Segn su Naturaleza

Activo

Amenazas Vulnerabilidades

Hackers.

Servidores
de Correo

Virus y/o
Software
programas desactualizado o
maliciosos. mal configurado.

Seguridad
fsica.

Servicios
de Internet

Software
desactualizado o
mal configurado.

Hackers.

Falla exceda la
capacidad
instalada.

Software
desactualizado o
mal configurado.

Riesgo Inherentes
Por naturaleza de las
redes
de
telecomunicaciones
tiende
a
ser
intersectadas y por
consiguiente
se
puede
obtener
informacin de ellas,
ya que no aplican las
adecuadas
restricciones en los
puertos.
El software y los
recursos
de
tratamiento
de
informacin
son
vulnerables a la
introduccin
de
software
malicioso
como
virus
informticos, gusanos
de la red, caballos de
Troya y bombas
lgicas.
Se requiere una
planificacin
y
preparacin
avanzadas
para
garantizar
la
adecuada capacidad
y recursos con objeto
de
mantener
la
disponibilidad de los
sistemas requerida.
Presenta restriccin
mnima de acceso de
los usuarios hacia las
redes
cableadas

Riesgo Residuales

Segn su
Causa
Intern Extern
a
a

Se
deberan
establecer,
documentar y probar,
antes
de
su
aceptacin,
los
requisitos
operacionales de los
nuevos sistemas.
Restriccin de los
usuarios en los
servidores
del
servicio
hacia

Segn su
Impacto
I M A

ISO 27002
Explicacin del Control
Controles
11.4.1. Poltica de uso de los
servicios de red

Falta
de
conocimiento
del
administrador de la
red en la aplicacin
de los protocoles de
restriccin y apertura
de los puertos de
comunicacin.
Los
usuarios
deberan conocer los
peligros que puede
ocasionar el software
malicioso o no autor
izado
y
los
administradores
deberan introducir
controles y medidas
especiales
para
detectar o evitar su
introduccin.

Segn su
probabilidad
Probabl Improbabl
e
e

Se debera proveer a los usuarios de los

accesos a los servicios para los que han sido
expresamente autorizados a utilizar.

En el caso de las redes compartidas,

especialmente aquellas que se extienden ms
all de los lmites de la propia Organizacin,
11.4.6. Control de conexin a
se deberan restringir las competencias de los
las redes
usuarios para conectarse en red segn la
poltica de control de accesos y necesidad de
uso de las aplicaciones de negocio
Tendencia en el nmero de virus, gusanos,
10.4. Proteccin contra
troyanos o spam detectados y bloqueados.
software malicioso y cdigo
Nmero y costes acumulados de incidentes
mvil
por software malicioso.

10.9.3.
Seguridad
informacin pblica

Se debera proteger la integridad de la

en informacin que pone a disposicin en un
sistema de acceso pblico para prevenir
modificaciones no autorizadas.

10.3.1. Planificacin
capacidades

Se debera monitorizar el uso de recursos, as

como de las proyecciones de los requisitos de
de
las capacidades adecuadas para el futuro con
objeto de asegurar el funcionamiento
requerido del sistema.

11.4.6. Control de conexin a En el caso de las redes compartidas,

las redes
especialmente aquellas que se extienden ms
all de los lmites de la propia Organizacin,
se deberan restringir las competencias de los

(WAN) e Inalmbricas
(WIFI). Configuracin
de routers y switches
con aplicacin de
Vlans
Los mtodos de
autenticacin
que
pueden tener son:
Sistemas
Perimetrales
de
filtrado de paquetes,
Virus y/o
Software
IDS/IPS,
programas desactualizado o implementacin de
maliciosos. mal configurado. redes
olivadas
virtuales, filtrados de
direcciones a nivel de
Host o Subredes.
Tambin pueden ser
tokens USB, entre
otros.
Seguridad Falla exceda la Todos los activos
fsica.
capacidad
deberan
ser
instalada.
justificados y tener
asignado
un
propietario.
Se
deberan
identificar
a
los
propietarios
para
todos los activos y
asignarles
la
responsabilidad del
mantenimiento de los
controles adecuados.
La implantacin de
controles especficos
podra ser delegada
por el propietario

usuarios para conectarse en red segn la

poltica de control de accesos y necesidad de
uso de las aplicaciones de negocio
Se deberan establecer controles de
enrutamiento en las redes para asegurar que
11.4.7.
Control
de las conexiones de los ordenadores y flujos de
encaminamiento en la red
informacin no incumplen la poltica de
control de accesos a las aplicaciones de
negocio.

fuentes externas que

no
generen
informacin a la
empresa.
Por
ejemplo
(correos
electrnicos
personales y pginas
de consultas)

Contratacin
de
personal
no
capacitado en el
manejo
e
implementacin de
las
polticas
implementadas en
los
switches
y
routers
de
la
empresa.

Asignacin
de
equipos a personas
tratando de ser uno
a uno y su cuenta de
correo personal y no
por dependencia

11.4.2. Autenticacin de Se deberan utilizar mtodos de autenticacin

usuario para conexiones adecuados para el control del acceso remoto
externas
de los usuarios.

Se deberan identificar e incluir, en cualquier

acuerdo sobre servicios de red, las
caractersticas de seguridad, los niveles de
10.6.2. Seguridad en los servicio y los requisitos de gestin de todos
servicios de red
los servicios de red, independientemente de
que estos servicios sean provistos desde la
propia organizacin o se contratan desde el
exterior.
El equipo debera situarse y protegerse para
9.2.1. Instalacin y proteccin reducir el riesgo de materializacin de las
de equipos
amenazas del entorno, as como las
oportunidades de acceso no autorizado.
7.1. Responsabilidad sobre los activos
Todos los activos deberan estar claramente
7.1.1. Inventario de Activos
identificados, confeccionando y manteniendo
un inventario con los ms importantes.
7.1.3. Acuerdos sobre el uso Se deberan identificar, documentar e
adecuado de los activos
implantar regulaciones para el uso adecuado
de la informacin y los activos asociados a
recursos de tratamiento de la informacin.

convenientemente.

Bibliografa
iso27000.es. (2005). iso27002.es - El Anexo de ISO 27001 en espaol. Obtenido de http://www.iso27000.es/download/ControlesISO27002-2005.pdf
iso27000.es. (s.f.). iso27002.es - El Anexo de ISO 27001 en espaol. Obtenido de http://www.iso27002.es/
Julio, M. L. (2014). Modulo Gestin de Riesgos de TI. Bucaramanga, Colombia: Universidad Cooperativa de Colombia.