Identificar riesgo

Nro Riesgo(s) Estado actual

R1

Incendio

No cuentan con Ningun Extintor. El Centro de Computo es pequeo y cuentan con mucho material inflamable. No se cuenta con un sistema contra incendios. No cuentan con sensores de humo. No se cuenta con politicas de seguridad

R2

manipulacion de la Configuracion

No se cuenta con manuales de configuracion No tienen restricciones de acceso a la configuracion del sistema No gestionan un cableado estructurado

R3

Fallo de servicio de comunicacin

Desconfiguracion de la red(Puertos, patch panel) Perdidas de paquedes de datos en el envio de informacion No se cuenta con un procedimiento de mantenimiento del servidor. Se cuenta con UPS's, estabilizadores y supresores de picos. No se tiene control, en caso de alta concurrencia de usuarios. No se cuenta con polticas de acceso al sistema. Los empleados tienen acceso a todo tipo de informacin.

R4

Avera del Servidor SIAF

R5

Robo de Informacin (BD)

Los backUp no se protegen segn las buenas practicas de cobit

No tienen un responsable que responda por la seguridad de la informacion Se cuenta con un antivirus licenciado. Se cuenta con un control de dispositivos de almacenamiento. Se realizan analisis peridiamente a todo el equipo varina mensualmente o quincenal Puerto de acceso desprotegidos R7

R6

Difusion de software daino

Interceptacion de la informacion

No tienen un proxy se seguridad No se cuenta con un firewall Los programas no tienen una metodologia definida de desarrollo

R8

Vulnerabilidades de los programas

R8

Vulnerabilidades de los programas

El direccionamientos de paginas no incluye una encriptacion de las mismas no gestionan perfiles de usuarios administradores del programa

Cabecera Nro Nmero secuencial consecutivo que actua como identificador del riesgo.

Redaccin del riesgo de seguridad identificado, que afecte la disponibilidad, confidencialidad analizandose. La fuente sale de : el dueo del proceso del negocio, el mapa de riesgos, la valorizacin de Riesgos otro que identifique riesgos, as como en el desarrollo de los talleres y de la interaccin de Es recomendable que la redaccin del riesgo tenga los siguientes componentes : probabilid prdida financiera (impacto), activo crtico afectado. La redaccin del riesgo debe ser entendible en si misma, por lo tanto no debera haber nec

Estado actual Condicin o estado actual de las acciones (controles) anteriormente implementados para m

Proceso Cdigo del proceso indicado en el Inventario de Activos de Informacin donde principalmen rea afectada a Qu rea report? Nombre del rea del negocio con la que trabajaba cuando se identific el riesgo. Es recomendable no registrar nombre de personas.

Estrategia de conversacin con el dueo del proceso del negocio para el taller de identificac El tema no es ms que un enunciado que nos ayuda a enfocar de qu tema vamos a tratar Pueden ser : Tema . Los procesos del negocio que estn en el mapo de riesgos. . Temas informales del momento . La estructura de un estndard (cobit, magerit, itil, etc) . etc

Identificar riesgos
Proceso rea afectada

PRONE01, PRONE02, PRONE03

Area de contabilidad, caja y transportes

PRONE01, PRONE02, PRONE03

Area de contabilidad, caja y transportes

PRONE01, PRONE02, PRONE03

Area de contabilidad, caja y transportes

PRONE01, PRONE02, PRONE03

Area de Contabilidad

PRONE01, PRONE02, PRONE03

Area de contabilidad, caja y transportes

PRONE01, PRONE02, PRONE03

Area de Transacciones(Logistica)

PRONE01, PRONE02, PRONE03

Area de contabilidad, caja

PRONE01, PRONE02, PRONE03

Area de contabilidad, caja y transportes

PRONE01, PRONE02, PRONE03

Area de contabilidad, caja y transportes

Descripcin

mo identificador del riesgo.

o, que afecte la disponibilidad, confidencialidad y/o integridad de la informacin o de los recursos que la soportan (TI). Orientado al proceso del negocio

egocio, el mapa de riesgos, la valorizacin de los activos de TI, el anlisis de sensibilidad de informacin, las entrevistas con los equipos de trabajo y cu esarrollo de los talleres y de la interaccin de todos ellos. enga los siguientes componentes : probabilidad, evento, falla, amenaza y vulnerabilidad (considerando perdida de la confidencialidad, integridad y disp ctado. n si misma, por lo tanto no debera haber necesidad de consultar el rea, proceso o cualquier otra informacin, para entender el riesgo.

ntroles) anteriormente implementados para mitigar el riesgo identificado.

de Activos de Informacin donde principalmente se produce el riesgo.

jaba cuando se identific el riesgo. onas.

roceso del negocio para el taller de identificacin de riesgos. ayuda a enfocar de qu tema vamos a tratar de identificar riesgos; es como organizamos la conversacin.

apo de riesgos.

it, itil, etc)

Que rea report?

Area Administrativa

Area de Transportes

Area Administrativa

Area de Contabilidad

Area de Tecnologia

Area de Tecnologia

Area de Administracion

Area de Tecnologia

Area de Tecnologia

ado al proceso del negocio

os equipos de trabajo y cualquier

ncialidad, integridad y disponibilidad), el riesgo.

Analizar riesgos Nro Riesgos Estado actual Proceso

R1

Incendio

No cuentan con Ningun Extintor. El Centro de Computo es pequeo y cuentan con mucho material inflamable. No se cuenta con un sistema contra incendios. No cuentan con sensores de humo.

PRONE01, PRONE02, PRONE03

No se cuenta con politicas de seguridad R2

Manipulacion de la configuracin

No se cuenta con manuales de configuracion No tienen restricciones de acceso a la configuracion del sistema No gestionan un cableado estructurado

PRONE01, PRONE02, PRONE03

R3

Fallo de servicio de comunicacin

Desconfiguracion de la red(Puertos, patch panel) Perdidas de paquedes de datos en el envio de informacion No se cuenta con un procedimiento de mantenimiento del servidor. Se cuenta con UPS's, estabilizadores y supresores de picos. No se tiene control, en caso de alta concurrencia de usuarios.

PRONE01, PRONE02, PRONE03

R4

Avera del Servidor SIAF

PRONE01, PRONE02, PRONE03

R5

Robo de informacion (BD)

No se cuenta con polticas de acceso al sistema. Los empleados tienen acceso a todo tipo de informacin. Los backUp no se protegen segn las buenas practicas de cobit No tienen un responsable que responda por la seguridad de la informacion

PRONE01, PRONE02, PRONE03

R6

Difusion de Software Daino

Se cuenta con un antivirus licenciado. Se cuenta con un control de dispositivos de almacenamiento. Se realizan analisis peridiamente a todo el equipo varina mensualmente o quincenal Puerto de acceso desprotegidos No tienen un proxy de seguridad No se cuenta con un firewall

PRONE01, PRONE02, PRONE03

R7

Intercepcion de la informacion

PRONE01, PRONE02, PRONE03

R8

Vulnerabilidad de los programas

Los programas no tienen una metodologia definida de desarrollo El direccionamientos de paginas no incluye una encriptacion de las mismas No gestionan perfiles de usuarios administradores del programa

PRONE01, PRONE02, PRONE03

Cabecera

Descripcin Nmero secuencial consecutivo viene de la matriz identicar. Riesgos de seguridad identificados, vienen de la matriz identificar. Condicin o estado actual de los controles, viene de la matriz identificar.

Nro Riesgos Estado actual

Proceso Cdigo del proceso indicado en el Inventario de Activos de Informacin donde principalmente se pr

Listado de las descripciones de los eventos de prdida o materializacin del riesgo. Describe las cir Eventos de prdida riesgo de materializa en forma de un evento. Es la base para la cuantificacin del riesgo y en un futuro va a constituir la base para la elaboraci

Probabilidad de ocurrencia del riesgo en las condiciones actuales. La probabilidad de que el riesgo ocurra debe considerar los controles que actualmente se han imple Probabilidad Esta matriz debe ser llenada por cada uno de los miembros del equipo del proyecto; por lo que con equipo de desarrollo debi haber establecido el procedimiento de clculo de la probabilidad, pud ponderado o moda estadstica o tomar el mayor, etc.

Impacto de la prdida estimada, el valor del impacto debe determinarse en funcin a las prdidas considerando los controles que actualmente se han implementado y estn funcionando (si los hubi se debe considerar la probabilidad de ocurrencia. Impacto Esta matriz debe ser llenada por cada uno de los miembros del equipo del proyecto; por lo que con mismo equipo debi haber establecido el procedimiento de clculo del impacto, pudiendo ser el p moda estadstica o tomar el mayor, etc. Fecha Fecha en la que se evalu la probabilidad y el impacto.

Analizar riesgos Eventos de prdida Probabilidad Impacto Fecha

Prdida de la documentacion sensible del area TI

3. Posible

4. Mayor

5/27/2012

Malos funcionamientos en el modulo de la aplicacin

4. Probable

3. Moderado

5/27/2012

Error en los protocoles de comunicacion Falla en la infraestructura de la red Prdida de la data intercambiada
3. Posible 2. Menor 5/28/2012

Perdida de los datos financiero

1. Raro

4. Mayor

5/28/2012

Falta de seguridad como personal o instalaciones de camaras de vigilancia

4. Probable

4. Mayor

5/28/2012

Incursin de virus, troyanos, gusanos Degradacin del desempeo de las plataformas computacionales Prdida de informacin crtica

4. Probable

4. Mayor

5/28/2012

Robo de la informacion Suplantacion de la informacion Modificacion de la informacion

3. Posible

4. Mayor

5/29/2012

Incompatibilidad de arquitecturas en los programas Falla en la comunicacion de las aplicaciones

4. Probable

4. Mayor

5/29/2012

e Informacin donde principalmente se produce el riesgo.

materializacin del riesgo. Describe las circunstancias sucedidas o por suceder en que el

va a constituir la base para la elaboracin de la base de datos de incidencias.

ctuales. s controles que actualmente se han implementado y estn funcionando (si los hubiera). s del equipo del proyecto; por lo que con anterioridad y de manera consensuada el ento de clculo de la probabilidad, pudiendo ser el promedio simple o promedio

determinarse en funcin a las prdidas que afectan a la organizacin en su conjunto, mentado y estn funcionando (si los hubiera). Para determinar el valor del impacto, no

s del equipo del proyecto; por lo que con anterioridad y de manera consensuada el e clculo del impacto, pudiendo ser el promedio simple o promedio ponderado o

Evaluar riesgos
Nro R1 R2 R3 R4 R5 R6 R7 R8 Riesgos Proceso Probabilidad 4. Probable Impacto 5. Catastrfico 4. Mayor 2. Menor 4. Mayor 5. Catastrfico 5. Catastrfico 5. Catastrfico 5. Catastrfico

Incendio Desastres Naturales Avera de Servidor Web Conexin de red Averas de los PCs Cliente Robo de equipos Robo de Informacin (BD) Infeccin por virus informticos

PRNE03

PRNE01-PRNE021. Raro PRNE03 PRNE01 4. Probable PRNE01-PRNE02PRNE03 PRNE01 PRNE01 PRNE01-PRNE02 PRNE01-PRNE02
Descripcin 5. Casi certeza 3. Posible 5. Casi certeza 5. Casi certeza 3. Posible

Cabecera

Nro Nmero del riesgo viene de la matriz analizar. Riesgos Riesgos de seguridad de TI identificados, vienen de la matriz analizar. Proceso Cdigo del proceso indicado en el Inventario de Activos de Informacin donde principalmente se produce el riesgo.

Probabilidad Probabilidad de ocurrencia del riesgo, viene de la matriz analizar. Impacto Impacto de la prdida estimada, viene de la matriz analizar. Fecha Fecha de evaluacin, viene de la matriz analizar. Tienes dos posibilidades: (1) Valor Cuantitativo resultante de la multiplicacin de la probabilidad y el impacto. (2) Valor Cualitativo resultante obtenido de la matriz de evaluacin el impacto y la Nivel de Riesgos probabilidad (Cuadro de colores). La determinacin del nivel del riesgo, se separa de la matriz analizar, debido a que durante el proceso de anlisis puede constituir un factor distorsionante en la determinarcin de la probabilidad y el impacto por el miembro del equipo de trabajo.

Determinacin de si el riesgo va a ser tratado o no en el presente programa de seguridad de informacin. Seleccin Esta determinacin prioriza los riesgos extremos y dependiendo del tiempo, recursos y cultura organizacional incluye los altos (o algunos de ellos) y luego los medios y bajos, hasta donde la organizacin considere conveniente.

Fecha 8/8/2011 8/15/2011 8/22/2011 8/29/2011 9/5/2011 9/5/2011 9/5/2011 9/15/2011

Nivel Riesgos Extremo Extremo Bajo Alto Alto Extremo Extremo Extremo

Seleccin 0. No 0. No 0. No 0. No 0. No 0. No 0. No 0. No

PROBABILIDAD

1. Raro 2. Improbable 3. Posible 4. Probable

5. Casi certeza

Criterio Extremo Alto Moderado Bajo

ar.

enen de la matriz analizar. de Activos de Informacin donde

de la matriz analizar. matriz analizar.

izar.

tiplicacin de la probabilidad y el impacto. e la matriz de evaluacin el impacto y la

ara de la matriz analizar, debido a que uir un factor distorsionante en la cto por el miembro del equipo de trabajo.

o o no en el presente programa de

mos y dependiendo del tiempo, recursos y gunos de ellos) y luego los medios y bajos, eniente.

IMPACTO

1. Insignificante 2. Menor 3. Moderado 4. Mayor 5. Catastrfico

Descripcin Requiere de atencin inmediata Requiere la atencin de las Gerencias Especificar la responsabilidad de las Gerencias Administrado por procedimientos rutinarios

Tratar riesgos
Nro Riesgos Proceso Nivel

PRNE03

R1

Incendio

Extremo

R2

Desastres Naturales

PRNE01PRNE02PRNE03

Extremo

PRNE01

R3

Avera de Servidor Web

Bajo

R4

Conexin de red

PRNE01PRNE02PRNE03 PRNE01

Alto

R5

Averas de los PCs Cliente

Alto

PRNE01
R6

Robo de equipos

Extremo

PRNE01PRNE02
R7

Robo de Informacin (BD)

Extremo

PRNE01PRNE02

R8

Infeccin por virus informticos

Extremo

Cabecera Nro Nmero del riesgo viene de la matriz Evaluar. Riesgos

Descripcin

Riesgo de seguridad a controlarse, viene de la matriz evaluar. Solamente se toman los que tienen un 1. SI en la columna seleccin.

Proceso Nmero(s) del proceso del mapa de riesgos, viene de la matriz evaluar. Nivel Valor del nivel, viene de la matriz Evaluar. Eventos de prdida Listado de la descripcin de los eventos de prdida viene de la matriz Analizar

Son todos los controles necesarios de implementar para mitigar el riesgo. Se incluyen los actuales Los controles salen principalmente del o los estndares utilizados (por ejemplo el anexo A del IS nmero que le corresponde en el ISO). Debe considerarse: Objetivos de controles . No todos los controles necesarios estn en el Estndar (Anexo A del ISO 27001). (metas de mitigacin) . No tiene porqu aplicarse el control tal y como lo establece el Estndar (ISO 27001), siempre deb adecuado para seleccionar el control. (Siempre referenciar la seccin del estndar en el que se bas . Se debe tener en claro el riesgo residual, es decir el riesgo que queda luego de implementado el c seguirn aplicando controles al mismo riesgos hasta obtener un riesgo residual aceptable para la o

Nivel avance de Establecer el porcentaje del nivel de implementacin del control. Nos sirve para determinar si el co Implementacin ya esta completamente implementado o en proceso, o en su defecto si el control es nuevo (0%). Documentado?

Un control no solamente tiene que estar implementado, adems tiene que estar completamente do aprobado e informado a todos los involucrados

Tratar riesgos
Eventos de prdida Objetivos de Control a.1 Adquirir extintores y distribuirlos en lugares altamente riesgosos. a.2 Elbarorar y Ejecutar un cronograma de revisin de las conexiones para verificar si tienen una adecueda estructura. a.3 Se debe revisar cada ao para verificar el cableado. a.4 La directiva de Protestos y Moras debera adquirir un sistema contra incendios A.9.1.4 Disear un plan de A.9.1.4 Disear un plan de proteccion contra amenazas externas y ambientales. A.9 Seguridad fsica y ambiental c.1 Verificar que se cumpla con el procedimiento de instalacin. c.2 Las personas encagadas deberan implementar un procedimiento de mantenimiento del servidor. c.3 Revisar y mantener los UPS, los estabilizadores y los supresores de picos. c.4 Implementar medidas de contingencia en caso de alta concurrencia de 4.2.3 a-4 Ejecutar procedimientos de monitoreo y revisin Realizar un diseo de red que cumpla con los estandares. A.6.1 La gerencia debe asignar las responsabilidades a cada uno de los usuarios que operen el SI Nivel de avance de implementacion (%)

20%

Sobrecarga del servidor, Temperatura inadecuada

Falta de instalaciones antissmicas

50%

Saturacin de la red, Falta de manteniendo, Virus, Lugar no adecuado

0%

20%

Mal diseo de la red, Instalacin inadecuada, Saturacin de la red

Los usuarios finales no cumplen con requerimientos necesarios para la configuracion de su pc o nivles de acceso, como logueos, niveles de acceso y privilegios: Administrador Falta de seguridad como personal o instalaciones de camaras de vigilancia 5

50%

A6.1.2 Se debe tener un control de los roles de cada unos de los usuarios y niveles de acceso Robo de Contrasea, Interceptacin de datos, Mal intencin de personas autorizadasRealizar Back-up o Puertos Abiertos 7 A.10.5.1 y no autorizadas, 10% respaldo de la informacin y se deben probar regularmente de acuerdo a la poltica

A.9.1.2 tener un control de personal solo autorizado pueda

10%

En este aspecto se tiene un control adecuado ya que se realizan periodicamente un analisis porfundo de los archivos del sistema

A.9.2.4 Mantenimiento de los equipos para permitir su continua disponibilidad. A.9.2.6 Realizar un control de todos los tems de equipo que contengan medios de almacenaje A.10.4.1 Inplementar controles contra software malicioso

40%

Descripcin

o del riesgo viene de la matriz Evaluar.

de seguridad a controlarse, viene de la matriz evaluar. ente se toman los que tienen un 1. SI en la columna seleccin.

o(s) del proceso del mapa de riesgos, viene de la matriz evaluar.

del nivel, viene de la matriz Evaluar.

o de la descripcin de los eventos de prdida viene de la matriz Analizar

dos los controles necesarios de implementar para mitigar el riesgo. Se incluyen los actuales existentes y los propuestos. ntroles salen principalmente del o los estndares utilizados (por ejemplo el anexo A del ISO 27001, indicndose el o que le corresponde en el ISO). onsiderarse: dos los controles necesarios estn en el Estndar (Anexo A del ISO 27001). ene porqu aplicarse el control tal y como lo establece el Estndar (ISO 27001), siempre debe haber un criterio ado para seleccionar el control. (Siempre referenciar la seccin del estndar en el que se basa el control). be tener en claro el riesgo residual, es decir el riesgo que queda luego de implementado el control, de manera que se n aplicando controles al mismo riesgos hasta obtener un riesgo residual aceptable para la organizacin.

ecer el porcentaje del nivel de implementacin del control. Nos sirve para determinar si el control existe actualmente y a completamente implementado o en proceso, o en su defecto si el control es nuevo (0%).

trol no solamente tiene que estar implementado, adems tiene que estar completamente documentado, formalmente do e informado a todos los involucrados

Documentado?

0. No

0. No

0. No

0. No

0. No

0. No

0. No

0. No

Acciones
Nro Riesgos Controles "a.1 Adquirir extintores y distribuirlos en lugares altamente riesgosos. a.2 Elbarorar y Ejecutar un cronograma de revisin de las conexiones para verificar si tienen una adecueda estructura. a.3 Se debe revisar cada ao para verificar el cableado. a.4 La directiva de Protestos y Moras debera adquirir un sistema contra incendios A.9.1.4 Disear un plan de proteccion contra amenazas externas y ambientales." A.9.1.4 Disear un plan de proteccion contra amenazas externas y ambientales. A.9 Seguridad fsica y ambiental c.1 Verificar que se cumpla con el procedimiento de instalacin. c.2 Las personas encagadas deberan implementar un procedimiento de mantenimiento del servidor. c.3 Revisar y mantener los UPS, los estabilizadores y los supresores de picos. c.4 Implementar medidas de contingencia en caso de alta concurrencia de usuarios. A.9.2.2 El equipo debe ser protegido de fallas de energa y otras interrupciones causadas por fallas en los servicios publicos A.9.2 Seguridad delde red para proteger A.10.6.1 Controles equipo Evitar los de amenazas, y para mantener la seguridad de los sistemas y aplicaciones utilizando la red, incluyendo la informacion en transito. A.6.1 La gerencia debe asignar las responsabilidades a cada uno de los usuarios que operen el SI A.5.1 La gerencia debe documentar las politicas de cada unos de los trabajadores A.9.1.2 tener un control de personal solo autorizado pueda manipilar los equipos. A.9.1.6 Se deben controlar los puntos de acceso como las areas de entrega y descarga y otros puntos donde personas no-autorizadas pueden ingresar a los locales Acciones/Actividades /Proyectos

R1

Incendio

R2

Desastres Naturales

R3

Avera de Servidor Web

R4

Conexin de red

R5

Averas de los PCs Cliente

R6

Robo de equipos

R7

Robo de Informacin (BD)

A6.1.2 Se debe tener un control de los roles de cada unos de los usuarios y niveles de acceso A.10.5.1 Realizar Back-up o respaldo de la informacin y se deben probar regularmente de acuerdo a la poltica A.10.7.1 Gestion de los medios removibles A.11 Control de acceso: Poltica de control de acceso, Gestion de privilegios, Gestion de la clave del usuario A.9.2.4 Mantenimiento de los equipos para permitir su continua disponibilidad. A.9.2.6 Realizar un control de todos los tems de equipo que contengan medios de almacenaje A.10.4.1 Inplementar controles contra software malicioso

R8

Infeccin por virus informticos

Cabecera Nro Nmero del riesgo viene de la matriz Tratar.

Descripcin

Riesgos Riesgos de seguridad TI a controlarse, viene de la matriz Tratar. Controles Controles necesarios para mitigar el riesgos. Viene de la matriz tratar. (Objetivos de control)

Son todas las actividades o procedimientos necesarios para lograr la implementacin del objetivo de Puede incluir mejorar algunos controles ya existentes. Se trata de plasmar un diagrama bsico de las actividades tipo Gantt. Puede suponerse que cada ob proyecto. Deben redactarse de manera que una accin pueda ser un proyecto especfico, o la aplicacin de un pueda identificarse adecuadamente su inicio y su fin; an cuando una accin identificada pueda ser de repetirse, debe redactarse de manera que pueda determinarse cuando se termina de implementa Deben ser de responsabilidad atmica, es decir que se debe dividir en acciones hasta que cada acci y solamente un responsable. Acciones/Actividades Debe verificarse que las acciones definitidas cubren la implementacin de todo el control. /Proyectos

Donde se pueda es conveniente que se base en un marco de buenas prcticas (por ejemplo NTP ISO Considerando: . No todos las acciones necesarias estn en el estndar (NTP ISO/IEC 17799:2007). . No tiene porqu aplicarse literalmente las recomendaciones del estndar (NTP ISO/IEC 17799:200 adaptadas aplicando un adecuado criterio. Muchas veces la utilizacin del conocimiento previo es mucho ms efectivo, es decir si la implementa validacin en el software, revisin de los resultados, emisin de una poltica, capacitacin al persona suficiente para lograr el nivel del objetivo de control, ya no es necesario recurrir al estndar (NTP IS

Determina el responsable de la ejecucin de la accin, no necesariamente tiene que ser el mismo qu el riesgo. Es recomendable que se especifique el cargo antes que el nombre, porque las personas po el tiempo de implementacin. Por cada accin solamente debe especificarse un responsable. Responsable Debe tenerse bien claro la determinacin de responsabilidades, dado que una mala eleccin del resp que no se llegue a implementar el control. Por ejemplo una accin de implementar en el sistema info debe tener como responsable al Dpto. de TI, dado que el que determina el procedimiento y diseo d del negocio.

Fecha Inicial Fecha en que se inicia la actividad. Fecha Final

Fecha en que debera finalizar la actividad. Generalmente se asignan fechas a lo largo de un ao, pa nueva evaluacin todos los aos y cuantificar el nivel de avance de la implementaciones de los contr

Es el riesgo despus de implementados los controles. Riesgo Residual La descripcin del riesgo residual registrado debe ser entendido y aprobado por el ms alto responsa PSI.

Responsable

Fecha Inicial

Fecha Final

Riesgo residual

PER-10: Daniel Ibaez

Jefe de SI

8/8/2011

8/8/2012

PER-10: Daniel Ibaez

Jefe de SI
PER-10: Daniel Ibaez

8/15/2011 8/15/2012

Jefe de SI

8/22/2011 8/22/2012

PER-10: Daniel Ibaez

Jefe de SI
PER-10: Daniel Ibaez

8/29/2011 8/29/2012

Jefe de SI
9/5/2011 9/5/2012

PER-10: Daniel Ibaez

Jefe de SI
9/5/2011 9/5/2012

PER-10: Daniel Ibaez

Jefe de SI

9/5/2011

9/5/2012

PER-10: Daniel Ibaez

Jefe de SI
9/15/2011 9/15/2012

in del objetivo de control del riesgo.

nerse que cada objetivo de control es un

la aplicacin de una buena prctica, etc., tificada pueda ser que nunca debe dejar mina de implementar la accin. asta que cada accin le corresponda uno

control.

or ejemplo NTP ISO/IEC 17799:2007).

7). SO/IEC 17799:2007), siempre deben ser

cir si la implementacin de un software, citacin al personal clave, etc. es al estndar (NTP ISO/IEC 17799:2007)

ue ser el mismo que se ve afectado por ue las personas podran cambiar durante sponsable. a eleccin del responsable podra hacer r en el sistema informtico un reporte no dimiento y diseo del reportes es el rea

argo de un ao, para poder realizar una ciones de los controles de seguridad.

l ms alto responsable institucional del

Importante:

En las matrices no tiene que incluirse toda la informacin de toda la or toda el rea organizacional donde se da el proceso. Se trabaja solamente con todo lo relacionado al proceso del negocio a Toda la informacin que se registra en las matrices la determina el du negocio. La labor del personal del proyecto es ser un facilitador en la identificac redaccin. Las matrices estn elaboradas siguiendo el proceso de la metodologa

El consenso para los criterios de evaluacin deben elaborarse antes d llenado de las matrices

n de toda la organizacin, ni de

so del negocio analizado. determina el dueo del proceso del en la identificacin, anlisis y

e la metodologa AS/NZS.

borarse antes de empezar con el