Análisis de riesgos y amenazas de seguridad de la información

No. Proceso Valor Descripc

La brecha puede resu

1 nula pérdida o daño.
Gestión de la
1 documentación

La brecha puede resu

2 pérdida o daño menor

Admon. Portal de
2 terceros

La brecha puede resu

pérdida o daño serio,
Identificación y carge de 3 del negocio pueden ve
documentos en sistema negativamente.
3 interno

La brecha puede resu

pérdida o daño serio,
4 del negocio pueden fa
interrumpirse.

La brecha puede resu

5 pérdidas. Los proceso
fallarán.
 <---Click en '+' para mostrar d

` Sensibilidad de los a
Proceso Activo Propietario Ubicación Clasificación C I
 Sensibilidad →

Descripción

La brecha puede resultar en poca o

nula pérdida o daño.

La brecha puede resultar en una

pérdida o daño menor.

La brecha puede resultar en una

pérdida o daño serio, y los procesos
del negocio pueden verse afectados
negativamente.

La brecha puede resultar en una

pérdida o daño serio, y los procesos
del negocio pueden fallar o
interrumpirse.

La brecha puede resultar en altas

pérdidas. Los procesos del negocio
fallarán.
-Click en '+' para mostrar descripciones, '-' para ocultar

Sensibilidad de los activos

D Total1 Valor1 Valor2

0 Bajo 1

0 Bajo 1

0 Bajo 1

0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
0 Bajo 1
 Impacto →
Exposición Severidad
iones, '-' para ocultar

Descripción de impactos al negocio

Las claves del portal de documentos son un activo de informacion de alto impacto puesto que el
que tenga acceso
Los equipos a ellas tiene
de computo puedeunmodificar, suplantar
alto impacto puestoy que
sustraer informacion
en ellos vitaluna
se almacen de gas
grannatural.
cantidad
de informacion como por ejemplo los documentos normativos, los aplicativos que soportan los
procesos de negocio el que logre evadir los permisos de los equipos tiene acceso a toda esta
informacion.
Los usuarios almacenados en Signatural tambien tienen un alto impacto puesto que si alguien tiene
acceso a ellos puede modificar las claves de acceso al portal de documentos y a su vez puede
modifcar, suplantar y sustraer informacion vital de gas natural.
El correo electronico de la empresa almacena informacion confidencial de la misma, por ejemplo
reuniones, modificaciones de los procesos de negocio, informacion de pagos, el acceso sin
autorizacion de cataloga como delito informatico.
 Vulnerabilidades →
Valor

Severidad Menor: se requiere una cantidad

significativa de recursos para explotar la
1 vulnerabilidad y tiene poco potencial de
pérdida o daño en el activo.

Severidad Moderada: se requiere una

Capacidad
cantidad significativa de recursos para
explotar la vulnerabilidad y tiene un potencial
2 significativo de pérdida o daño en el activo; o
se requieren pocos recursos para explotar la
vulnerabilidad y tiene un potencial moderado
de pérdida o daño en el activo.

Severidad Alta: se requieren pocos recursos

para explotar la vulnerabilidad y tiene un
3 potencial significativo de pérdida o daño en el
activo.

Exposición Menor: los efectos de la

vulnerabilidad son mínimos. No incrementa la
1 probabilidad de que vulnerabilidades
adicionales sean explotadas.

Exposición Moderada: la vulnerabilidad

Motivación

puede afectar a más de un elemento o

2 componente del sistema. La explotación de la
vulnerabilidad aumenta la probabilidad de
explotar vulnerabilidades adicionales.

Exposición Alta: la vulnerabilidad afecta a la

mayoría de los componentes del sistema. La
3 explotación de la vulnerabilidad aumenta
significativamente la probabilidad de explotar
vulnerabilidades adicionales.
<---Click en '+' para mostrar métricas, '-' para ocultar

Análisis de vulnerabilidades
Vulnerabilidad Severidad Exposición Valor3

-1

-1

-1

-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
Valor Descripción

1 Poca o nula capacidad de realizar el ataque.

Capacidad moderada. Se tiene el conocimiento y habilidades para realizar el ataque, pero pocos recursos. O, tien
2 suficientes recursos, pero conocimiento y habilidades limitadas.

3 Altamente capaz. Se tienen los conocimientos, habilidades y recursos necesarios para realizar un ataque.

1 Poca o nula motivación. No se está inclinado a actuar.

2 Nivel moderado de motivación. Se actuará si se le pide o provoca.

3 Altamente motivado. Casi seguro que intentará el ataque.

<---Click en '+' para mostrar métricas, '-' para ocultar

Análisis de amenazas
Agente Evento de amenaza Capacidad
 Amenazas →

Valor Descripción

1 Baja, no hay historial y es raro que la amenazas ocurra.

Probabilidad de ocurrencia

alizar el ataque, pero pocos recursos. O, tiene

2 Media, se han presentado casos y puede ocurrrir la amenaza.

Alta, se han presentado suficientes casos y la amenaza seguramente

necesarios para realizar un ataque. 3 ocurrirá.

Riesgo Total = Amenaza x Vulnerabilidad x Probabilida

 <---Click en '+' para mostrar métricas, '-' para ocultar

Riesgo = Amenaza x Vulnerabilidad x Probabilidad x Impacto

Motivación Valor4 Amenaza Vulnerabilidad Probabilidad Impacto Riesgo Total

-1 -1 -1 0 0

-1 -1 -1 0 0

-1 -1 -1 0 0

-1 -1 -1 0 0
-1 -1 -1 0 0
-1 -1 -1 0 0
-1 -1 -1 0 0
-1 -1 -1 0 0
-1 -1 -1 0 0
-1 -1 -1 0 0
-1 -1 -1 0 0
-1 -1 -1 0 0
-1 -1 -1 0 0
-1 -1 -1 0 0
-1 -1 -1 0 0
-1 -1 -1 0 0
-1 -1 -1 0 0
 Riesgos iniciales →

lnerabilidad x Probabilidad x Impacto

NIVEL BAJO MEDIO ALTO

ERROR

ERROR

ERROR

ERROR
ERROR
ERROR
ERROR
ERROR
ERROR
ERROR
ERROR
ERROR
ERROR
ERROR
ERROR
ERROR
ERROR
 Descripción

Severidad Menor: se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene poco potencial de
pérdida o daño en el activo.

Severidad Moderada: se requiere una cantidad significativa de recursos para explotar la vulnerabilidad y tiene un potencial
significativo de pérdida o daño en el activo; o se requieren pocos recursos para explotar la vulnerabilidad y tiene un potencial
moderado de pérdida o daño en el activo.

Severidad Alta: se requieren pocos recursos para explotar la vulnerabilidad y tiene un potencial significativo de pérdida o
daño en el activo.

Exposición Menor: los efectos de la vulnerabilidad son mínimos. No incrementa la probabilidad de que vulnerabilidades
adicionales sean explotadas.

Exposición Moderada: la vulnerabilidad puede afectar a más de un elemento o componente del sistema. La explotación de
la vulnerabilidad aumenta la probabilidad de explotar vulnerabilidades adicionales.

Exposición Alta: la vulnerabilidad afecta a la mayoría de los componentes del sistema. La explotación de la vulnerabilidad
aumenta significativamente la probabilidad de explotar vulnerabilidades adicionales.
Descripción del control Severidad Exposición Valor

1 1 1

-1

-1

1 1 1
1 1 1
1 1 1
1 1 1
-14 1 -14
1 2 2
2 2 3
1 1 1
1 1 1
1 1 1
1 1 1
1 2 2
1 2 2
1 2 2
 Riesgo residual →
Valor Descripción

1 Baja, no hay historial y es raro que la amenazas ocurra.

2 Media, se han presentado casos y puede ocurrrir la amenaza.

3 Alta, se han presentado suficientes casos y la amenaza seguramente ocurrirá.

Riesgo Total = Amenaza x Vulnerabilidad x Probabilidad x Impacto

 Con control

Riesgo con control = Amenaza x Vulnerabilidad x Probabilidad x Impacto

Amenaza Vulnerabilidad Probabilidad Impacto Riesgo Residual

-1 1 2 0 0

-1 -1 0 0

-1 -1 0 0

-1 1 1 0 0
-1 1 1 0 0
-1 1 1 0 0
-1 1 2 0 0
-1 -14 1 0 0
-1 2 3 0 0
-1 3 2 0 0
-1 1 1 0 0
-1 1 1 0 0
-1 1 1 0 0
-1 1 1 0 0
-1 2 3 0 0
-1 2 3 0 0
-1 2 3 0 0
 Tratamiento →

idad x Probabilidad x Impacto

 ISO/IEC 27005:2008:
REDUCIR (REDUCTION)
RETENER (RETENTION)
EVITAR (AVOIDANCE)
TRANSFERIR (TRANSFER)
<---Click en '+'
Administración de riesgos

RETENER

RETENER

RETENER

RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
RETENER
REDUCIR
REDUCIR
RETENER
Controles Recomendados (Ejemplo con ISO/IEC 27001:2005)
Controles →

Umbrales →
UMBRALES DE RIESGO LIMITE INFERIOR LÍMITE SUPERIOR %umbral
ALTO 751 1125 33.24%
MEDIO 376 750
33.24%
BAJO 1 375 33.24%
1125 #REF!
Empresa:

Tel:

Dirección:

Desarrollado por:
 MAPA DE RIE
Identificación del riesgo Calificacion de
Nº DE
RIESGO CAUSAS CONSECUENCIAS PROBABILIDAD
RIESGO

EFICACIA DEL CONTROL

ALTO 4
MEDIO 3
BAJO 2
INEXISTENTE 1
A DE RIESGOS
lificacion del riesgo Valoracion del riesgo
GRADO DE
EVALUACIO CONTROLE
NIVEL DE VALORACIO EXPOSICIO
N DEL S EFICACIA
IMPACTO RIESGO N DEL N
RIESGO EXISTENTE CONTROL
INHERENTE CONTROL (RESIDUAL
S
)

* No
divulgar
clave
* Anotar la
0 0 clave en ALTO #DIV/0!
un sitio
seguro
*Cerrar
sesión

0 0 ALTO #DIV/0!

VALORACION DEL RIESGO

NIVEL DE RIESGO INHERENTE CALIFICACION
EXTREMO 41 A 75
ALTO 21 A 40
MODERADO 11 A 20
BAJO 1 A 10

VALORACION DEL RIESGO

NIVEL DE RIESGO RESIDUAL CALIFICACION
EXTREMO 41 A 75
ALTO 21 A 40
MODERADO 11 A 20
BAJO 1 A 10
el riesgo
NIVEL DE
RIESGO
RESIDUAL

VALORACION CONTROL
EXCELENT 5
MEDIO 4
REGULAR 3

BAJO 2

NULO 1
Riesgo Inherente Total
EXTREMO 0 Riesgo residual
ALTO 0

MODERADO 0

BAJO 0
TOTALES EXTREMO
0
ALTO
MODERADO
BAJO
Riesgo Residual Total
EXTREMO 0

ALTO 0

MODERADO #DIV/0!

BAJO #DIV/0!
TOTALES #DIV/0!

Vulnerabilidad Severidad Exposición Valor3 0

-1
-1 -0.2
-1
-1 -0.4
-1
-1 -0.6
-1
-0.8
-1
-1
Evento de amenaza Capacidad Motivación Valor4
-1 -1.2
-1
-1
-1
-1
-1
-1
-1 0
-1
-1 -0.2
-1
-1 -0.4
-1
-1
-0.6
-1
-1
-1 -0.8

-1

-1.2
 -1

-1.2
 Riesgo inherente

EXTREMO EXTREMO
ALTO ALTO
MODERADO MODERADO
BAJO BAJO

Vulnerabilidades
0

-0.2

-0.4

-0.6

-0.8

-1

-1.2
Severidad Exposición Valor3

Eventos de amenazas
0

-0.2

-0.4

-0.6

-0.8

-1

-1.2
Capacidad Motivación Valor4
 -1

-1.2
Capacidad Motivación Valor4