Académique Documents
Professionnel Documents
Culture Documents
R1
Incendio
No cuentan con Ningun Extintor. El Centro de Computo es pequeo y cuentan con mucho material inflamable. No se cuenta con un sistema contra incendios. No cuentan con sensores de humo. No se cuenta con politicas de seguridad
R2
manipulacion de la Configuracion
No se cuenta con manuales de configuracion No tienen restricciones de acceso a la configuracion del sistema No gestionan un cableado estructurado
R3
Desconfiguracion de la red(Puertos, patch panel) Perdidas de paquedes de datos en el envio de informacion No se cuenta con un procedimiento de mantenimiento del servidor. Se cuenta con UPS's, estabilizadores y supresores de picos. No se tiene control, en caso de alta concurrencia de usuarios. No se cuenta con polticas de acceso al sistema. Los empleados tienen acceso a todo tipo de informacin.
R4
R5
No tienen un responsable que responda por la seguridad de la informacion Se cuenta con un antivirus licenciado. Se cuenta con un control de dispositivos de almacenamiento. Se realizan analisis peridiamente a todo el equipo varina mensualmente o quincenal Puerto de acceso desprotegidos R7
R6
Interceptacion de la informacion
No tienen un proxy se seguridad No se cuenta con un firewall Los programas no tienen una metodologia definida de desarrollo
R8
R8
El direccionamientos de paginas no incluye una encriptacion de las mismas no gestionan perfiles de usuarios administradores del programa
Cabecera Nro Nmero secuencial consecutivo que actua como identificador del riesgo.
Redaccin del riesgo de seguridad identificado, que afecte la disponibilidad, confidencialidad analizandose. La fuente sale de : el dueo del proceso del negocio, el mapa de riesgos, la valorizacin de Riesgos otro que identifique riesgos, as como en el desarrollo de los talleres y de la interaccin de Es recomendable que la redaccin del riesgo tenga los siguientes componentes : probabilid prdida financiera (impacto), activo crtico afectado. La redaccin del riesgo debe ser entendible en si misma, por lo tanto no debera haber nec
Estado actual Condicin o estado actual de las acciones (controles) anteriormente implementados para m
Proceso Cdigo del proceso indicado en el Inventario de Activos de Informacin donde principalmen rea afectada a Qu rea report? Nombre del rea del negocio con la que trabajaba cuando se identific el riesgo. Es recomendable no registrar nombre de personas.
Estrategia de conversacin con el dueo del proceso del negocio para el taller de identificac El tema no es ms que un enunciado que nos ayuda a enfocar de qu tema vamos a tratar Pueden ser : Tema . Los procesos del negocio que estn en el mapo de riesgos. . Temas informales del momento . La estructura de un estndard (cobit, magerit, itil, etc) . etc
Identificar riesgos
Proceso rea afectada
Area de Contabilidad
Area de Transacciones(Logistica)
Descripcin
o, que afecte la disponibilidad, confidencialidad y/o integridad de la informacin o de los recursos que la soportan (TI). Orientado al proceso del negocio
egocio, el mapa de riesgos, la valorizacin de los activos de TI, el anlisis de sensibilidad de informacin, las entrevistas con los equipos de trabajo y cu esarrollo de los talleres y de la interaccin de todos ellos. enga los siguientes componentes : probabilidad, evento, falla, amenaza y vulnerabilidad (considerando perdida de la confidencialidad, integridad y disp ctado. n si misma, por lo tanto no debera haber necesidad de consultar el rea, proceso o cualquier otra informacin, para entender el riesgo.
roceso del negocio para el taller de identificacin de riesgos. ayuda a enfocar de qu tema vamos a tratar de identificar riesgos; es como organizamos la conversacin.
apo de riesgos.
Area Administrativa
Area de Transportes
Area Administrativa
Area de Contabilidad
Area de Tecnologia
Area de Tecnologia
Area de Administracion
Area de Tecnologia
Area de Tecnologia
R1
Incendio
No cuentan con Ningun Extintor. El Centro de Computo es pequeo y cuentan con mucho material inflamable. No se cuenta con un sistema contra incendios. No cuentan con sensores de humo.
Manipulacion de la configuracin
No se cuenta con manuales de configuracion No tienen restricciones de acceso a la configuracion del sistema No gestionan un cableado estructurado
R3
Desconfiguracion de la red(Puertos, patch panel) Perdidas de paquedes de datos en el envio de informacion No se cuenta con un procedimiento de mantenimiento del servidor. Se cuenta con UPS's, estabilizadores y supresores de picos. No se tiene control, en caso de alta concurrencia de usuarios.
R4
R5
No se cuenta con polticas de acceso al sistema. Los empleados tienen acceso a todo tipo de informacin. Los backUp no se protegen segn las buenas practicas de cobit No tienen un responsable que responda por la seguridad de la informacion
R6
Se cuenta con un antivirus licenciado. Se cuenta con un control de dispositivos de almacenamiento. Se realizan analisis peridiamente a todo el equipo varina mensualmente o quincenal Puerto de acceso desprotegidos No tienen un proxy de seguridad No se cuenta con un firewall
R7
Intercepcion de la informacion
R8
Los programas no tienen una metodologia definida de desarrollo El direccionamientos de paginas no incluye una encriptacion de las mismas No gestionan perfiles de usuarios administradores del programa
Cabecera
Descripcin Nmero secuencial consecutivo viene de la matriz identicar. Riesgos de seguridad identificados, vienen de la matriz identificar. Condicin o estado actual de los controles, viene de la matriz identificar.
Proceso Cdigo del proceso indicado en el Inventario de Activos de Informacin donde principalmente se pr
Listado de las descripciones de los eventos de prdida o materializacin del riesgo. Describe las cir Eventos de prdida riesgo de materializa en forma de un evento. Es la base para la cuantificacin del riesgo y en un futuro va a constituir la base para la elaboraci
Probabilidad de ocurrencia del riesgo en las condiciones actuales. La probabilidad de que el riesgo ocurra debe considerar los controles que actualmente se han imple Probabilidad Esta matriz debe ser llenada por cada uno de los miembros del equipo del proyecto; por lo que con equipo de desarrollo debi haber establecido el procedimiento de clculo de la probabilidad, pud ponderado o moda estadstica o tomar el mayor, etc.
Impacto de la prdida estimada, el valor del impacto debe determinarse en funcin a las prdidas considerando los controles que actualmente se han implementado y estn funcionando (si los hubi se debe considerar la probabilidad de ocurrencia. Impacto Esta matriz debe ser llenada por cada uno de los miembros del equipo del proyecto; por lo que con mismo equipo debi haber establecido el procedimiento de clculo del impacto, pudiendo ser el p moda estadstica o tomar el mayor, etc. Fecha Fecha en la que se evalu la probabilidad y el impacto.
3. Posible
4. Mayor
5/27/2012
4. Probable
3. Moderado
5/27/2012
Error en los protocoles de comunicacion Falla en la infraestructura de la red Prdida de la data intercambiada
3. Posible 2. Menor 5/28/2012
1. Raro
4. Mayor
5/28/2012
4. Probable
4. Mayor
5/28/2012
Incursin de virus, troyanos, gusanos Degradacin del desempeo de las plataformas computacionales Prdida de informacin crtica
4. Probable
4. Mayor
5/28/2012
3. Posible
4. Mayor
5/29/2012
4. Probable
4. Mayor
5/29/2012
materializacin del riesgo. Describe las circunstancias sucedidas o por suceder en que el
ctuales. s controles que actualmente se han implementado y estn funcionando (si los hubiera). s del equipo del proyecto; por lo que con anterioridad y de manera consensuada el ento de clculo de la probabilidad, pudiendo ser el promedio simple o promedio
determinarse en funcin a las prdidas que afectan a la organizacin en su conjunto, mentado y estn funcionando (si los hubiera). Para determinar el valor del impacto, no
s del equipo del proyecto; por lo que con anterioridad y de manera consensuada el e clculo del impacto, pudiendo ser el promedio simple o promedio ponderado o
Evaluar riesgos
Nro R1 R2 R3 R4 R5 R6 R7 R8 Riesgos Proceso Probabilidad 4. Probable Impacto 5. Catastrfico 4. Mayor 2. Menor 4. Mayor 5. Catastrfico 5. Catastrfico 5. Catastrfico 5. Catastrfico
Incendio Desastres Naturales Avera de Servidor Web Conexin de red Averas de los PCs Cliente Robo de equipos Robo de Informacin (BD) Infeccin por virus informticos
PRNE03
PRNE01-PRNE021. Raro PRNE03 PRNE01 4. Probable PRNE01-PRNE02PRNE03 PRNE01 PRNE01 PRNE01-PRNE02 PRNE01-PRNE02
Descripcin 5. Casi certeza 3. Posible 5. Casi certeza 5. Casi certeza 3. Posible
Cabecera
Nro Nmero del riesgo viene de la matriz analizar. Riesgos Riesgos de seguridad de TI identificados, vienen de la matriz analizar. Proceso Cdigo del proceso indicado en el Inventario de Activos de Informacin donde principalmente se produce el riesgo.
Probabilidad Probabilidad de ocurrencia del riesgo, viene de la matriz analizar. Impacto Impacto de la prdida estimada, viene de la matriz analizar. Fecha Fecha de evaluacin, viene de la matriz analizar. Tienes dos posibilidades: (1) Valor Cuantitativo resultante de la multiplicacin de la probabilidad y el impacto. (2) Valor Cualitativo resultante obtenido de la matriz de evaluacin el impacto y la Nivel de Riesgos probabilidad (Cuadro de colores). La determinacin del nivel del riesgo, se separa de la matriz analizar, debido a que durante el proceso de anlisis puede constituir un factor distorsionante en la determinarcin de la probabilidad y el impacto por el miembro del equipo de trabajo.
Determinacin de si el riesgo va a ser tratado o no en el presente programa de seguridad de informacin. Seleccin Esta determinacin prioriza los riesgos extremos y dependiendo del tiempo, recursos y cultura organizacional incluye los altos (o algunos de ellos) y luego los medios y bajos, hasta donde la organizacin considere conveniente.
Nivel Riesgos Extremo Extremo Bajo Alto Alto Extremo Extremo Extremo
Seleccin 0. No 0. No 0. No 0. No 0. No 0. No 0. No 0. No
PROBABILIDAD
ar.
izar.
ara de la matriz analizar, debido a que uir un factor distorsionante en la cto por el miembro del equipo de trabajo.
o o no en el presente programa de
mos y dependiendo del tiempo, recursos y gunos de ellos) y luego los medios y bajos, eniente.
IMPACTO
Descripcin Requiere de atencin inmediata Requiere la atencin de las Gerencias Especificar la responsabilidad de las Gerencias Administrado por procedimientos rutinarios
Tratar riesgos
Nro Riesgos Proceso Nivel
PRNE03
R1
Incendio
Extremo
R2
Desastres Naturales
PRNE01PRNE02PRNE03
Extremo
PRNE01
R3
Bajo
R4
Conexin de red
PRNE01PRNE02PRNE03 PRNE01
Alto
R5
Alto
PRNE01
R6
Robo de equipos
Extremo
PRNE01PRNE02
R7
Extremo
PRNE01PRNE02
R8
Extremo
Descripcin
Riesgo de seguridad a controlarse, viene de la matriz evaluar. Solamente se toman los que tienen un 1. SI en la columna seleccin.
Proceso Nmero(s) del proceso del mapa de riesgos, viene de la matriz evaluar. Nivel Valor del nivel, viene de la matriz Evaluar. Eventos de prdida Listado de la descripcin de los eventos de prdida viene de la matriz Analizar
Son todos los controles necesarios de implementar para mitigar el riesgo. Se incluyen los actuales Los controles salen principalmente del o los estndares utilizados (por ejemplo el anexo A del IS nmero que le corresponde en el ISO). Debe considerarse: Objetivos de controles . No todos los controles necesarios estn en el Estndar (Anexo A del ISO 27001). (metas de mitigacin) . No tiene porqu aplicarse el control tal y como lo establece el Estndar (ISO 27001), siempre deb adecuado para seleccionar el control. (Siempre referenciar la seccin del estndar en el que se bas . Se debe tener en claro el riesgo residual, es decir el riesgo que queda luego de implementado el c seguirn aplicando controles al mismo riesgos hasta obtener un riesgo residual aceptable para la o
Nivel avance de Establecer el porcentaje del nivel de implementacin del control. Nos sirve para determinar si el co Implementacin ya esta completamente implementado o en proceso, o en su defecto si el control es nuevo (0%). Documentado?
Un control no solamente tiene que estar implementado, adems tiene que estar completamente do aprobado e informado a todos los involucrados
Tratar riesgos
Eventos de prdida Objetivos de Control a.1 Adquirir extintores y distribuirlos en lugares altamente riesgosos. a.2 Elbarorar y Ejecutar un cronograma de revisin de las conexiones para verificar si tienen una adecueda estructura. a.3 Se debe revisar cada ao para verificar el cableado. a.4 La directiva de Protestos y Moras debera adquirir un sistema contra incendios A.9.1.4 Disear un plan de A.9.1.4 Disear un plan de proteccion contra amenazas externas y ambientales. A.9 Seguridad fsica y ambiental c.1 Verificar que se cumpla con el procedimiento de instalacin. c.2 Las personas encagadas deberan implementar un procedimiento de mantenimiento del servidor. c.3 Revisar y mantener los UPS, los estabilizadores y los supresores de picos. c.4 Implementar medidas de contingencia en caso de alta concurrencia de 4.2.3 a-4 Ejecutar procedimientos de monitoreo y revisin Realizar un diseo de red que cumpla con los estandares. A.6.1 La gerencia debe asignar las responsabilidades a cada uno de los usuarios que operen el SI Nivel de avance de implementacion (%)
20%
50%
0%
20%
50%
A6.1.2 Se debe tener un control de los roles de cada unos de los usuarios y niveles de acceso Robo de Contrasea, Interceptacin de datos, Mal intencin de personas autorizadasRealizar Back-up o Puertos Abiertos 7 A.10.5.1 y no autorizadas, 10% respaldo de la informacin y se deben probar regularmente de acuerdo a la poltica
10%
En este aspecto se tiene un control adecuado ya que se realizan periodicamente un analisis porfundo de los archivos del sistema
A.9.2.4 Mantenimiento de los equipos para permitir su continua disponibilidad. A.9.2.6 Realizar un control de todos los tems de equipo que contengan medios de almacenaje A.10.4.1 Inplementar controles contra software malicioso
40%
Descripcin
de seguridad a controlarse, viene de la matriz evaluar. ente se toman los que tienen un 1. SI en la columna seleccin.
dos los controles necesarios de implementar para mitigar el riesgo. Se incluyen los actuales existentes y los propuestos. ntroles salen principalmente del o los estndares utilizados (por ejemplo el anexo A del ISO 27001, indicndose el o que le corresponde en el ISO). onsiderarse: dos los controles necesarios estn en el Estndar (Anexo A del ISO 27001). ene porqu aplicarse el control tal y como lo establece el Estndar (ISO 27001), siempre debe haber un criterio ado para seleccionar el control. (Siempre referenciar la seccin del estndar en el que se basa el control). be tener en claro el riesgo residual, es decir el riesgo que queda luego de implementado el control, de manera que se n aplicando controles al mismo riesgos hasta obtener un riesgo residual aceptable para la organizacin.
ecer el porcentaje del nivel de implementacin del control. Nos sirve para determinar si el control existe actualmente y a completamente implementado o en proceso, o en su defecto si el control es nuevo (0%).
trol no solamente tiene que estar implementado, adems tiene que estar completamente documentado, formalmente do e informado a todos los involucrados
Documentado?
0. No
0. No
0. No
0. No
0. No
0. No
0. No
0. No
Acciones
Nro Riesgos Controles "a.1 Adquirir extintores y distribuirlos en lugares altamente riesgosos. a.2 Elbarorar y Ejecutar un cronograma de revisin de las conexiones para verificar si tienen una adecueda estructura. a.3 Se debe revisar cada ao para verificar el cableado. a.4 La directiva de Protestos y Moras debera adquirir un sistema contra incendios A.9.1.4 Disear un plan de proteccion contra amenazas externas y ambientales." A.9.1.4 Disear un plan de proteccion contra amenazas externas y ambientales. A.9 Seguridad fsica y ambiental c.1 Verificar que se cumpla con el procedimiento de instalacin. c.2 Las personas encagadas deberan implementar un procedimiento de mantenimiento del servidor. c.3 Revisar y mantener los UPS, los estabilizadores y los supresores de picos. c.4 Implementar medidas de contingencia en caso de alta concurrencia de usuarios. A.9.2.2 El equipo debe ser protegido de fallas de energa y otras interrupciones causadas por fallas en los servicios publicos A.9.2 Seguridad delde red para proteger A.10.6.1 Controles equipo Evitar los de amenazas, y para mantener la seguridad de los sistemas y aplicaciones utilizando la red, incluyendo la informacion en transito. A.6.1 La gerencia debe asignar las responsabilidades a cada uno de los usuarios que operen el SI A.5.1 La gerencia debe documentar las politicas de cada unos de los trabajadores A.9.1.2 tener un control de personal solo autorizado pueda manipilar los equipos. A.9.1.6 Se deben controlar los puntos de acceso como las areas de entrega y descarga y otros puntos donde personas no-autorizadas pueden ingresar a los locales Acciones/Actividades /Proyectos
R1
Incendio
R2
Desastres Naturales
R3
R4
Conexin de red
R5
R6
Robo de equipos
R7
A6.1.2 Se debe tener un control de los roles de cada unos de los usuarios y niveles de acceso A.10.5.1 Realizar Back-up o respaldo de la informacin y se deben probar regularmente de acuerdo a la poltica A.10.7.1 Gestion de los medios removibles A.11 Control de acceso: Poltica de control de acceso, Gestion de privilegios, Gestion de la clave del usuario A.9.2.4 Mantenimiento de los equipos para permitir su continua disponibilidad. A.9.2.6 Realizar un control de todos los tems de equipo que contengan medios de almacenaje A.10.4.1 Inplementar controles contra software malicioso
R8
Descripcin
Riesgos Riesgos de seguridad TI a controlarse, viene de la matriz Tratar. Controles Controles necesarios para mitigar el riesgos. Viene de la matriz tratar. (Objetivos de control)
Son todas las actividades o procedimientos necesarios para lograr la implementacin del objetivo de Puede incluir mejorar algunos controles ya existentes. Se trata de plasmar un diagrama bsico de las actividades tipo Gantt. Puede suponerse que cada ob proyecto. Deben redactarse de manera que una accin pueda ser un proyecto especfico, o la aplicacin de un pueda identificarse adecuadamente su inicio y su fin; an cuando una accin identificada pueda ser de repetirse, debe redactarse de manera que pueda determinarse cuando se termina de implementa Deben ser de responsabilidad atmica, es decir que se debe dividir en acciones hasta que cada acci y solamente un responsable. Acciones/Actividades Debe verificarse que las acciones definitidas cubren la implementacin de todo el control. /Proyectos
Donde se pueda es conveniente que se base en un marco de buenas prcticas (por ejemplo NTP ISO Considerando: . No todos las acciones necesarias estn en el estndar (NTP ISO/IEC 17799:2007). . No tiene porqu aplicarse literalmente las recomendaciones del estndar (NTP ISO/IEC 17799:200 adaptadas aplicando un adecuado criterio. Muchas veces la utilizacin del conocimiento previo es mucho ms efectivo, es decir si la implementa validacin en el software, revisin de los resultados, emisin de una poltica, capacitacin al persona suficiente para lograr el nivel del objetivo de control, ya no es necesario recurrir al estndar (NTP IS
Determina el responsable de la ejecucin de la accin, no necesariamente tiene que ser el mismo qu el riesgo. Es recomendable que se especifique el cargo antes que el nombre, porque las personas po el tiempo de implementacin. Por cada accin solamente debe especificarse un responsable. Responsable Debe tenerse bien claro la determinacin de responsabilidades, dado que una mala eleccin del resp que no se llegue a implementar el control. Por ejemplo una accin de implementar en el sistema info debe tener como responsable al Dpto. de TI, dado que el que determina el procedimiento y diseo d del negocio.
Fecha en que debera finalizar la actividad. Generalmente se asignan fechas a lo largo de un ao, pa nueva evaluacin todos los aos y cuantificar el nivel de avance de la implementaciones de los contr
Es el riesgo despus de implementados los controles. Riesgo Residual La descripcin del riesgo residual registrado debe ser entendido y aprobado por el ms alto responsa PSI.
Responsable
Fecha Inicial
Fecha Final
Riesgo residual
Jefe de SI
8/8/2011
8/8/2012
Jefe de SI
PER-10: Daniel Ibaez
8/15/2011 8/15/2012
Jefe de SI
8/22/2011 8/22/2012
Jefe de SI
PER-10: Daniel Ibaez
8/29/2011 8/29/2012
Jefe de SI
9/5/2011 9/5/2012
Jefe de SI
9/5/2011 9/5/2012
Jefe de SI
9/5/2011
9/5/2012
Jefe de SI
9/15/2011 9/15/2012
la aplicacin de una buena prctica, etc., tificada pueda ser que nunca debe dejar mina de implementar la accin. asta que cada accin le corresponda uno
control.
cir si la implementacin de un software, citacin al personal clave, etc. es al estndar (NTP ISO/IEC 17799:2007)
ue ser el mismo que se ve afectado por ue las personas podran cambiar durante sponsable. a eleccin del responsable podra hacer r en el sistema informtico un reporte no dimiento y diseo del reportes es el rea
argo de un ao, para poder realizar una ciones de los controles de seguridad.
Importante:
En las matrices no tiene que incluirse toda la informacin de toda la or toda el rea organizacional donde se da el proceso. Se trabaja solamente con todo lo relacionado al proceso del negocio a Toda la informacin que se registra en las matrices la determina el du negocio. La labor del personal del proyecto es ser un facilitador en la identificac redaccin. Las matrices estn elaboradas siguiendo el proceso de la metodologa
El consenso para los criterios de evaluacin deben elaborarse antes d llenado de las matrices
n de toda la organizacin, ni de
so del negocio analizado. determina el dueo del proceso del en la identificacin, anlisis y
e la metodologa AS/NZS.