018

ACT-019

ACT-020

ACT-021

ACT-022

ACT-023

ACT-024

ACT-025

ACT-026 WinZip 9.0

ACT-027

ACT-028

ACT-029

ANTIVIRUS ACT-030

ACT-031

ACT-032

ACT-033

ACT-034

HARDWARE

Compatibles P-IV - 2GB RAM

HP Pavilion Slimline s5610la

SOFTWARE

Windows Server 2003 Std - Windows Server 2003 Std - Windows Server 2003 Std - MS- Office XP StandardMS- Office 2003 ProfesionalWindows XP Profesional Exchange Server 2003 Std Exchange Server 2003 Std -

MS - ISA Server 2004 EngAcrobat Reader 09 EspañolMS Project 2003 EspPanda Entreprice Security Ver.4.10T

EMAS DE

Sistema de ContabilidadSistema de VentasSistema de Almacen

Sistema de Tesorería

ACT-034

PLANIFICACION ACT-035

ACT-036

ACT-037

IMPRESORASACT-038

ACT-039

TRABAJADORES ACT-040

INFORMACI

Sistema de Tesorería

Plan de Contigencia

DISPOSITIVOS DE REDES

3Com® Switch 45003COM Switch7700OverviewXerox WorkCenter 5020NEpson TX115

Personal de la empresa

AMENAZAS

CódigoA001A002A003A004A005A006A007A008A009A010A011A012A013A014A015A016A017A018A019A020A021A022A023A024A025A026A027A028A029A030A031A032A033A034A035A036A037A038A039A040A041A042A043A044A045A046

A047A048A049A050A051A052A053A054A055A056A057A058A059A060A061A062A063A064A065A066A067A068A069A070A071A072A073A074A075A076A077A078A079A080A081A082A083A084A085A086A087A088A089A090

AMENAZAS

DescripciónAcceso a información estratégica de negocioAcceso de personal no autorizadoAgravio y expansión de errores a la red y/o sistemaAtaque de los HackersAtaques a claves secretas de una ejecución defectuosa del algoritmo RSAAtaques de personas externas a la red.Ausencia de identificación de personas u otros que naveguen por la redCalentamiento de los servidoresComunicación de hosts de confianza con hosts que no son de confianzaConexiones no autorizadas

Daño o deterioro de los equiposDenegación de acceso al sistema

Descontento del área usuariaDivulgación de InformaciónEl personal temporal podria realizar actividad no autorizadaElevación de privilegiosEnvenenamiento de DNSErrores en los sistemas operativosExceso de trafico de RED

Fallas constantes en los equiposFallas en el procesamiento de transacciones en GlobalFalta de respuesta ante incidentes de seguridadFluctuación del suministro de LuzFraude interno por manipulación en la base de datos de clientes.Fuga de información confidencial de la empresa

Imposibilidad de contar con recursos para recuperación ante desastresInfiltro en la red (Ingreso a la red por terceros)Infraestructura incapaz de resistir a las manifestaciones de la naturaleza como terremotos, maremotos, huracanes etc

Ingreso de archivos maliciosos, virus y spamInstalaciones inadecuadas del espacio de trabajo

Interrupción de Corriente ElectricaLa denegación de servicio (Ping de la Muerte y Bomba de Correo Electrónico)Mala administracion de equipos e informaciónManipulación de la dataManipulacion de personas ajenas al usuario

Perdida de eficiencia en el trabajoPérdida de evidencia (Journal)Perdida de informaciónPerdida del control de actividades realizados a los determinados sistemas de información

causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización. es un evento o acción no deseable que puede afectar negativamente a la organización para el logro de sus objetivos, metas, etc

Perdidas de copias de respaldoPharming (mayor detalle como resultado de vulnerabilidad)Phishing (mayor detalle como resultado de vulnerabilidad)Revelación de información crítica de la red y el sistemaRobo de equipos u otros accesorios de la empresaRobo de informacion por agentes extranos o internos de la empresaSaboteo de RedSalida de personalSaturación SYN (Saturación del tráfico de la red, generando saturación de servicios)Secuestro de sesiónSobrecarga de voltajeSpam (mayor detalle como resultado de vulnerabilidad)Suplantación de identidad o "spoofing"Utilización maintencionada de códigos de depuración en producciónProcesos excepcionales de actualización masiva de datos pueden producir información errónea o inconsistenteLos cambios realizados afectan la integridad de la información y continuidad de los sistemas en producciónIntrusión con intención de fraude o manipulación de datos en los servicios de Intercambio de Información con proveedores y Socios de NegociosManipulación de datos con intención de fraude o corrupción de información por ingreso de Código no autorizado a través de Redes Públicas (virus, troyanos, etc.).Manipulación de datos con intención de fraude o corrupción de información por ingreso de Código no autorizado a través de Redes Internas (virus, troyanos, etc.).Fraude a través de los Servicios accesados por Redes PúblicasFraude a través de los Servicios accesados por la Red Interna.Robo de Información digital dentro de las Oficinas Centrales y Red de TiendasRobo de Información no digital dentro de Tiendas y Oficinas Centrales.Ingreso de código malicioso o no autorizado (fraude de programación)Modificación no autorizada de datosMal uso de información confidencial o privilegiadaIngreso errado no intencional de InformaciónAcceso lógico no autorizadoHurto de equipo informáticoProblemas por puesta en producción de sistemas defectuosos desarrollados por terceros (nuevos desarrollos o modificaciones)Problemas por puesta en producción de sistemas defectuosos desarrollados internamente (nuevos desarrollos o modificaciones)Cambios de Emergencia en producción generan un desfase de versiones de programasCambios en los sistemas en producción no planificados y/o no autorizadosDemoras en implementar los cambios a Sistemas en ProducciónDependencia de personal claveModificación no autorizada de programas y sistemasDemoras en implementar los cambiosProblemas con la instalación y entrega de los sistemasNo finalice oportunamente el batch de sistemas críticosDificultades para dar continuidad a la ejecución de tareas de operaciónDificultades con el soporte a los usuarios en el uso de los sistemasUPS no soporte la cantidad de equipos conectados en la red eléctricaMala instalacion y configuracion de los sistemasPlanes de accion no aplican a la situacion actual

VULNERABILIDADES

CódigoV001V002V003V004V005V006V007V008V009V010V011V012V013V014V015V016V017V018V019V020V021V022V023V024V025V026V027V028V029V030V031V032V033V034V035V036V037V038V039V040V041V042V043V044V045V046V047V048

V049V050V051V052V053V054V055V056V057V058V059V060V061V062V063V064V065V066V067V068V069V070V071V072V073V074V075V076V077V078V079V080V081V082V083V084

VULNERABILIDADES

DescripciónAusencia/Carencia de generador eléctricoAusencia/Carencia de UPSFalta de servidor de backup.Cableado de data y electrica no certificadosConservación inadecuada de los equiposCuentas de usuario sin contraseña o con contraseña fácilmente identificableEquipos en ambientes inadecuadosErrores (bugs) en softwareFalta de actualizacion de antivirusFalta de actualizacion de softwareFalta de capacitación al personalFalta de control de acceso a servidoresFalta de control de seguridad de acceso fisico al Datacenter y equipos de computoFalta de documentacion de procedimientos operativosFalta de firewallFalta de licencias de softwareFalta de mantenimiento a los servidoresFalta de mantenimiento de hardwareFalta de mantenimiento de los equiposFalta de mantenimiento de softwareFalta de mecanismos de cifradoFalta de metodología para gestión de seguridad de la informaciónFalta de metodologías para desarrollo de softwareFalta de monitoreo del trafico de redFalta de politicas para el intercambio de informacionFalta de políticas para traslado de equiposFalta de soporte técnicoFalta de un acuerdo de confidencialidad entre empleado y empleadorFrecuente saturación de red (mas especifico)Inadecuada distribución de redInadecuado procedimientos para la eliminacion de archivos digitalesInadecuadas Condiciones AmbientalesInadecuadas políticas de servicios de comunicaciones (correo electrónico, comercio electrónico, etc.)Infraestructura sin resistencia a los desastres naturalesCarencia de inventario de RRII de la empresaMal diseño e implementación de sistemas de informaciónMala conexión en los equipos de comunicación.Mala configuración de equipos clienteMala configuración de servidoresMala configuración del firewallMala localización de los equiposFalta/Carencia de medidas de seguridad ante incendios o inundacionesNo tener un control de cambio contraseñas (trimestralmente, longitud de contraseña, caracteres permitidos)Obsolescencia de HardwareObsolescencia de SoftwareCarencias de politicas de claves de acceso a la empresaPoliticas de encriptamiento debilesEstructura de seguridad de la red deficiente

Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza. Es una debilidad en un sistema, aplicación o infraestructura

que lo haga susceptible a la materialización de una amenaza

Facil acceso a la red inalambrica Software obsoletos de los equiposContraseñas débiles y fáciles de acertar por individuos sospechososFácil detección de la red inalambrica de la empresaHardware y software no auditable o de difícil auditabilidadNo contar con revision periodica de los perfiles y accesos de los usuariosAcceso no controlado a información confidencialActualización masiva de datos sin controlAusencia o desactualización de procedimientos operativosAusencia y/o insuficientes ambientes para pruebas Brechas en la seguridad de información (Procedimientos/Control y/o monitoreo)Carencia de un monitoreo de los Servicios de TIContratos inadecuados/Inexistencia de contratosDesconocimiento de Políticas de Seguridad de informaciónDocumentación de sistemas inexistentes o desactualizadosFalla en la supervisión y coordinación con proveedoresFallas en MigraciónFallas metodológicas en ejecución de pruebas usuarias (planificación/procedimientos)Fallas/Carencia metodológicas en pruebasFalta de control en el uso de dispositivos digitales (CD's, USB's)Inadecuada Inversión en TecnologíaIncompatibilidad y falta de Integración de los Sistemas y/o Arquitectura InapropiadaSobre asignación de tareas al personalFalta de BackupMal dimensionamiento de la capacidad del equipoFalta de procedimientos de instalacion de softwareFalta de procedimientos de cambio o reemplazo de puestos

X

XX

X

PROBABILIDAD

Valor Caract Clasificación % Prob

5 Casi Cierta Muy Alta 80-99

4 Altamente Probable Alta 60-80

3 Probable Media 40-60

2 Improbable Baja 20-40

1 Remota Muy Baja 0-20

PROBABILIDAD

Definición Descripcion

Perdida de documentación irrelevante

La amenaza puede tenderse ciertaa suceder y hasta muy grave para la operatividad del sistema y el resguardo de la de informacion (Atacando la C, I y D)

Amenazas originadas por accidentes tecnológicos procedimientos peligrosos, fallos de infraestructura o de ciertas actividades humanas, que pueden causar muerte o lesiones, daños materiales, interrupción de la actividad social y económica.

La amenaza puede darse por las vulnerabilidades y puede causar daños al sistema de información siendo blancos faciles para ataques contra la información.

Amenazas originadas por virus, hackers, spam, etc, ocacinando grandes perdidas de información afectando gravemente la economia de la empresa dejandola al borde de la quiebra

La amenaza se puede dar en un periodo quzias no tan corto pero con el tiempo puede surgir por falta de controles.

Amenazas ocacionadas por el personal informatico ocacionando perdidas economicas, que afecten la estabilidad de la empresa

La amenaza no es tan prospera a suceder, como tampoco a causa mucho daño sin emabrgo puede afectar algunos puntos del sistema de negocio que hagan lenta algunas transacciones.

Perdida de información importante para la empresa afectando levemente su economia

La amenaza es muy leve y poca exitosa a que se de; de darse no afectaria informacion valiosa para las operacioens de negocio.

PROBABILIDAD

Descripcion

35%, Ataques de virus y perdida de backups.

30%, Falta de mantenimiento a un servidor.

20%, Falta de confidencialidad(password) y seguridad, en la Red.

10%, perdida de hardware y software por un mal mantenimiento.

5%,daños irreversibles de la informacion a nivel software o hardware.

IMPACTO

Categoría Valor

Catastrófico 5

Mayores 4

Moderado 3

Mejores 2

Insignificate 1

Descripción

Riesgo que puede tener un pequeño o nulo efecto en la institución

Riesgo cuya materialización influye directamente en el cumplimiento de la misión, pérdida patrimonial o deterioro de la imagen, dejando además sin funcionar totalmente o por un período importante de tiempo, los programas o servicios que entrega la institución

Riesgo cuya materialización dañaría significativamente el patrimonio, imagen o logro de los objetivos sociales. Además, se requeriría una cantidad importante de tiempo de la alta dirección en investigar y corregir los daños

Riesgo cuya materialización causaría ya sea una pérdida importante en el patrimonio o un deterioro significativo de la imagen. Además, se requeriría una cantidad de tiempo importante de la alta dirección en investigar y corregir los daños

Riesgo que causa un daño en el patrimonio o imagen, que se puede corregir en el corto tiempo y que no afecta el cumplimiento de los objetivos estratégicos

CONFIDENCIALIDAD

Valor Definición

5 Muy Alta

4 Alta

3 Media

2 Baja

1 Muy Baja

Clasificación

Es la información o recurso que debe ser divulgada sólo a fuentes autorizadas, controladas y debidamente identificadas. Debe ser modificada y leída por un grupo reducido de personas autorizadas y claramente identificadas mediante mecanismos complejos.

Establecer medidas técnicas que permitan la visualización o tratamiento de información confidencial (por ejemplo: uso de contraseñas para el acceso a los documentos, criptografía, etc…). Ya que la información o recurso debe ser solo divulgada a fuentes autorizadas.

Es la información o recurso que se encuentra al alcance de un número mayor de fuentes autorizadas y controladas. Mantener y/o Almacenar los documentos confidenciales en soporte papel, en armarios que se encuentren cerrados bajo llave o cajas fuertes.

Es la información o recurso que debe ser divulgada sólo a fuentes autorizadas, éste recurso o información es poco confidencial, lo que indica que puede ser accesada o manipulada por cualquier persona sin necesidad de identificación o autorización en particular.

Es la información o recurso de carácter no confidencial. Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario puede manejar su información privada.

CONFIDENCIALIDAD

Consecuencia

La divulgación no autorizada produce:- Pérdida de la ventaja competitiva enormemente-Perdida de participación en el mercado- Uso malicioso en contra de la organización- Pérdidas financieras que no pueden ser absorbidas por la Organización

La divulgación no autorizada produce:- Robo de informacion- Eliminacion y actualizacion de datos- Difusion de informacion confidencial de la empresa

La divulgación no autorizada produce:- Pérdidas financieras- Perdida de Informacion- Perdida de ventaja Competitiva-Perdida de Horas Laborales

La divulgación no autorizada produce:- Pérdida de oportunidades de negocio- Clientes decepcionados- Reputación perdida- Agravio y expansion de errores a la red y/o sistema- Saboteo de Red

La divulgación no autorizada produce:- No hay pérdida de la ventaja competitiva ni disminuye la participación en el mercado- No brinda ningún posible uso malicioso en contra de la organización- Pérdida de información que atrase la ejecución de procesos

DISPONIBILIDAD

Valor Clasificación Definición

5 Muy Alta

4 Alta

3 Media

2 Baja

1 Muy Baja

Información relevante y activos primarios para la realización de las operaciones cotidianas. Deben estar dispuestas en todo momento teniendo la seguridad del acceso. La información debe tener respaldo y éste debe estar los más actualizado posible.

Información primaria y de apoyo necesaria para las actividades operaciones de la empresa. Tiene un respaldo que es elaborado periodicamente.

Información de apoyo para ciertas operaciones del negocio. Se hacen respaldos y se mantiene en diversas fuentes para ternerlas en contacto

Es información o activos de apoyo o secundarios para el negocio.La información se encuentra duplicada en varias fuentes.Si no está disponible no compromete procesos operativos importantes

Es información o activos de dominio público. La información se encuentra accesible en muchas fuentes. No tiene restricciones de consulta.

DISPONIBILIDAD

Consecuencia

La falta de disponiblidad a este nivel produce:- Procesos operativos inactivos (Inoperatividad)- Problemas administrativos y operativos signficativos- Perjuicios económicos altamente significativos.

La falta de disponiblidad a este nivel produce:- Operaciones con información incompleta.- Fallas y problemas con algunos procesos administrativos y operacionales.- Perjuicios económicos altamente significativos.- Problemas sindicales.

La falta de disponiblidad a este nivel produce:- Operaciones lentas (Baja velocidad en operativdad)- Perdidas económicas pequeñas pero importantes.- Perjuicios de adminsitración.- Problemas administrativos y operativos afectados.

La falta de disponibilidad produce:- Que los niveles de servicio acordados para los procesos operativos importantes, no se ven afectados.- Problemas administrativos y operativos no significativos.- Perjuicios económicos que no son significativos.

La falta de disponiblidad a este nivel produce:- No hay riesgo de cese de actividades.- No presenta perdidas económicas.- No presenta daños a la data por su ausencia.- No hay Perjuicios económicos.- No hay problemas sindicales ni perjuicios legales

INTEGRIDAD

Valor Clasificación Definición

5 Muy Alta

4 Alta

3 Media

2 Baja

1 Muy Baja

Es la información o recurso que al ser modificado, intencional o casualmente, por personas o procesos autorizados o no autorizados provoca daños de gran magnitud.

Es la información o recurso que al ser modificado, intencional o casualmente, por personas o procesos autorizados o no autorizados provocan daños graves.

Es la información o recurso que al ser modificado, intencional o casualmente, puede producir pérdida de información posiblemente recuperable. No se da la posibilidad de que el daño alcance una gran envergadura, somos conscientes que son capaces de concret

Es la información o recurso que al ser modificado, intencional o casualmente, por personas o procesos autorizados o no autorizados, produce pérdida de información recuperable.

Es la información o recurso que al ser modificado, intencional o casualmente, puede ser fácilmente producida por la empresa.

INTEGRIDAD

Consecuencia

La falta de integridad produce daños de gran magnitud los que se pueden expresar como:- Pérdidas económicas (pérdida, incumplimiento de metas).- Falla de los procesos informáticos (incapacidad de ejecutarlos por un período de tiempo más allá de lo estimado)

La falta de integridad produce daños graves los que se pueden expresar como:- Pérdidas de ventaja competitiva de la empresa.- Toma de decisiones erradas.

La falta de integridad produce daños de gran magnitud los que se pueden expresar como:- Pérdidas económicas mínimas. - Alteración de la información.

La falta de integridad produce daños de baja magnitud los que se pueden expresar como:- Pérdidas económicas que pueden ser recuperadas en corto plazo.

La falta de integridad produce daños de poca magnitud los que se pueden expresar como:- No existe pérdidas económicas.- Normalidad en el rendimiento de los procesos informáticos.

RIESGOS

Código Descripción

R001 Daños, perdidas o robo de la informacion de la empresa

R002 Daños o perdidas en los servicios de la empresa

R003 Saturacion o perdida de la conexión de internet LAN / WAN

R004 Recursos no disponibles para recuperación ante desastres

R005 Daños el el servicio de correo electronico de la empresa

R006 Sistema operativo no estable y sin funcionamiento

R007 Proyectos que no se culminan en las fechas indicadasR008 Mal funcionamiento en las aplicaciones de la empresa

R009 Problemas electricos por insetabilidad, sobrecarga o corte

R010 Irrecuperacion de la informacion dañada

R011 Dependencia de Personal

R012

R013

R014

R015

Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la probabilidad de un evento y sus consecuencias. Es una amenaza o acción que puede afectar positivo o negativamente a la organización en el cumplimiento de sus objetivos, metas, indicadores, etc

CodAct

Nombre Activo

Amenaza Vulnerabilidad Prob Impacto C I D

ACT-001 A030 V003 Falta de servidor de backup. ALTA ALTA

1 2 5

R001 R002 R004 R009 R010

ACT-002 A030 V003 Falta de servidor de backup. MEDIA ALTA

1 2 5

R002 R004 R005 R010

ACT-004 A035 V007 Equipos en ambientes inadecuados MEDIA MEDIA1 4 5

R004

ACT-005 A032 V042 MEDIA ALTA1 5 5

R002 R004

ACT-006

A012 Daño o deterioro de los equipos V017 Falta de mantenimiento a los servidores MEDIAMEDIA 3 5 5

R004

A008 Calentamiento de los servidores V032 Inadecuadas Condiciones Ambientales MEDIA ALTA1 5 5

R004 R009

ACT-014 IBM System x3500 M3 A051 V013 MEDIA MEDIA5 1 5

R002 R004 R010

ACT-015 APC Back-UPS 350, 230V A051 V013 MEDIA MEDIA5 1 5

R002 R003 R004 R009

ACT-016

A012 Daño o deterioro de los equipos V019 Falta de mantenimiento de los equipos MEDIA MEDIA1 1 5

R004

A051 V013 MEDIA MEDIA5 1 5

R002 R004

ACT-017 HP Pavilion Slimline s5610la

A012 Daño o deterioro de los equipos V019 Falta de mantenimiento de los equipos MEDIA MEDIA1 1 5

R004

A051 V013 MEDIA MEDIA5 1 5

R002 R004

IMPRESORAS

ACT-038 Xerox WorkCenter 5020N

A023 Fallas constantes en los equipos V019 Falta de mantenimiento de los equipos MEDIAMEDIA 1 1 3

R004

A030 V027 Falta de soporte técnico MEDIAMEDIA 1 1 3

R004

ACT-039 Epson TX115A023 Fallas constantes en los equipos V019 Falta de mantenimiento de los equipos MEDIA

MEDIA 1 1 3R004

A030 V027 Falta de soporte técnico MEDIAMEDIA 1 1 3

R004 R009

TRABAJADORES ACT-040 Personal de la empresa A054 Salida de personal V028 ALTAALTA 5 5 5

R002 R004 R010

Clasificación de Activo

Cod Amen

Cod Vulner

Clas. Impacto

C.Ries 1

C.Ries 2

C.Ries 3

C.Ries 4

C.Ries 5

C.Ries 6

C.Ries 7

C.Ries 8

C.Ries 9

C.Ries 10

C.Ries 11

SERVIDORES

SRVPRD01V - Servidor de Dominio (IBM System x3500 M3)

Imposibilidad de contar con recursos para recuperación ante desastres

Caida de los servicios y pérdida de horas hombre en recuperar y usuarios sin poder usar los servicios

SRVPRD01V - Servidor de Correos (IBM System x3500 M3)



Instalaciones inadecuadas del espacio de trabajo

No atender de imediato a los servidores ante una emergencia y estos queden inservibles

Infraestructura incapaz de resistir a las manifestaciones de la naturaleza como terremotos, maremotos, huracanes etc

Falta/Carencia de medidas de seguridad ante incendios o inundaciones


SRVPRD07V Srv. Pruebas (IBM System x3500 M3)

Tener un parque de Equipos inservible y obsoletos

Daños a corto plazo e irreversibles en los equipos fisicos

Robo de equipos u otros accesorios de la empresa

Falta de control de seguridad de acceso fisico al Datacenter y equipos de computo

Perdida economica y de horas hombre hasta la reposicion de equipos de computo robado




PC Compatibles P-IV - 2GB RAM

Tener un parque de Equipos inservible y obsoletos en el tiempo




Tener un parque de Equipos inservible y obsoletos en el tiempo




Recursos de impresión no disponible y retrasos en los traBAJAs de impresión






Falta de un acuerdo de confidencialidad entre empleado y empleador

Desaatencion del area de TI, por lo que significa mal servicio de personal inexperto o nuevo

E2

causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización. es un evento o acción no deseable que puede afectar negativamente a la organización para el logro de sus objetivos, metas, etc

G2

Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza. Es una debilidad en un sistema, aplicación o infraestructura que lo haga susceptible a la materialización de una amenaza

I2

Medida o grado del daño sobre un activo producto de la materialización de una amenaza. pérdida que ocasiona el riesgo

Impa

cto

Muy

Alta R001 X R001

X R002

Alta R009 R004 R005 R002 R010 R003

R007 R008 R004

Med

ia R011 R003 R005

R006

Baja R006 R007

R008

Muy

Baj

a

R009

R010

Muy Baja Baja Media Alta Muy AltaR011

Probabilidad

IMPACTO PROBABILIDAD

Daños, perdidas o robo de la informacion de la empresa MUY ALTO ALTO

Daños o perdidas en los servicios de la empresa ALTO ALTO

Saturacion o perdida de la conexión de internet LAN / WAN MEDIO MEDIO

Recursos no disponibles para recuperación ante desastres ALTO MEDIO

Daños el el servicio de correo electronico de la empresa ALTO MEDIO

Sistema operativo no estable y sin funcionamiento BAJO MEDIO

Proyectos que no se culminan en las fechas indicadas ALTO MEDIO

Mal funcionamiento en las aplicaciones de la empresa ALTO MEDIO

Problemas electricos por inestabilidad, sobrecarga o corte de voltaje ALTO BAJIO

Irrecuperacion de la informacion dañada ALTO ALTO

Dependencia de Personal MEDIO BAJO

Código DESCRIPCION

R001 Daños, perdidas o robo de la informacion de la empresa

ACT-001

ACT-003

ACT-004

ACT-008

ACT-009

ACT-010

ACT-011

ACT-012

ACT-013

ACT-035

Código DESCRIPCION


ACT-001

ACT-002

ACT-003

SRVPRD01V - Servidor de

Dominio (IBM System x3500

M3)

SRVPRD03V - Srv. Firewall (IBM System

x3500 M3

SRVPRD04V Srv. Antivirus (IBM System x3500 M3)

Servicio de dominio

Servicio de correos

Servicio de Antivirus

Servicio de BD y App

Servicio de Pruebas

backup de servidor de

dominio

Plan de Contigencia



M3)


Correos (IBM System x3500

M3)

SRVPRD03V - Srv. Firewall (IBM System x3500 M3)


ACT-005

ACT-007

ACT-008

ACT-009

ACT-010

Código DESCRIPCION


ACT-001

ACT-002

ACT-004

ACT-005

ACT-006

ACT-014

ACT-015

ACT-016

SRVPRD05V Srv. BD y App (IBM System x3500 M3)

Servicio de dominio

Servicio de correos

Servicio de Firewall

Servicio de Antivirus



M3)


Correos (IBM System x3500

M3)

SRVPRD04V Srv. Antivirus (IBM System x3500 M3)

SRVPRD05V Srv. BD y App (IBM System x3500 M3)

SRVPRD07V Srv. Pruebas (IBM System x3500 M3)

IBM System x3500 M3

APC Back-UPS 350, 230V

PC Compatibles

P-IV - 2GB RAM


ACT-017

ACT-038

ACT-039 Epson TX115

ACT-040

HP Pavilion Slimline s5610la

Xerox WorkCenter

5020N

Personal de la empresa


ALTA ALTO

ALTA MEDIA

MEDIA MEDIA

ALTA ALTA

MEDIA ALTA

BAJA ALTA

MEDIA ALTA

BAJA MEDIA

MEDIA ALTA

MEDIA ALTA


ALTA ALTO

ALTA MEDIA

MEDIA ALTA

MEDIA MEDIA

ALTA MEDIA

MEDIA ALTA

BAJA ALTA


ALTA ALTO

MEDIA ALTA

MEDIA MEDIA

MEDIA ALTA

MEDIA MEDIA

MEDIA MEDIA

MEDIA MEDIA

MEDIA MEDIA

MEDIA MEDIA

MEDIA MEDIA

MEDIA MEDIA

ALTA ALTA

Implementacion de un Sistema de Gestión de la Seguridad de la Información - SGSI

DominiosAplicable (S/N)

Acciones a realizar en el control(es) a aplicar Riesgo Responsable (*)Objetivos

Controles posibles de aplicar

05. Politicas de Seguridad

5.1. Política de seguridad de la informaciónS R001, R010

S R001, R010

06. Organización

6.1. Estructura para la seguridad de la informaciónS R001, R010, R011

6.1.2. Coordinación de seguridad de la información S R001, R010, R011

S R001, R010, R011

S R001, R010, R011

6.1.5. Acuerdos de confidencialidad S Establecer acuerdos de confidencialidad R001, R010, R011

6.1.6. Contacto con las autoridades S Convocar a reuniones con las autoridades R001, R010, R011

N

Motivo si no es aplicable

5.1.1. Documento de política de seguridad de la información

Crear documentacion que contenga politicas de seguridad de informacion

JSI - Jefe de Seguridad de la Información

5.1.2. Revisión de la política de seguridad de la información

Realizar auditorias internas para revisar las politicas de seguridad de informacion


6.1.1. Comité de gestión de seguridad de la información

Capacitar constantemente al comite de gestion de seguridad de la informacion


Mantener en comunicaion constante para la coordinacion de la seguridad de informacion


6.1.3. Asignación de responsabilidades para la seguridad de la información

Gestionar bien los recursos humanos destinados a la seguridad de informacion


6.1.4. Proceso de autorización de recursos para el tratamiento de la información

Crear procesos para la autorizacion de recursos para el tratamiento de la informacion




6.1.7. Contacto con organizaciones de especial interés

No aplica con la estructura de seguridad de informacion

N

6.2. TercerosS R001,R010

S R001,R010

S R010, R010, R011

07. Gestión de Activos

7.1. Responsabilidad sobre los activos.7.1.1. Inventario de activos. S Desarrolllar formatos de inventario de activos R002,R006, R008

7.1.2. Responsable de los activos. S Crear politicas para la asignacion de responsable de activos R002,R006, R008

S Desarrollar acuerdos sobre el uso aceptable de los activos R002, R006, R007, R008

7.2. Clasificación de la información7.2.1. Directrices de clasificación. S Establecer directrices de clasificacion R001, R010

7.2.2. Marcado y tratamiento de la información. N No aplica

08. Seguridad ligada a los Recursos Humanos

8.1. Seguridad en la definición del trabajo y los recursos. S

8.1.2. Selección y política de personal. S Establecer politicas para personal R007

N No aplica

8.2. Seguridad en el desempeño de las funciones del empleo.

6.1.8. Revisión independiente de la seguridad de la información

No aplica con la estructura de seguridad de informacion

6.2.1. Identificación de los riesgos derivados del acceso de terceros

Establecer procedimientos para la identificacion de riesgos derivados del acceso de terceros


6.2.2. Tratamiento de la seguridad en la relación con los clientes

Establecer politicas para el tratamiento de la seguridad en la relacion con los clientes


6.2.3. Tratamiento de la seguridad en contratos con terceros

Establecer politicas para el tratamiento de la seguridad en contratos con terceros


JHD - Jefe de Help Desk


7.1.3. Acuerdos sobre el uso aceptable de los activos.



8.1.1. Inclusión de la seguridad en las responsabilidades laborales.

Establecer politicas para la inclusion de la seguridad en las responsabilidades laborales

R001, R002, R004, R010, R011



8.1.3. Términos y condiciones de la relación laboral.

8.2.1. Supervisión de las obligaciones. S Crear formatos para la supervision de las obligaciones R007, R001, R010

S R004, R001, R002, R010

8.2.3. Procedimiento disciplinario. S Establecer procedimientos disciplinarios R010, R001

8.3. Finalización o cambio del puesto de trabajo. 8.3.1. Cese de responsabilidades. S Crear politicas para el cese de responsabilidades R011

8.3.2. Restitución de activos. S Crear procedimientos para la restitucion de activos R002, R004

8.3.3. Cancelación de permisos de acceso. S Crear politicas para la cancelacion de permisos de acceso R011

09. Seguridad Física y del Entorno

9.1. Áreas seguras. 9.1.1. Perímetro de seguridad física. S Crear guias para la configuracion de alcance del perimetro R009

9.1.2. Controles físicos de entrada. S Crear procedimientos para controloes fisicos de entrada R009

9.1.3. Seguridad de oficinas, despachos y recursos. S

S Implementar utilitarios para la proteccion contra amenazas R001, R010

9.1.5. El trabajo en áreas seguras. S Implementar politicas para la organizacion R001, R010

9.1.6. Áreas aisladas de carga y descarga. S Crear procesos de areas aisladas de carga y descarga R009

9.2. Seguridad de los equipos.


8.2.2. Formación y capacitación en seguridad de la información.

Promover capacitaciones en el area de rrhh acerca de seguridad de informacion








Contatar a terceros para la seguridad de oficinas, despachos y recurso

R011, R001, R002, R005, R008, R009, R010, R011


9.1.4. Protección contra amenazas externas y del entorno.




9.2.1. Instalación y protección de equipos. S Instalacion de anivirus -firewall R003,R008, R010

9.2.2. Suministro eléctrico. S Compra e implementacion de UPS

9.2.3. Seguridad del cableado. S Instalacion de canaletas R003

9.2.4. Mantenimiento de equipos. S Crear procesos de mantenimiento de HW Y SW

S Instalacion de firewall R003, R001, R010

S Controlar inventario de equipos R002

9.2.7. Traslado de activos. S Crear procesos de traslado de equipos R002

10. Gestión de Comunicaciones y Operaciones

10.1. Procedimientos y responsabilidades de operación. S Implementar procedimientos operativos R004, R002, R006

10.1.2. Control de cambios operacionales. S Crear procedimientos para cambios operacionales R004, R002, R006

10.1.3. Segregación de tareas. S Asignacion de tareas R007

S Crear guias para la separacion de recursos R007, R011

10.2. Supervisión de los servicios contratados a terceros. 10.2.1. Prestación de servicios. S Verificacion de la prestacion de servicios R002, R003, R004

JTE - Jefe de Telecomunicaciones

R010, R001, R002, R004, R008

JTE - Jefe de Telecomunicaciones

JDC - Jefe de Data Center

R001, R003, R005, R006, R008, R009, R010


9.2.5. Seguridad de equipos fuera de los locales de la Organización.


9.2.6. Seguridad en la reutilización o eliminación de equipos.



10.1.1. Documentación de procedimientos operativos.

SDO - Subdirector de Operaciones

SDO - Subdirector de Operaciones

JPMO - Jefe de la Oficina de la Dirección de Proyectos

10.1.4. Separación de los recursos para desarrollo y producción.

JPMO - Jefe de la Oficina de la Dirección de Proyectos

JAN - Jefe de Aplicaciones de Negocio

S R002, R003, R004

S Creas guias para la gestion de cambios R002, R003, R004

10.3. Planificación y aceptación del sistema. 10.3.1. Planificación de capacidades. S Establecer procedimientos para planificacion de capacidades R011

10.3.2. Aceptación del sistema. S Establecer procesos de aceptacion del sistema R008, R006, R004, R002

10.4. Protección contra software malicioso y código móvil. S Establecer procedimientos para Identificar sw malicioso R001, R002, R010

10.4.2. Medidas y controles contra código móvil. S Establecer procedimientos conta codigo movil R001, R002, R010

10.5. Gestión interna de soportes y recuperación. 10.5.1. Recuperación de la información. S R001, R002, R004, R010

10.6. Gestión de redes. 10.6.1. Controles de red. S Verificar controles de red R003, R005

10.6.2. Seguridad en los servicios de red. S Implementa procedimientos para seguridad en los servicios R002

10.7. Utilización y seguridad de los soportes de información. 10.7.1. Gestión de soportes extraíbles. S Desarrollar plan para la gestion de soportes extraibles R001, R010

10.7.2. Eliminación de soportes. S Desarrollar procesos para la eliminacion de soportes R001, R010

S Establecer procedimientos de utilizacion de la informacion R001, R010

S R001, R010, R011

10.8. Intercambio de información y software.

10.2.2. Monitorización y revisión de los servicios contratados.

Implementar procedimientos para la monitorizacion y revision


10.2.3. Gestión de los cambios en los servicios contratados.


JCA - Jefe de Calidad

JCA - Jefe de Calidad

10.4.1. Medidas y controles contra software malicioso.



Establecer procedimientos para la recuperacion de informacion






10.7.3. Procedimientos de utilización de la información.


10.7.4. Seguridad de la documentación de sistemas. Realizar capacitaciones para la seguridad de la documentacion


S R001, R010

10.8.2. Seguridad de soportes en tránsito. S R003

10.8.3. Mensajería electrónica. S Implementar mensajeria electronica R005

S R003, R002

10.8.5. Sistemas de información empresariales. N No aplica

10.9. Servicios de comercio electrónico. 10.9.1. Seguridad en comercio electrónico. S Implementar seguridad en comercio electronico R002, R003, R008

10.9.2. Seguridad en transacciones en línea. S Implementar seguridad en transacciones de linea R001, R002, R003, R008

10.9.3. Seguridad en información pública. S Implementar seguridad en informacion publica R001, R002, R003, R008

10.10. Monitorización 10.10.1. Registro de incidencias. S Crear formatos para el registro de incidencias

10.10.2. Seguimiento del uso de los sistemas. S Realizar seguimiento del uso de los sistemas

10.10.3. Protección de los registros de incidencias. S

S

10.10.5. Registro de fallos. S Establecer formatos para el registro de fallas

10.10.6. Sincronización de reloj. N No aplica

10.8.1. Acuerdos para intercambio de información y software.

Implementar acuerdos para intercambio de informacion de sw

JAA - Jefe de Aplicaciones Administrativas

Establecer procedimeintos para seguridad de soporte en transito


JTE - Jefe de Telecomunicaiones

10.8.4. Interconexión de sistemas con información de negocio

Realizar interconexion de sistemas con informacion de negocio

JTE - Jefe de Telecomunicaiones




R001, R002, R003, R005, R006, R008, R009, R010


R003, R004, R001, R002, R008


Desarrollar politicas de proteccion de los registros de incidencias

R003, R004, R001, R002, R008


10.10.4. Diarios de operación del administrador y operador.

Documentar diarios de operacion del administrador y operador

R003, R004, R001, R002, R008


R003, R004, R001, R002, R008


INTEGRANTESJoel MeridaOmar SenosainEstela VilcasSamuel ZambranoJanett RazaChristian León

ANALISIS DE RIESGO DE LOS ACTIVOS DE LA EMPRESA ABC

Clasificación de Activo CodAct Nombre Activo Cod.Ame Nombre Amenaza Cod.VulServidores Act.001 Servidor de Dominio AME-001 blblb Vul-015

Vul-019AME-017 blblbl Vul-055


Vul-027Act.002 Servidor de Dominio AME-001 blblb Vul-015



Vul-027Act.003 Servidor de Dominio AME-001 blblb Vul-015

Vul-019

Riesgo ActivosR1 Act-001

Act-002Act-003

R2 Act-001Act-002

R3 Act-001Act-002

ANALISIS DE RIESGO DE LOS ACTIVOS DE LA EMPRESA ABC

Nombre VulnerabilProb Impacto C I D Cod.Riesgo Nombre de Riesgoxblblbl 5 5 - 5 1 R1 Blbds 3 4 - 5 R2 sdfssdfs 2 3 - 4 5 R1 Blbsfghd 3 4 - R3 sddfgh 3 5 1 1 1 R4 asdff 1 2 2 3 4 R5 adxblblbl 5 5 - 5 1 R1 Blbds 3 4 - 5 R2 sdfssdfs 2 3 - 4 5 R5 Blbsfghd 3 4 - R6 sddfgh 3 5 1 1 1 R3 asdff 1 2 2 3 4 R7 adxblblbl 5 5 - 5 1 R1 Blbds 3 4 - 5 R7 sdfs

analisis de riesgo de los activos de la empresa abc1v2 ultimo(2)

Documents