Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
SGSI - MICROSITIOS
SEGURIDAD DE LA INFORMACIÓN
BOGOTÁ
2018
2
TABLA DE CONTENIDO
INTRODUCCIÓN 9
1. CONTEXTO 10
1.1 Entendimiento en la organización y su contexto 10
1.1.1 Nombre. 10
1.1.2 Misión y visión. 10
1.1.3 Objetivo corporativo. 10
1.1.4 Mapa de procesos. 11
1.1.5 DOFA 11
1.2 Expectativas de las partes interesadas 12
1.3 Alcance SGSI 13
2. LIDERAZGO 14
2.1 Liderazgo y compromiso 14
2.2 Política de seguridad 14
2.3 Organización de las redes, responsabilidades y autoridades 14
3. PLANEACION 17
3.1. CONTEXTO DE VALORACION DE RIESGOS 17
3.1.1 ESTRUCTURA INFORME VALORACION RIESGOS 17
3.1.2 IDENTIFICACION DE ACTIVOS 18
3.1.3 ESCALAS PARA CALIFICAR LOS REQUERIMIENTOS DE
SEGURIDAD 18
3.1.3.1 Requerimientos de seguridad - Integridad 19
3.1.3.2 Requerimientos de seguridad - Confidencialidad 19
3.1.3.3 Requerimientos de seguridad - Disponibilidad 20
3.1.4 AMENAZAS 20
3.1.5 RIESGOS 23
3.1.6 ESCALA PARA LA MEDICION DE LA PROBABILIDAD 23
3.1.7 ESCALA PARA LA MEDICION DEL NIVEL DE IMPACTO
(CONSECUENCIAS) 24
3.1.8 ESCALA PARA EL CÁLCULO DEL RIESGO INHERENTE 25
3.1.9 ESCALA PARA EL CÁLCULO DEL RIESGO RESIDUAL 27
3.1.9.1 Determinación de la efectividad de cada control individual 27
3
3.1.9.2 Determinación de la efectividad del conjunto de controles 29
3.1.10 VALORACION DE LOS ACTIVOS 30
3.1.11 VALORACION DE RIESGO 30
3.1.12 TRATAMIENTO DE RIESGOS 30
4. SOPORTE 32
4.1 RECURSOS 32
4.2 Competencias 35
4.3 Conciencia 35
4.3.1 Mecanismos de comunicacion 35
4.4 Comuniacion 36
4.4.1 Metodos de comuniacion 36
4.5 Informacion documental 37
4.5.1 Control de versionamiento 37
5. RESULTADOS 38
5.1 SELECCIÓN DE ACTIVOS DE INFORMACIÓN CRÍTICOS 38
5.2 IDENTIFICACIÓN DE VULNERABILIDADES, AMENAZAS Y RIESGOS. 38
5.3 RESULTADO DE LA EVALUACION DE RIESGOS 39
5.4 ANALISIS DEL RIESGO INHERENTE 40
5.5 ANALISIS DEL RIESGO RESIDUAL 41
5.6 CONTROLES DE MITIGACIÓN PROPUESTOS 41
6. CONCLUSIONES 43
4
LISTAS DE TABLAS
5
LISTA DE FIGURAS
Figura 3. Organigrama
6
LISTA DE ANEXOS
7
RESUMEN
8
INTRODUCCIÓN
La información es el principal activo de muchas organizaciones y precisa ser
protegida adecuadamente frente a amenazas que puede poner en peligro la
continuidad del negocio. en la actualidad, micrositios se enfrenta cada vez más con
riesgos e inseguridades procedentes de una amplia variedad de contingencias, las
cuales pueden dañar considerablemente tanto los sistemas de información como la
información procesada y almacenada.
9
1. CONTEXTO
1.1.1 Nombre.
MICROSITIOS S.A.S.
1.1.2 Misión y visión.
Misión:
Diseñar, desarrollar y comercializar productos y servicios innovadores para
entidades del Gobierno que les permiten prestar un mejor servicio haciendo
uso de las tecnologías de la información y las comunicaciones, siempre
cumpliendo la normatividad vigente.
Visión:
Para el año 2019 seremos reconocidos internacionalmente como la empresa
colombiana más innovadora en el desarrollo de productos y servicios de
Tecnologías de la Información para el sector Gobierno y nos expandimos
hasta ser la empresa latinoamericana líder en la región.
10
1.1.4 Mapa de procesos.
1.1.5 DOFA
11
socios
- Socios con visión en los resultados, falta actualización de la
gerencia
- Junta de socios poco operativa solo participan los socios
- Área de operaciones y procesos - control interno
- Gestión del conocimiento
- Definición de roles, funciones y estructura organizacional
12
seguridad.
- Tener conocimientos de las
amenazas y riesgos en los
procesos seleccionados.
13
2. LIDERAZGO
14
Figura 3. Organigrama
Junta Directiva.
Departamento: Gerencial
Jefe inmediato: ninguno
Responsabilidad principal: Planear y controlar todas las actividades
administrativas, financieras de la empresa.
Comité de Seguridad.
Responsabilidad: Proponer a la junta Directiva los diferentes mecanismos
de seguridad para mantener segura la información manipulada dentro de la
empresa, también monitorear los riesgos que pueden poner en peligro la
información
Dirección General.
Departamento: gerencial
Jefe inmediato: Junta directiva
Responsabilidad principal: Planear y controlar todas las actividades
administrativas y del SGSI de la empresa. Además de realizar actividades
de mercadeo y supervisión de compras.
CISO(Director general de seguridad).
Responsabilidad: Se encargan de la seguridad y planificación de desastres,
la gestión de continuidad, la respuesta en función a problemas que puedan
surgir , este se encarga de reportar en los comités sugerencias y demás.
Analista.
Responsabilidad: Este debe identificar los posibles riesgos que hayan en
cuanto a los activos de información y en la planta tecnológica , también debe
establecer normas y velar por el cumplimiento de las políticas de la
seguridad.
Infraestructura.
15
Responsabilidad: Es la persona encargada de administrar los servidores, y
todo lo relacionado con infraestructura, como el cableado, verificar que haya
red en todos los equipos, también estar pendiente de los fallos físicos en
cuanto a servidores.
Usuarios.
Responsabilidad: Acatar las políticas creadas por el comité de seguridad, los
usuarios son los que hacen uso de aplicaciones, realizan informes, generan
cuentas, los usuarios son compuestos por todas las áreas de una empresa
que hacen uso de la información de esta misma.
16
3. PLANEACION
3.1. CONTEXTO DE VALORACION DE RIESGOS
En consonancia con la metodologia ́ de Gestión de Riesgos definida en el presente
proyecto, lo primero que se debe realizar al iniciar un proceso de Valoración de
Riesgos es establecer las reglas de juego en cuanto a:
Estructura del informe de valoración de riesgos.
Identificación de Activos.
Escalas para calificar los requerimientos de seguridad de los activos o recursos de
información (disponibilidad, integridad, confidencialidad).
Escala a utilizar para la calificación de la probabilidad que una amenaza ocurra.
Lista de impactos de la institución a ser analizados.
Escala a utilizar para calificar el nivel de impacto que puede generar la ocurrencia
de una amenaza
Escala de medición del riesgo inherente
Escala de medición del riesgo residual
3.1.1 ESTRUCTURA INFORME VALORACION RIESGOS
17
CISO -
Administracion
administracion - Gestion
de seguridad
infraestructura
Administracion Servidores -
Gestion
de servidores infraestructura
Administracion BD -
Gestion IT Gestion
de base de datos instraestructura
Centro de Centro de
Gestion
computo computo
Soporte -
Soporte Tecnico Gestion
infraestructura
Cada uno de los servicios identificados fue dividido en dos tipos de módulos: El
módulo de infraestructura y el módulo de gestión.
Al final de la rama de infraestructura se ubican los recursos tecnológicos
correspondientes. Por la rama de gestión se evalúa la existencia y aplicación de
buenas prácticas relacionadas con: Planeación, Organización, Entrenamiento,
Documentación, Respaldo y Recuperación, Contratos y Control de cambios
concordantes con el respectivo módulo.
La identificación de vulnerabilidades, amenazas y controles se realiza a nivel de
activo o recurso de información, lo que facilita la determinación de impactos a nivel
de módulo, servicio o proceso.
3.1.2 IDENTIFICACION DE ACTIVOS
Debido a que el área de TI se soporta en diferentes servicios, se procedió a
identificar los activos por módulos y servicios con lo cual se garantiza un mejor
entendimiento de la distribución de los mismos.
Los activos identificados se categorizaran en Instalaciones, Hardware, software,
aplicación, datos, red, servicios y personal (Para visualizar los activos Identificados
ver el archivo Analisis_Riesgos_ABC.xlsx en la ficha Identificacion_Activos)
3.1.3 ESCALAS PARA CALIFICAR LOS REQUERIMIENTOS DE SEGURIDAD
Integridad
Confidencialidad
18
Disponibilidad
19
Información de alta sensibilidad que debe ser protegida por su
Crit́ ica relevancia sobre decisiones estratégicas, impacto financiero,
oportunidad de negocio, potencial de fraude o requisitos legales.
Tabla 4: Requerimientos de confidencialidad
3.1.3.3 Requerimientos de seguridad - Disponibilidad
́ que la información
Para calificar los requerimientos de disponibilidad (garantia
puede ser accedida por quien la requiere y cuando lo requiere.) se definió la
siguiente escala:
REQUERIMIENTOS DE DISPONIBILIDAD
Calificación Explicación
Se puede estar sin el activo en funcionamiento máximo 2 horas al
De 0 a 2 horas cabo de la cual se comienzan a materializar riesgos financieros y
operativos.
Se puede estar sin el activo en funcionamiento máximo 4 horas al
Entre 2 y 3:59
cabo del cual se comienzan a materializar riesgos financieros y
horas
operativos.
Se puede estar sin el activo en funcionamiento máximo 8 horas al
Entre 4 a 7:59
cabo de los cuales se comienzan a materializar riesgos
horas
financieros y operativos.
Se puede estar sin el activo en funcionamiento máximo 48 horas
Entre 8 y 47:59
al cabo de la cual se comienzan a materializar riesgos financieros
horas
y operativos.
Se puede estar sin el activo en funcionamiento máximo 1 mes al
Más de 48
cabo del cual se comienzan a materializar riesgos financieros y
horas
operativos.
Tabla 5. Requerimientos de Disponibilidad
3.1.4 AMENAZAS
Las amenazas son eventos inesperados con el potencial para causar daños. Las
amenazas explotan las vulnerabilidades presentes en las tecnologías, las
personas o los procesos. Las amenazas se conocen como causas de riesgos, esto
es, si la amenaza no explota una vulnerabilidad el riesgo no acontece.
́ s:
Las amenazas se presentan agrupadas en las siguientes categoria
20
Como resultado del análisis de riesgos efectuado en el grupo ABC, se
identificaron como principales amenazas las siguientes:
́
Categoria Amenaza Descripción
Ingreso de información errada
Errores de aplicación
Errores humanos
Tareas incompletas / no ejecutadas
Perdida de información
Concentración de información o
Dependencia de permisos en uno o algunos
funcionarios crit́ icos funcionarios, que se convierten en
elementos intocables
Errores Humanos Ingreso de El usuario introduce información que
información errada no es correcta (integra)
Error humano por medio del cual se
Tareas incompletas /
omiten tareas o se hacen de forma
no ejecutadas
incompleta
Ejecución de Ejecución de comandos incorrectos
comandos por desconocimiento o por error
equivocados humano
Exceso de trabajo de funcionarios
Sobrecarga laboral que puede conducirlos a cometer
errores
Fallas de Hardware
Fallas de Software
Fallas de HW, SW o
Fallas en comunicaciones Fallas de
comunicaciones
energía Desempeño deficiente
Obsolescencia Tecnológica
Fallas de Hardware y Malfuncionamiento a nivel de
Software Fallas de HW
hardware
Malfuncionamiento a nivel de
Fallas de SW
software
Fallas de Malfuncionamiento a nivel de
comunicaciones hardware de comunicaciones
Interrupción del suministro de
́
Fallas de energia
energiá eléctrica
Acceso no autorizado Suplantación
Actos
de usuarios Ataque (intrusión) al
Malintencionados Actos
sistema Sabotaje. Robo de
Malintencionados
información Alteración de la
información
21
Actividades que mediante el engaño
a personas se obtiene información
́ social
Ingenieria
que permite acceso a información o
servicios.
Código malicioso o Contaminación de equipos por medio
virus de programas maliciosos.
Terrorismo Actos terroristas, bomba, atentado
Acceso lógico no Acceso a recursos para los cuales no
autorizado tiene atribuciones de acceso
Un usuario utiliza la cuenta de otro
para obtener acceso de forma
Suplantación de
abusiva, Utilización de sesiones
usuarios
abiertas para suplantar al dueño de
la misma
Proceso organizado para tener
Ataques al sistema
acceso abusivo sobre un sistema
Obtener acceso de forma no
Alteración de la
autorizada y modificar datos o
información
información
Hombre en el medio - interceptar las
Interceptación de
comunicaciones entre dos partes y
información
robar información
Acceso fiś ico no Acceder de forma física a activos de
autorizado información
Robo de activos de información
Hurto
como computadores portátiles
Robo de información Hurtar información
Terremoto
Inundación
Desastres Naturales Tsunami
Huracán
Erupciones volcánicas Avalancha
Desastres Naturales Contaminacion
́ Polución del aire o el ambiente
Temperatura o Temperaturas extremas que pueden
humedad extremas ocasionar fallas de equipos
Terremoto Desastre natural
Incendio Amenazas relacionadas con fuego
Obsolescencia La infraestructura de TI no soporta
Fallas en la gestión y tecnológica los requerimientos de capacidad
operación del Servicio no alineado Inexistencia de planes de tecnología
servicio con las necesidades de largo plazo alineados con los
del negocio objetivos del negocio
22
Tabla 6. Amenazas
3.1.5 RIESGOS
Riesgo es el impacto negativo derivado de la explotación de una vulnerabilidad por
una amenaza. A manera de ejemplo:
Vulnerabilidad presente: Se comparten contraseñas con privilegios de
administración Amenaza: Suplantación de usuarios
Riesgos: Fuga de información
Fraude y malversación de fondos
Como resultado del análisis efectuado en el área de TI del Grupo ABC, se
identificaron como principales riesgos de la institución, los siguientes:
Riesgo
Fraude y malversación de fondos
Toma de decisiones erradas
Sanciones
Baja en la moral de la tropa
Deterioro de la imagen pública.
Incumplimiento de tipo legal o contractual
Indisponibilidad colateral de otros servicios
Bajos in ́ dices de transparencia
Pérdida en la efectividad
Retraso en la toma de decisiones
Perjuicio a la relaciones de la Entidad con otros organismos
Perdida de productividad de los empleados
Interrupción del servicio o del negocio
Fuga de información
Tabla 7. Riesgos (Impactos)
Escala de probabilidad
Calificación Explicación Número de incidentes en
el último año
23
B Baja: El evento es 0
teóricamente posible
pero nunca ha ocurrido
en el EN
M- Medio baja: El evento se 1
presentó 1 vez
M Medio: El evento se 2
presentó 2 veces
M+ Media alta: El evento se 3
presentó 3 veces.
A Alta: El evento se Más de 3
presentó más de 3
veces.
Tabla 8. Escala de probabilidad
24
A Cárcel mas Másde8 Entre 0 y Más de 72 Informaci Difusión a
sanción 1:59 horas ón nivel
economica operacion Internacion
al al
25
A M M M+ A A
M+ B M- M M+ A
Probabilidad
M B M- M M+ M+
M- B B M- M M+
B B B M- M M
B M- M M+ A
IMPACTO
Alta
Riesgo extremo, se requiere acción inmediata. Planes de Tratamiento
requeridos, implementados y reportados a los altos mandos
Medio Riesgo alto requiere atención de la alta Dirección. Planes de Tratamiento
Alto requeridos, implementados y reportados a los Lid ́ eres funcionales.
Riesgo moderado, requiere atención del área involucrada, definición de
Media
procedimientos y controles de mitigación.
Medio
Riesgo aceptable – Administrado con procedimientos normales de control
bajo
Riesgo bajo, se administra con procedimientos rutinarios.
BAJA
26
M+ (ha Alto (máximo
Corte de
ocurrido 3 tiempo de Alto.
Servidor suministro Interrupción
veces en los interrupción Requiere atención
de BD de energía del servicio
últimos 2 tolerable de 2 inmediata
eléctrica
años) horas)
M (Medio), Deben
especificarse
responsabilidades
Alto (Se administrativas:
interrumpen la Dirección debe
Centro Terremoto
Interrupción B (No ha servicios de tomar
de – Desastre
del servicio ocurrido) máximo 2 acción sobre los
cómputo Natural
horas de controles necesarios
tolerancia) para mitigar el
impacto de un
posible desastre
natural.
Tabla 12. Ejemplo del cálculo de riesgo inherente
́
Categoria Tipo Explicación Ejemplos de controles Puntaje
Acceso por
Evitan que la amenaza contraseñas
Preventivo 10
Oportunidad se materialice Cifrado de mensajes
Autenticación fuerte
Detectivo ́
Pistas de auditoria 5
27
Alertan sobre Sistemas de
violaciones o intentos detección de intrusos
de violación de la – IDS
polit́ ica de seguridad Dígitos de chequeo
Restauración de
sistemas y datos
Se utilizan para
Plan de recuperación
restaurar recursos de
Correctivo de desastres 3
computación perdidos
o dañados Sistemas automáticos
de extinción de
incendios
Control de acceso
El control se ejecuta biometrico
́
Automático sin intervención 5
humana Acceso por
contraseñas
Grado de Inspección física de
automatización Es requerida la paquetes, bolsos, etc.
intervención humana Entrevistas de
Manual 3
para la ejecución del selección
control Procedimientos de
aprobación
Acceso por
El control se ejecuta contraseñas
Mandatorio 5
siempre Verificación de
antecedentes
Aseguramiento de
Obligatoriedad plataformas
La ejecución del (actualización de
control es potestativa parches,
Discrecional desactivación de 3
de una persona o
grupo de personas puertos y servicios)
Revisión de logs de
acceso
Es la importancia del Acceso por
control para cada contraseñas es
amenaza en particular. relevante para
Esto es, un control es prevenir acceso
Relevancia No aplica 10
indispensable para una lógico no autorizado
amenaza pero puede pero es secundario
ser secundario para para fuga de
contrarrestar otra. información.
28
Cifrado es relevante
para fuga de
información pero
secundario para
prevenir acceso
lógico no autorizado
Notas:
29
El resultado del riesgo residual se obtiene de la combinación del riesgo Inherente y
la efectividad de los controles existentes, con base en la siguiente regla:
A A M+ M M- B
M+ M+ M M M- B
Riesgo Inherente M M M M M- B
M- M- M- B B B
B B B B B B
0- 21- 41- 61- 81-
20% 40% 60% 80% 100%
EFECTIVIDAD DE LOS
CONTROLES
Tabla 15. Escala para determinar el riesgo residual
30
Los Riesgos que se encuentren en una escala inferior se aceptaran y se
verificaran puntualmente para identificar posibles riesgos que deban ser tratados.
31
4. SOPORTE
4.1 RECURSOS
RECURSOS DESCRIPCION QUE HACE
Dar comodida y un
Oficina en las instalaciones del sitio de soporte para
Oficina
cliente, con mesas sillas y cajoneras las expertos en
seguridad
Permite descargr
informacion que los
expertos en seguriad
Internet Internet con velocidad de 15 MB
necesiten para
implementar el plan de
trabajo
Computador de escritorio con las
siguentes especificaciones minimas: Ayuda a desarrollar la
3° generación Intel® Core™ i5- documentacion de una
3210M 2.5 GB forma mas agil, para
Computador
Windows 10 64 bits impementar el SGSI
Hasta 8 GB DDR3- 1600MHz con mas eficiencia y
Disco duro de 2,5" SATA III – [500 eficacia
GB / 750 GB / 1 TB (5400 rpm)]
Se puede plasmar el
plan de control e
Papel Tamaños carta y oficio imprimir toda la
documentacion que se
adelanta
32
Tecnología de Impresión : Sistema
de carga continua de 4 colores
(CMYK).
Gota de tinta : 3 picolitros
Sistema Operativo : Windows XP en
adelante, Mac OS X 10.5.8 en
adelante.
Resolución : Hasta 5760 x 1440 dpi
de resolución
Imprime la
Velocidad de impresió máxima :
documentacion que
Negro 33pm y Color 15ppm
los exertos en
Dimensiones : 44.5 x 30.4 x 16.9 cm
Impresora seguridad van
Peson : 4.9 kg
realizando para la
Escáner : Escáner a color de cama
implementacion del
plana
SGSI
Conectividad : USB 2.0 High Speed,
Wi-Fi (802.11 b/g/n), WiFi direct
Contenido : 1 botella de tinta negra
y 3 botellas de tinta a color (cian,
magenta y amarilla)Cable de
AlimentaciónCable USBGuía rápida
de instalaciónCD con drivers,
manuales, software para edición de
fotos
33
Brillo : 3200 lumens en color y
blanco
Resolución nativa : 800 x 600
(SVGA)
Distancia de proyección : Propiedad
Caracteristica : 30Pulg. - 350Pulg.
[0.88 - 10.44 m] Herramienta que sirve
Distancia focal : 16.7 mm para dar a los
Interfaces : HDMI x 1, D-sub 15 pin empleados
x 1, S-Video Mini DIN x 1 capacitaciondes
Proyector
Parlante : 2 W (Mono) acerca de la
Referencia : V11H719021 seguridad, presentar el
Caracteristica : Proyector, Control proyecto ante la junta
remoto y pilas (dos pilas AA directiva
alcalinas), Cable de alimentación,
Cable VGA para computadora,
Cable USB para computadora, CD
con la documentación del proyector,
CD del software del proyector, Bolso
de transporte
Capacidad 16GB
Herramienta util para
Velocidad 16GB 32GB, 64GB,
transportar la
128GB: 100MB/seg en lectura
informacion de
Dimensiones 60 x 21,2 x 10 mm
USB presentaciones o
Temperatura de operación 32°F a
capacitaciones que se
140°F (0°C a 60°C)
van a realizar en el
Temperatura de almacenamiento -
plantel de trabajo
4°F a 185°F (-20°C a 85°C)
Artefacto utilizado en
capacionees, marcar
Marcadores Tinta negra, roja y azul carpetas o
documentos dentro de
la implementacion
Desarrollar murales
para que los
empleados se
conciencticen de lo
Cartulina Tamaño pliego
importanteque es la
seguridad de la
informacion dentro de
su empresa
Tabla 17. Recursos
34
4.2 Competencias
CISO
Requisitos
Estudios mínimos
Ingeniería Superior - Ingeniero en Informática
Experiencia mínima
Al menos 4 años
Imprescindible residente en
No Requerido
Requisitos mínimos
Nivel de inglés alto (mínimo un C1)
Ciudadanía europea o permiso de trabajo válido en España
B.S. Tecnología de la información, informática o ingeniería con énfasis en
seguridad de la información o experiencia equivalente.
5 a 8 años de experiencia haciendo evaluaciones de seguridad / auditor.
Fuerte conocimiento y seguridad física y seguridad de la información.
Excepcionales habilidades de comunicación, especialmente con problemas
complejos.
Fuertes habilidades analíticas y de observación.
Gran experiencia en la realización de evaluaciones de riesgos y seguridad a gran
escala.
Fuerte comprensión práctica de los estándares internacionales de seguridad.
Fuertes rasgos de liderazgo personal, como la auto-responsabilidad, la gestión de
prioridades y el orgullo por el trabajo.
Cómodo trabajar con hojas de cálculo.
4.3 Conciencia
35
Videos concientizando la gente sobre las
precauciones que debemos tener una vez
Videos
esteos dentro de una mepresa para evitar fuga
de informacion o robo de la misma
4.4 Comuniacion
36
4.5 Informacion documental
Documento Versionamiento
Matriz de Riesgos SGSI-MCS-EXL-001
Documento SGSI SGSI-MCS-DOC-001
Tabla 20. Control de versionamiento
37
5. RESULTADOS
Los resultados de la actividad, riesgos identificados, evaluados y controles
propuestos para su mitigación, se presentan a continuación.
CANTIDAD DE CANTIDAD DE
ACTIVOS ACTIVOS ACTIVOS
CLASIFICADOS RELEVANTES
Software 3 2
Servicios 2 1
Infraestructura 2 1
Información 2 2
Hardware 1 1
TOTAL 10 7
38
Cantidad de riesgos identificados
18% 9%
9%
9%
9% 28%
9% 9%
Robo
Modificaciones no Autorizadas
Indisponibilidad de servicios, Aplicaciones y/o Base de Datos
Sanciones
Fuga de información
Incumplimiento de tipo legal o contractual
Pérdidas Financieras
Interrupción del servicio o del negocio
1 1
1
3
39
De los 11 riesgos, 9 se encuentran en niveles no aceptables: 1 de estos con un
nivel mayor, 3 con un riesgo alto 5 con riesgo moderado, por lo cual deben ser
remediados y 2 riesgos se ubican en niveles aceptables los cuales no requieren
remediación, siempre y cuando sigan existiendo los controles que se identificaron
están aplicados.
Riesgo Inherente
40
5.5 ANALISIS DEL RIESGO RESIDUAL
Riesgo Residual
8
7 7
6
5 5
4 4
3
2 2
1 1 1 1
0
Bajo Menor Moderado Alto Mayor
Para mitigar la ocurrencia o impacto de los riesgos que deben ser tratados, se
identificaron una serie de controles los cuales fueron alineados con los controles
referidos en la norma NTC-ISO/IEC 27001:2013:
41
Los planes de tratamiento de Riesgos deberán indicar los controles a implementar,
los responsables de la implementación, fechas de implementación, nivel de
avance de las actividades entre otros.
42
6. CONCLUSIONES
La valoración de riesgos se realizó sobre los activos de información clasificados
como activos crit́ icos. En total se identificaron 11 activos de la infraestructura
́ administrada, de los cuales 9 se clasificaron como crit́ icos.
tecnologia
43