Matriz de Analisis de Riesgos V3

MATRIZ DE INVENTARIO, CLASIFICACIÓN Y RIESGO DE ACTIVOS DE INFORMACIÓN
FEDERACIÓN COLOMBIANA DE MUNICIPIOS

DIRECCIÓN NACIONAL SIMIT
RESUMEN EJECUTIVO
Clasificación general y Número de activos Clasificación de activos según su valor

Riesgos Activos
Tipo de activo Cantidad
Número de activos de clientes o
Tipo Dato Err:508 Err:508
terceros que deben protegerse
Tipo Aplicación Err:508
Tipo Personal Err:508 Activos de información que deben
Tipo Instalación Err:508 ser restringidos a un número Err:508
Tipo Servicio Err:508 limitado de empleados
Tipo Tecnología Err:508 Número de activos de
Err:508 información que deben ser Err:508
Extremo
restringidos a personas externas
Alto
Clasificación según impacto a la seguridad Activos de información que Medio
pueden ser alterados o
Err:508 Bajo
comprometidos para fraudes o
Leve Err:508 corrupción
Importante Err:508 Número de activos de
Grave Err:508 información que son muy críticos Err:508
para las operaciones internas
Resumen de nivel de riesgo en los activos Número de activos de
información que son muy críticos Err:508
Extremo 0 para el servicio hacia terceros
Alto 0
Medio 0
Bajo 0
Resumen de Valoración de los activos en escala C.C Eficiente
Nombre Riesgo Confidencialidad Integridad Disponibilidad Valor

Err:509 Err:508 Err:508 Err:508 Err:508 Err:508
CIÓN
vos
Extremo
Alto
Medio
Bajo
Valor
Err:508 Actas de Seguimiento a la gestón procesal
Err:508 Actualizaciones SDF
Err:508 Aplicativo SIMIT
Err:508 Archivo de planes de acción (últimos 5 años)
Err:508 Archivos Contabilidad SDF
Err:508 Archivos de Recaudo Externo
Err:508 Archivos Información Contratos Gremiales
Err:508 Backups base de datos simit.
Err:508 Banco de Proyectos (Proyectos)
Err:508 Bancos -Token.
Err:508 Base de datos alcaldes
Err:508 Base de datos de desarrollo.
Err:508 Base de datos de los colaboradores
Err:508 Base de datos de pruebas.
Err:508 Base de Datos Municipios Colombianos
Err:508 Base de datos producción.
Err:508 Bases de datos (sistema de distribución de transferencias)
Err:508 Bases de datos logística y proveedores.
Err:508 Bitacora de Casos SIMIT
Err:508 Bodega de Datos
Err:508 Borrador de resoluciones relacionadas a la planta de personal y cambios de estructura
Err:508 Canal de comunicaciones.
Err:508 Capitulo de Autoridades de Tránsito
Err:508 Carpeta Corrrespondencia DAF
Err:508 Carpeta daf tesorería
Err:508 Carpeta de servicios simit.
Err:508 Carpeta DIR
Err:508 Carpeta eventos organismos de transito
Err:508 Carpeta Presupuesto
Err:508 Carpetas de Gestión documental
Err:508 Certificaciones permanencia de alcaldes
Err:508 Certificaciones.
Err:508 Chip (consolidado de información de la contaduría general de la nación)
Err:508 Comodato
Err:508 Computador institucional
Err:508 Conciliaciones.
Err:508 Consecionarios Públicos Entidades Privadas que operan
Err:508 Consolidación buzón de sugerencias
Err:508 Consolidados de transferencias.
Err:508 Consultas y conceptos
Err:508 Contraloría (Seguimiento)
Err:508 Contratos de concesiones (Documentos de soporte de contratos de Interventoría a concesiones )
Err:508 Contratos de Interventoría (Documentos de soporte de contratos de Interventoría a concesiones )
Err:508 Contratos Interadministrativo
Err:508 Control de Ingreso al edificio de alcaldes y funcionarios públicos (SUPERACCES)
Err:508 Copias de correos a delegados
Err:508 Correo electrónico institucional
Err:508 Cronograma de vencimientos fiscales.
Err:508 Cuadro consolidado de buzón de sugerncias
Err:508 Cuadro de atención de redes sociales Twiter
Err:508 Cuadro de cumpleaños de secretarios de transito
Err:508 Cuadro de reasignación de PQRS a otras áreas Coordinación
Err:508 Cuadro de resultados encuentas de satisfacción
Err:508 Cuadro de seguimiento de atención del usuario presencial y telefónico
Err:508 Cuadro de seguimiento de devoluciones de dinero Coordinación
Err:508 Cuadro de seguimiento de devoluciones de dinero Profesionales
Err:508 Cuadro de seguimiento de PQRS coordinación
Err:508 Cuadro de seguimiento de PQRS profesionales
Err:508 Cuadro de seguimiento de Publicación de PQRS Coordinación
Err:508 Cuadro de seguimiento de Reiteraciones Coordinación
Err:508 Cuentas por pagar Proveedores.
Err:508 Datacenter.
Err:508 Derechos de petición.
Err:508 Directorio de Autoridades de Tránsito
Err:508 Distribucio Recaudo local
Err:508 Documentos de soporte de contratos de Interventoría a concesiones
Err:508 Documentos de Nomina
Err:508 Estadísticas contraloría
Err:508 Estados financieros.
Err:508 Estudios previos contractuales Y Fichas Técnicas.
Err:508 Facturación Clientes.
Err:508 Firewall.
Err:508 Firma digital certicámara
Err:508 Firma digital Dian
Err:508 Firma Escaneadas Directores
Err:508 Fondos de Cobertura
Err:508 Gastos de personal
Err:508 Historia Laboral
Err:508 Informes
Err:508 Informes a Dian
Err:508 Informes contraloría.
Err:508 Informes de Alcaldías
Err:508 Inventario y movimientos de Almacén
Err:508 Inventarios Documentales por dependencia
Err:508 Jefe Administración del Sistema SIMIT
Err:508 Jefe de Asuntos Juridicos Publicos
Err:508 Jefe de Operaciones SIMIT
Err:508 Jefe de Proyectos SIMIT
Err:508 Listas de asistencia de los procesos relacionados a gestión humana (inducciòn, socializaciones, actividades, capacitaciones) FÍSICOS
Err:508 Logística de eventos (FCM - SIMIT).
Err:508 Manuales de operación no concesionada.
Err:508 Mesa de ayuda.
Err:508 Modulo Proyectos SAP
Err:508 Pagos especiales.
Err:508 Planes de acción.
Err:508 Política pública.
Err:508 Portafolio de sevicios SIMIT
Err:508 Portales Empresariales
Err:508 Procedimientos Y Consultas PL/SQL
Err:508 Procesos Contractuales
Err:508 Procesos Judiciales
Err:508 Recaudo Local Información Base de Datos
Err:508 Relación de Informes entregados.
Err:508 Reportes
Err:508 Reportes Dane
Err:508 Reportes y Estadisticas SIMIT
Err:508 Secretaria de hacienda distrital.
Err:508 Seguimiento a Polizas
Err:508 Seguimiento a PQRS
Err:508 Seguimiento de Contratos Gremial
Err:508 Seguimiento Techo Concesionados (Seguimiento de Ingreso a Concesionados)
Err:508 Servicios de Impresión
Err:508 Servidores store wise.
Err:508 SIGECCOM
Err:508 Sistema de información SAP
Err:508 Software de deuda.
Err:508 Software de Distribucion Financiera (SDF).
Err:508 Software gestor de transito (Reporte data nueva)
Err:508 Software Visión empresarial
Err:508 Sofware Gestión documental
Err:508 Solicitud de contrataciòn laboral
Err:508 Solicitud de Pedido y Contrato marco Dígital
Err:508 Soporte a Capacitación
Err:508 Soportes de pago (transferencias).
Err:508 Switch core.
Err:508 Tesorería.
Err:508 Tutelas
Err:508 UPS.
Err:508 VPN site to site.
OBJETIVO
ALCANCE
Nombre de la Empresa:
Sitio web:
CONTEXTO LEGAL
ENFOQUE METODOLOGICO
TRATAMIENTO
Realizar la identificación, análisis y evaluación de los activos y riesgos de seguridad de la información.
Aplica para los activos dela Empresa

[INDIQUE EL NOMBRE DE LA EMPRESA]
[INDIQUE EL SITIO WEB (si existe)]
NTC ISO/IEC 27001 - NTC ISO/IEC 27005 - NTC ISO/IEC 31000
El enfoque de gestión de riesgos a aplicar está basado en la metodología MAGERIT
Se tratarán los riesgos cuyos niveles sean:

[INDIQUE EL NIVEL A TRATAR]
6 a 15 MODERADO (M)
Se aceptarán los riesgos cuyo resultado después de la valoración de riesgos sean:
[INDIQUE EL NIVEL A ACEPTAR]

Eje.
ACEPTABLE
MODERADO
Niveles de aceptación del riesgo (1 a 5 aceptable (A), 6 a 15 moderado (M), 16 a 26 inaceptable(I))
Una vez aplicados los controles se acepta un riesgo de residual en niveles APRECIABLE o IMPORTANTE
Criticidad residual (1 a 4 despreciable (d), 5 a 9 baja (B), 10 a 15 apreciable (a), 16 a 20 importante (i), 21 a 25 crítico
MATRIZ DE INVENTARIO; PR
METODOLOGÍA PAR
PROBABILIDAD DEL RIESGO IMPACTO DEL RIES
Nomenclatura Categoría Valoración Nomenclatura
MA Prácticamente seguro 5 MA
A Probable 4 A
Probabilidad
Impacto
M Posible 3 M
B Poco probable 2 B
MB muy raro 1 MB
RIZ DE INVENTARIO; PROBABILIDAD, IMPACTO Y VALORACIÓN DEL RIESGO DE ACTIVOS DE INFORMACIÓN
METODOLOGÍA PARA LA VALORACIÓN DEL RIESGO EN LOS ACTIVOS DE INFORMACIÓN MAGERIT
IMPACTO DEL RIESGO VALORACIÓN DEL RIESGO
Categoría Valoración MA
Muy Alto 5 A
IMPACTO
Alto 4 M
Medio 3 B
Bajo 2 MB
Muy Bajo 1 RIESGO MB B M A
PROBABILIDAD
RMACIÓN
RIT
VALORACIÓN DEL RIESGO
Nomenclatura Categoría Valoración
MA Critico 21 a 25
A Importante 16 a 20
Valoracion del riesgo
M Apreciable 10 a 15
B Bajo 5a9
MA MB Despreciable 1a4
AD
No.
5 Nombre Entrevistado 5:
Nombre del activo de información

del activo
Proceso propietario
Empresa: [INDIQUE EL NOMBRE DE LA EMPRESA]
DATOS DEL ACTIVO DE INFORMACION
Responsable
[D] DATOS
[K] CLAVES CRIPTOGRAFICAS
[S] SERVICIOS
[SW] SOFTWARE
[HW] EQUIPAMENTO INFORMÁTICO
TIPO
[COM] REDES DE COMUNICACIONES

[Media] SOPORTE DE INFORMACIÓN
[AUX] EQUIPAMENTO AUXILI
[L] INSTALACIONES
[P] PERSONAL
Dimensión Autenticidad(B / M /A / MA/
MB)
Dimensión Trazabilidad (B / M /A / MA/ MB)
Dimensión Confidencilidad
Cargo
Cargo
Cargo
Cargo
Cargo
(B / M /A / MA/ MB)
DIMENSION
Dimensión Integridad
(B / M /A / MA/ MB)
INFORMACIÓN DE LOS ACTIVOS
Dimensión Disponibilidad
(B / M /A / MA/ MB)
¿Es activo de información de terceros o de

SEGÚN METODOLOGIA MAGERIT Y NORMA ISO 27001:2013
MATRIZ DE LEVANTAMIENTO DE INFORMACION DE ACTIVOS
clientes que debe protegerse?

LEVANTAMIENTO DE INFORMACIÓN, INVENTARIO Y CLASIFICACiÓN DE ACTIVOS - SEGURIDAD DE LA INFORMACIÓN
¿Activo de información que debe ser

restringido a un número limitado de
empleados?
ANTAMIENTO DE INFORMACION DE ACTIVOS
OLOGIA MAGERIT Y NORMA ISO 27001:2013
ACiÓN DE ACTIVOS - SEGURIDAD DE LA INFORMACIÓN

Proceso
Proceso
Proceso
Proceso
Proceso
NFORMACIÓN DE LOS ACTIVOS

ATRIBUTOS UBICACIÓN
Activo de información que es muy crítico
Activo de información que es muy crítico

alterado o comprometido para fraudes ó
Activo de información que puede ser
Activo de información que debe ser
restringido a personas externas
para el servicio hacia terceros

para las operaciones internas
Activo de información que en caso
de ser conocido, utilizado o
modificado por alguna persona o
corrupción
sistema sin la debida autorización,

impactaría negativamente a los Físico Electrónico
sistemas y/o procesos de la empresa,
de manera:
Leve Importante Grave

Resumen de Valoración de Riesgos de los Activos
METODOLOGIA DE MAGERI
Nombre Riesgo
1 [www] Página Web CRITICO
2 Ingrese Activo 1 BAJO
METODOLOGIA DE MAGERIT: VALORACION DEL RIESGO - APROBADA POR EL DIRECTOR.
AUTENTICIDAD TRAZABILIDAD CONFIDENCIALIDAD INTEGRIDAD

20 9 25 25
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
9 9 9 9
DISPONIBILIDAD VALOR
25 21 [www] P 21 21
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
9 9 Ingrese 9 9
MATRIZ DE ANALISIS Y TRATAMIENTO DE RIESGOS
SEGÚN METODOLOGIA MAGERIT Y NORMA ISO 27001:2013
EMPRESA:
IDENTIFICACIÓN DE AMENAZAS, VULNERABILIDADES, ANALISIS DE RIESGOS, ESTRATEGIA DE CONTROLES Y PLAN DE TRATAMIENTO A APLICAR
INFORMACIÓN DE LOS ACTIVOS DE INFORMACION
GESTION DE RIESGOS: ANALISIS DE RIESGOS Y TRATAMIENTO DE LOS RIESGOS
Calculo del riesgo neto (Valoracion del riesgo *
Califcación de Gestión (1 control no existe, 2

Criticidad neta (1 a 4 despreciable (d), 5 a 9
Probabilidad de vulneración (1 Muy raro, 2
VALORACIÓN DEL RIESGO DE LOS ACTIVOS
existe pero no efectivo, 3 efectivo pero no

documentado, 4 efectivo y documentado)
poco probable, 3 posible, 4 probable, 5
baja (B), 10 a 15 apreciable (a), 16 a 20

No. De Amenazas y Vulnerabilidades
importante (i), 21 a 25 crítico(C))

probabilidad de vulneración)
practicamente seguro)
Nombre del activo de Amenazas
Activos de Informacion Vulnerabilidades
información Metodologia Magerit
[SW] SOFTWARE 1 [www] Página Web 21 [E1] Errores de los usuarios 5 105 C 1
[S] SERVICIOS 2 Ingrese Activo 1 9 0 D
3 Ingrese Activo 2 9 0 D
el Control aplicado actual
Si la opción es 2 - 3 o 4 Indique
Riesgo residual (riesgo neto dividido entre la
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
105
calificación de gestión)
Criticidad residual (1 a 4 despreciable (d), 5 a 9
D
D
D
D
D
D
D
D
D
D
D
D
D
D
D
D
D
D
baja (B), 10 a 15 apreciable (a), 16 a 20
importante (i), 21 a 25 crítico(C))
I Niveles de aceptación del riesgo (1 a 5
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A aceptable (A), 6 a 15 moderado (M), 16 a 26
inaceptable(I))
Requerimiento Legal
Obligación Contractual
Requerimiento de Negocio
Analisis de Riesgo
Exclusión
Transefr
Aceptar
Mitigar
A6.1.2
Plan de Tratamiento
Si el plan de tratamiento es MITIGAR, Indique el control aplicar a partir de la norma ISO 27001
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
0 D A
FERZAMHER
Plan de Tratamiento
Eliminar
Descripción de la aplicación del control
Orden TIPO Codificacion
A5.1.1
4C
A5.1.2
5C
9C A6.1.1
A6.1.2
10 C
A6.1.3
11 C
A6.1.4
12 C
A6.1.5
13 C
16 C A6.2.1
A6.2.2
17 C
A7.1.1
21 C
A7.1.2
22 C
A7.2.1
25 C
A7.2.2
26 C
A7.2.3
27 C
A7.3.1
30 C
A8.1.1
34 C
A8.1.2
35 C
A8.1.3
36 C
A8.1.4
37 C
40 C A8.2.1
A8.2.2
41 C
A8.2.3
42 C
A8.3.1
45 C
46 C A8.3.2
A8.3.3
47 C
A9.1.1
51 C
A9.1.2
52 C
A9.2.1
55 C
56 C A9.2.2
A9.2.3
57 C
A9.2.4
58 C
A9.2.5
59 C
A9.2.6
60 C
A9.3.1
63 C
A9.4.1
66 C
A9.4.2
67 C
A9.4.3
68 C
A9.4.4
69 C
70 C A9.4.5
A10.1.1
74 C
A10.1.2
75 C
A11.1.1
79 C
A11.1.2
80 C
81 C A11.1.3
A11.1.4
82 C
A11.1.5
83 C
A11.1.6
84 C
A11.2.1
87 C
A11.2.2
88 C
A11.2.3
89 C
A11.2.4
90 C
A11.2.5
91 C
A11.2.6
92 C
A11.2.7
93 C
A11.2.8
94 C
A11.2.9
95 C
A12.1.1
99 C
A12.1.2
100 C
A12.1.3
101 C
A12.1.4
102 C
A12.2.1
105 C
A12.3.1
108 C
A12.4.1
111 C
A12.4.2
112 C
A12.4.3
113 C
A12.4.4
114 C
A12.5.1
117 C
A12.6.1
120 C
A12.6.2
121 C
A12.7.1
124 C
A13.1.1
128 C
A13.1.2
129 C
130 C A13.1.3
A13.2.1
133 C
A13.2.2
134 C
A13.2.3
135 C
A13.2.4
136 C
140 C A.14.1.1
A.14.1.2
141 C
A.14.1.3
142 C
A.14.2.1
145 C
A.14.2.2
146 C
A.14.2.3
147 C
A.14.2.4
148 C
A.14.2.5
149 C
150 C A.14.2.6
A.14.2.7
151 C
A.14.2.8
152 C
A.14.2.9
153 C
A.14.3.1
156 C
A15.1.1
160 C
A15.1.2
161 C
A15.1.3
162 C
A15.2.1
165 C
A15.2.2
166 C
A16.1.1
170 C
A16.1.2
171 C
A16.1.3
172 C
A16.1.4
173 C
A16.1.5
174 C
A16.1.6
175 C
A16.1.7
176 C
A17.1.1
180 C
181 C A17.1.2
A17.1.3
182 C
A17.2.1
185 C
A18.1.1
189 C
A18.1.2
190 C
A18.1.3
191 C
A18.1.4
192 C
A18.1.5
193 C
A18.2.1
196 C
A18.2.2
197 C
A18.2.3
198 C
TITULO
Políticas para la seguridad de la información
Revisión de las políticas para la seguridad de la información.
Roles y responsabilidades para la seguridad de la información

Separación de deberes
Contacto con las autoridades
Contacto con grupos de interés especial
Seguridad de la información en la gestión de proyectos.
Política para dispositivos móviles

Teletrabajo
Selección
Términos y condiciones del empleo
Responsabilidades de la dirección
Toma de conciencia, educación y formación en la seguridad de la
información.
Proceso disciplinario
Terminación o cambio de responsabilidades de empleo
Inventario de activos
Propiedad de los activos
Uso aceptable de los activos
Devolución de activos
Clasificación de la información
Etiquetado de la información
Manejo de activos
Gestión de medio removibles
Disposición de los medios

Transferencia de medios físicos
Política de control de acceso
Acceso a redes y a servicios en red
Registro y cancelación del registro de usuarios
Suministro de acceso de usuarios

Gestión de derechos de acceso privilegiado
Gestión de información de autenticación secreta de usuarios
Revisión de los derechos de acceso de usuarios
Retiro o ajuste de los derechos de acceso
Uso de información de autenticación secreta
Restricción de acceso a la información
Procedimiento de ingreso seguro
Sistema de gestión de contraseñas
Uso de programas utilitarios privilegiados
Control de acceso a códigos fuente de programas

Política sobre el uso de controles criptográficos
Gestión de llaves
Perímetro de seguridad física
Controles de acceso físicos
Seguridad de oficinas, recintos e instalaciones.

Protección contra amenazas externas y ambientales.
Trabajo en áreas seguras.
Áreas de carga, despacho y acceso público
Ubicación y protección de los equipos
Servicios de suministro
Seguridad en el cableado.
Mantenimiento de los equipos.
Retiro de activos
Seguridad de equipos y activos fuera de las instalaciones

Disposición segura o reutilización de equipos
Equipos de usuario desatendido
Política de escritorio limpio y pantalla limpia
Procedimientos de operación documentados
Gestión de cambios
Gestión de capacidad
Separación de los ambientes de desarrollo, pruebas y operación
Controles contra códigos maliciosos
Respaldo de la información
Registro de eventos
Protección de la información de registro
Registros del administrador y del operador

Sincronización de relojes
Instalación de software en sistemas operativos
Gestión de las vulnerabilidades técnicas
Restricciones sobre la instalación de software
Controles de auditorías de sistemas de información
Controles de redes
Seguridad de los servicios

de red
Separación en las redes

Políticas y procedimientos de transferencia de
información
Acuerdos sobre
transferencia de información
Mensajería Electronica
Acuerdos de
confidencialidad o de no divulgación
Análisis y especificación de requisitos de seguridad de la

información
Seguridad de servicios de las aplicaciones en redes públicas
Protección de transaccciones de los servicios de las

aplicaciones.
Política de desarrollo seguro
Procedimientos de control de cambios en sistemas
Revisión técnica de las aplicaciones después de cambios en la

plataforma de operación
Restricciones en los cambios a los paquetes de software
Principio de Construcción de los Sistemas Seguros.
Ambiente de desarrollo seguro

Desarrollo contratado externamente
Pruebas de seguridad de sistemas

Prueba de aceptación de sistemas
Protección de datos de prueba
Política de seguridad de la información para las relaciones con

proveedores
Tratamiento de la seguridad dentro de los acuerdos con

proveedores
Cadena de suministro de tecnología de información y

comunicación
Seguimiento y revisión de los servicios de los proveedores
Gestión del cambio en los servicios de los proveedores
Responsabilidades y procedimientos
Reporte de eventos de seguridad de la información
Reporte de debilidades de seguridad de la información

Evaluación de eventos de seguridad de la información y decisiones
sobre ellos
Respuesta a incidentes de seguridad de la información
Aprendizaje obtenido de los incidentes de seguridad de la

información
Recolección de evidencia
Planificación de la continuidad de la seguridad de la información
Implementación de la continuidad de la seguridad de la

información
Verificación, revisión y evaluación de la continuidad de la
seguridad de la información
Disponibilidad de instalaciones de procesamiento de información
Identificación de la legislación aplicable.
Derechos propiedad intelectual (DPI)

Protección de registros
Privacidad y protección de información de datos personales
Reglamentación de controles criptográficos.
Revisión independiente de la seguridad de la información
Cumplimiento con las políticas y normas de seguridad
Revisión del cumplimiento técnico

Descripción si no JUSTIFICACION
Control: Se debe definir un conjunto de políticas para la
seguridad de la información, aprobada por la dirección,
publicada y comunicada a los empleados y a las partes
externas pertinentes.
Control: Las políticas para la seguridad de la información se

deben revisar a intervalos planificados o si ocurren cambios
significativos, para para asegurar su conveniencia,
adecuación y eficacia continuas.
Control: Se deben definir y asignar todas las

responsabilidades deylaáreas
Control: Los deberes seguridad de la información.
de responsabilidad en conflicto
se deben separar para reducir las posibilidades de
modificación no autorizada o no intencional, o el uso
indebido de los activos de la organización
Control: Se deben mantener contactos apropiados con las

autoridades pertinentes.
Control: Se deben mantener contactos apropiados con
grupos de interés especial u otros foros y asociaciones
profesionales especializadas en seguridad
Control: La seguridad de la información se debe tratar en la

gestión de proyectos, independientemente del tipo de
proyecto.
Control: Se deben adoptar una política y unas medidas de

seguridad
Control: Sede soporte,
deben para gestionar
implementar los riesgos
una política y unas medidas
introducidos
de seguridad de soporte, para protegermóviles.
por el uso de dispositivos la información a la
que se tiene acceso, que es procesada o almacenada en los
lugares en los que se realiza teletrabajo.
Control: Las verificaciones de los antecedentes de todos los

candidatos a un empleo se deben llevar a cabo de acuerdo
con las leyes, reglamentaciones y ética pertinentes y deben
ser proporcionales a los requisitos de negocio, a la
clasificación de la información a que se va a tener acceso y
a los riesgos percibidos.
Control: Los acuerdos contractuales con empleados y

contratistas deben establecer sus responsabilidades y las de
la organización en cuanto a la seguridad de la información.
Control: La dirección debe exigir a todos los empleados y

contratista la aplicación de la seguridad de la información
de acuerdo con las políticas y procedimientos establecidos
por la organización.
Control: Todos los empleados de la organización, y en
donde sea pertinente, los contratistas, deben recibir la
educación y la formación en toma de conciencia apropiada,
y actualizaciones regulares sobre las políticas y
procedimientos de la organización pertinentes para su
cargo.
Control: Se debe contar con un proceso formal, el cual debe

ser comunicado, para emprender acciones contra
empleados que hayan cometido una violación a la
seguridad de la información.
Control: Las responsabilidades y los deberes de seguridad

de la información que permanecen validos después de la
terminación o cambio de empleo de deben definir,
comunicar al empleado o contratista y se deben hacer
cumplir.
Control: Se deben identificar los activos asociados con

información e instalaciones de procesamiento de
información, y se debe elaborar y mantener un inventario
de estos activos.
Control: Los activos mantenidos en el inventario deben

tener un propietario.
Control: Se deben identificar, documentar e implementar
reglas para el uso aceptable de información y de activos
asociados con información e instalaciones de
procesamiento de información.
Control: Todos los empleados y usuarios de partes externas

deben devolver todos los activos de la organización que se
encuentren a su cargo, al terminar su empleo, contrato o
acuerdo.
Control: La información se debe clasificar en función de los

requisitos
Control: Selegales, valor, criticidad
debe desarrollar y susceptibilidad
e implementar a
un conjunto
divulgación o a modificación no autorizada.
adecuado de procedimientos para el etiquetado de la
información, de acuerdo con el esquema de clasificación de
información adoptado por la organización.
Control: Se deben desarrollar e implementar

procedimientos para el manejo de activos, de acuerdo con
el esquema de clasificación de información adoptado por la
organización.
Control: Se deben implementar procedimientos para la

gestión de medio removibles, de acuerdo con el esquema
de clasificación adoptado por la organización.
Control: Se debe disponer en forma segura de los medios

cuando ya no se requieran, utilizando procedimientos
formales.
Control: Los medios que contienen información se deben
proteger contra acceso no autorizado, uso indebido o
corrupción durante el transporte.
Control: Se debe establecer, documentar y revisar una

política de control de acceso con base en los requisitos del
negocio y de la seguridad de la información.
Control: Solo se debe permitir acceso de los usuarios a la

red y a los servicios de red para los que hayan sido
autorizados específicamente.
Control: Se debe implementar un proceso formal de registro

y de cancelación de registro de usuarios, para posibilitar la
asignación de los derechos de acceso.
Control: Se debe implementar un proceso de suministro de

acceso
Control:formal de restringir
Se debe usuarios para asignarlaoasignación
y controlar revocar losy uso de
derechos de acceso para todo
derechos de acceso privilegiado tipo de usuarios para todos
los sistemas y servicios.
Control: La asignación de información de autenticación
secreta se debe controlar por medio de un proceso de
gestión formal.
Control: Los propietarios de los activos deben revisar los

derechos de acceso de los usuarios, a intervalos regulares.
Control: Los derechos de acceso de todos los empleados y

de usuarios externos a la información y a las instalaciones
de procesamiento de información se deben retirar al
terminar su empleo, contrato o acuerdo, o se deben ajustar
cuando se hagan cambios.
Control: Se debe exigir a los usuarios que cumplan las

prácticas de la organización para el uso de información de
autenticación secreta.
Control: El acceso a la información y a las funciones de los

sistemas de las aplicaciones se debe restringir de acuerdo
con la política de control de acceso.
Control: Cuando lo requiere la política de control de acceso,

el acceso a sistemas y aplicaciones se debe controlar
mediante un proceso de ingreso seguro.
Control: Los sistemas de gestión de contraseñas deben ser

interactivos y deben asegurar la calidad de las contraseñas.
Control: Se debe restringir y controlar estrictamente el usos

de programas utilitarios que podrían tener capacidad de
anular el sistema y los controles de las aplicaciones.
Control: Se debe restringir el acceso a los códigos fuente de

los programas.
Control: Se debe desarrollar e implementar una política
sobre el uso de controles criptográficos para la protección
de la información.
Control: Se debe desarrollar e implementar una política

sobre el uso, protección y tiempo de vida de las llaves
criptográficas, durante todo su ciclo de vida.
Control: Se deben definir y usar perímetros de seguridad, y

usarlos para proteger áreas que contengan información
confidencial o critica, e instalaciones de manejo de
información.
Control: Las áreas seguras deben estar protegidas con

controles de acceso apropiados para asegurar que sólo se
permite el acceso a personal autorizado.
Control: Se debe diseñar y aplicar la seguridad física para

oficinas, recintos
Control: Se debenediseñar
instalaciones..
y aplicar protección física contra
desastres naturales, ataques maliciosos o accidentes.
Control: Se deben diseñar y aplicar procedimientos para

trabajo en áreas seguras.
Control: Se deben controlar los puntos de acceso tales
como las áreas de despacho y carga y otros puntos por
donde pueden entrar personas no autorizadas y, si es
posible, aislarlos de las instalaciones de procesamiento de
información para evitar el acceso no autorizado.
Control: Los equipos deben de estar ubicados y protegidos

para reducir los riesgos de amenazas y peligros del entorno,
y las posibilidades de acceso no autorizado.
Control: Los equipos se deben proteger contra fallas de

energía y otras interrupciones causadas por fallas en los
servicios de suministro.
Control: El cableado de energía eléctrica y de

telecomunicaciones que porta datos o brinda soporte a los
servicios de información se debe proteger contra
interceptación, interferencia o daño.
Control: Los equipos se deben mantener correctamente

para asegurar su disponibilidad e integridad continuas.
Control: Los equipos, información o software no se deben

retirar de su sitio sin autorización previa
Control: Se deben aplicar medidas de seguridad a los
activos que se encuentran fuera de las instalaciones de la
organización, teniendo en cuenta los diferentes riesgos de
trabajar fuera de dichas instalaciones.
Control: Se deben verificar todos los elementos de equipos
que contengan medios de almacenamiento para asegurar
que cualquier dato confidencial o software licenciado haya
sido retirado o sobreescrito en forma segura antes de su
disposición o reúso.
Control: Los usuarios deben asegurarse de que a los

equipos desatendidos se les da protección apropiada.
Control: Se debe adoptar una política de escritorio limpio
para los papeles y medios de almacenamiento removibles, y
una política de pantalla limpia en las instalaciones de
procesamiento de información.
Control: Los procedimientos de operación se deben

documentar y poner a disposición de todos los usuarios que
los necesitan.
Control: Se deben controlar los cambios en la organización,

en los procesos de negocio, en las instalaciones y en los
sistemas de procesamiento de información que afectan la
seguridad de la información.
Control: Se debe hacer seguimiento al uso de recursos,

hacer los ajustes, y hacer proyecciones de los requisitos de
capacidad futura, para asegurar el desempeño requerido
del sistema.
Control: Se deben separar los ambientes de desarrollo,

pruebas y operación, para reducir los riesgos de acceso o
cambios no autorizados al ambiente de operación.
Control: Se deben implementar controles de detección, de

prevención y de recuperación, combinados con la toma de
conciencia apropiada de los usuarios, para proteger contra
códigos maliciosos.
Control: Se deben hacer copias de respaldo de la

información, software e imágenes de los sistemas, y
ponerlas a prueba regularmente de acuerdo con una
política de copias de respaldo acordadas.
Control: Se deben elaborar, conservar y revisar

regularmente los registros acerca de actividades del
usuario, excepciones, fallas y eventos de seguridad de la
información.
Control: Las instalaciones y la información de registro se

deben proteger contra alteración y acceso no autorizado.
Control: Las actividades del administrador y del operador

del sistema se deben registrar, y los registros se deben
proteger y revisar con regularidad.
Control: Los relojes de todos los sistemas de procesamiento
de información pertinentes dentro de una organización o
ámbito de seguridad se deben sincronizar con una única
fuente de referencia de tiempo.
Control: Se deben implementar procedimientos para

controlar la instalación de software en sistemas operativos.
Control: Se debe obtener oportunamente información

acerca de las vulnerabilidades técnicas de los sistemas de
información que se usen; evaluar la exposición de la
organización a estas vulnerabilidades, y tomar las medidas
apropiadas para tratar el riesgo asociado.
Control: Se deben establecer e implementar las reglas para

la instalación de software por parte de los usuarios.
Control: Los requisitos y actividades de auditoria que

involucran la verificación de los sistemas operativos se
deben planificar y acordar cuidadosamente para minimizar
las interrupciones en los procesos del negocio.
Control: Las redes se deben gestionar y controlar para

proteger la información en sistemas y aplicaciones.
Control: Se deben identificar los mecanismos de seguridad,

los niveles de servicio y los requisitos de gestión de
todos los servicios de red, e incluirlos en los acuerdos de
servicio de red, ya sea que los servicios se presten
internamente o se contraten externamente.
Control: Los grupos de servicios de información, usuarios

yControl:
sistemas de información
Se debe contar conse políticas,
deben separar en las redes.
procedimientos
y controles de transferencia información formales para
proteger la transferencia de información mediante el
uso de
todo tipo de instalaciones de comunicaciones.
Control: Los acuerdos deben tratar la transferencia

segura de información del negocio entre la organización
y las partes externas.
Control: Se debe proteger adecuadamente la información

incluida en la mensajería electrónica.
Control: Se deben identificar, revisar regularmente y
documentar los requisitos para los acuerdos de
confidencialidad o no divulgación que reflejen las
necesidades de la organización para la protección de la
información.
Control: Los requisitos relacionados con seguridad de la

información se deben incluir
Control: La informacion en los requisitos
involucrada para de
en los servicios
nuevos
las aplicaciones que pasan sobre redes públicas sea los
sistemas de información o para mejoras
sistemas de información
debe proteger existentes.
de actividades fraudulentas, disputas
contractuales y divulgación y modificación no
autorizadas.
Control: La información involucrada en las transacciones de

los servicios de las aplicaciones se deben proteger para
evitar la transmisión incompleta, el enrutamiento errado, la
alteración no autorizada de mensajes, la divulgación no
autorizada, y la duplicación o reproducción de mensajes no
autorizada.
Control: Se debe establecer y aplicar reglas para el

desarrollo de software y de sistemas, a los desarrollos
dentro de la organización.
Control: Los cambios a los sistemas dentro del ciclo de vida

de desarrollo se deben controlar mediante el uso de
procedimientos formales de control de cambios.
Control: Cuando se cambian las plataformas de operación,

se deben revisar las aplicaciones críticas del negocio, y
someter a prueba para asegurar que no haya impacto
adverso en las operaciones o seguridad de la organización.
Control: Se deben desalentar las modificaciones a los

paquetes de software, los cuales se deben limitar a los
cambios necesarios, y todos los cambios se deben controlar
estrictamente.
Control: Se deben establecer, documentar y

mantener principios para la construcción de sistemas
seguros, y aplicarlos a cualquier actividad de
implementación de sistemas de información.
Control: Las organizaciones deben establecer y proteger

adecuadamente los ambientes
Control: La organización de desarrollo
debe supervisar seguros
y hacer
para las actividades de desarrollo e integración
seguimiento de la actividad de desarrollo de sistemas de
sistemas que comprendan
contratados externamente. todo el ciclo de vida de
desarrollo de sistemas.
Control: Durante el desarrollo se deben llevar a cabo
pruebas de funcionalidad de la seguridad.
Control: Para los sistemas de información nuevos,
actualizaciones y nuevas versiones, se deben establecer
programas de prueba para aceptación y criterios de
aceptación relacionados.
Control:Los datos de prueba se deben seleccionar,

proteger y controlar cuidadosamente.
Control: Los requisitos de seguridad de la información para

mitigar los riesgos asociados con el acceso de proveedores a
los activos de la organización se deben acordar con estos y
se deben documentar.
Control: Se deben establecer y acordar todos los requisitos

de seguridad de la información pertinentes con cada
proveedor que pueda tener acceso, procesar, almacenar,
comunicar o suministrar componentes de infraestructura de
TI para la información de la organización.
Control: Los acuerdos con proveedores deben incluir

requisitos para tratar los riesgos de seguridad de la
información asociados con la cadena de suministro de
productos y servicios de tecnología de información y
comunicación.
Control: Las organizaciones deben hacer seguimiento,

revisar y auditar con regularidad la prestación de servicios
de los proveedores.
Control: Se deben gestionar los cambios en el suministro de

servicios por parte de los proveedores, incluido el
mantenimiento y las mejoras de las políticas,
procedimientos y controles de seguridad de la información
existentes, teniendo en cuenta la criticidad de la
información, sistemas y procesos de negocio involucrados, y
la rrevaluación de los riesgos.
Control: Se deben establecer las responsabilidades y

procedimientos de gestión para asegurar una respuesta
rápida, eficaz y ordenada a los incidentes de seguridad de la
información.
Control: Los eventos de seguridad de la información se

deben informar a través de los canales de gestión
apropiados, tan pronto como sea posible.
Control: Se debe exigir a todos los empleados y contratistas

que usan los servicios y sistemas de información de la
organización, que observen y reporten cualquier debilidad
de seguridad de la información observada o sospechada en
los sistemas o servicios.
Control: Los eventos de seguridad de la información se
deben evaluar y se debe decidir si se van a clasificar como
incidentes de seguridad de la información.
Control: Se debe dar respuesta a los incidentes de

seguridad de la información de acuerdo con procedimientos
documentados.
Control: El conocimiento adquirido al analizar y resolver

incidentes de seguridad de la información se debe usar para
reducir la posibilidad o impacto de incidentes futuros.
Control: La organización debe definir y aplicar

procedimientos para la identificación, recolección,
adquisición y preservación de información que pueda servir
como evidencia.
Control: La organización debe determinar sus requisitos

para la seguridad de la información y la continuidad de la
gestión de la seguridad de la información en situaciones
adversas, por ejemplo, durante una crisis o desastre.
Control: La organización debe establecer, documentar,

implementar y mantenerdebe
Control: La organización procesos, procedimientos
verificar y
a intervalos regulares
controles para asegurar el nivel de continuidad
los controles de continuidad de la seguridad de la requerido
para la seguridad
información de la información
establecidos durante con
e implementados, una el
situación
fin de
adversa.
asegurar que son válidos y eficaces durante situaciones
adversas.
Control: Las instalaciones de procesamientos de

información se deben implementar con redundancia
suficiente para cumplir los requisitos de disponibilidad.
Control: Todos los requisitos estatutarios, reglamentarios y

contractuales pertinentes y el enfoque de la organización
para cumplirlos, se deben identificar y documentar
explícitamente y mantenerlos actualizados para cada
sistema de información y para la organización.
Control: Se deben implementar procedimientos apropiados

para asegurar el cumplimiento de los requisitos legislativos,
de reglamentación y contractuales relacionados con los
derechos de propiedad intelectual y el uso de productos de
software patentados.
Control: Los registros se deben proteger contra perdida,
destrucción, falsificación, acceso no autorizado y liberación
no autorizada, de acuerdo con los requisitos legislativos, de
reglamentación, contractuales y de negocio.
Control: Se deben asegurar la privacidad y la protección de

la información de datos personales, como se exige e la
legislación y la reglamentación pertinentes, cuando sea
aplicable.
Control: Se deben usar controles criptográficos, en

cumplimiento de todos los acuerdos, legislación y
reglamentación pertinentes.
Control: El enfoque de la organización para la gestión de la

seguridad de la información y su implementación (es decir
los objetivos de control, los controles, las políticas, los
procesos y los procedimientos para seguridad de la
información), se deben revisar independientemente a
intervalos planificados o cuando ocurran cambios
significativos.
Control: Los directores deben revisar con regularidad el

cumplimiento del procesamiento y procedimientos de
información dentro de su área de responsabilidad, con las
políticas y normas de seguridad apropiadas, y cualquier
otro requisito de seguridad.
Control: Los sistemas de información se deben revisar

periódicamente para determinar el cumplimiento con las
políticas y normas de seguridad de la información.
RL RC RIESGO
APETITO POR EL RIESGO Y ZONAS DE ADMISIBILIDAD
IMPACTO
Insignifcante Menor Moderado
MUY ALTA
ALTA
IMPACTO
MEDIA
BAJA
MUY BAJA
RIESGO MUY BAJA BAJA MEDIA
PROBABILIDAD
E ADMISIBILIDAD
Evaluar riesgo moderado
MPACTO
Mayor Catastrófco
, R1
ALTA MUY ALTA
BABILIDAD
✘ Evaluar 0riesgo moderado
C I A
Insignifcante Menor Moderado Mayor Catastrófco Menor Moderado Mayor Catastrófco Menor Moderado Mayor
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
, R1
A B Insignifcante
D
Catastrófco Moderado Mayor Catastrófco Catastrófco
IMPACTO
a
RIESGO 1
PR
Valor que nutre la matriz
IMPACTO
Menor Moderado Mayor Catastrófco
2 3 4 5
PROBABILIDAD
DIMENSION Probabilidad de vulneración
B Bajo 1 Muy raro
M Medio 2 Poco probable
A Alto 3 Posible
MA Muy Alto 4 Probable
MB Muy Bajo 5 Practicamente serguro
Calificación de Gestión Activos
[D] DATOS
1 Control no Existente
[K] CLAVES CRIPTOGRAFICAS
2 Existe pero no efectivo
[S] SERVICIOS
3 Efectivo pero no documentado
[SW] SOFTWARE
4 Efectivo y documentado
[HW] EQUIPAMENTO INFORMÁTICO
[COM] REDES DE COMUNICACIONES

[Media] SOPORTE DE INFORMACIÓN
[AUX] EQUIPAMENTO AUXILIAR
[L] INSTALACIONES
[P] PERSONAL
1 a 5 ACEPTABLE (A) SI X
6 a 15 MODERADO (M) NO
16 a 26 INACEPTABLE(I)
TIPO AMENAZA
[N] Desastres naturales
[I] De origen industrial
[E] Errores y fallos no intencionados
[A] Ataques intencionados
AMENAZA
[N1] Fuego
[N2] Daños por agua
[N*] Desastres naturales
[I1] Fuego
[I2] Daños por agua
[I*] Desastres industriales
[I3] Contaminación mecánica
[I4] Contaminación electromagnética
[I5] Avería de origen físico o lógico
[I6] Corte del suministro eléctrico
[I7] Condiciones inadecuadas de temperatura o humedad
[I8] Fallo de servicios de comunicaciones
[I9] Interrupción de otros servicios y suministros esenciales
[I10] Degradación de los soportes de almacenamiento de la información
[I11] Emanaciones electromagnéticas
[E1] Errores de los usuarios
[E2] Errores del administrador
[E3] Errores de monitorización (log)
[E4] Errores de configuración
[E7] Deficiencias en la organización
[E8] Difusión de software dañino
[E9] Errores de [re-]encaminamiento
[E10] Errores de secuencia
[E14] Escapes de información
[E15] Alteración accidental de la información
[E18] Destrucción de información
[E19] Fugas de información
[E20] Vulnerabilidades de los programas (software)
[E21] Errores de mantenimiento / actualización de programas (software)
[E23] Errores de mantenimiento / actualización de equipos (hardware)
[E24] Caída del sistema por agotamiento de recursos
[E25] Pérdida de equipos
[E28] Indisponibilidad del personal
[A3] Manipulación de los registros de actividad (log)
[A4] Manipulación de la configuración
[A5] Suplantación de la identidad del usuario
[A6] Abuso de privilegios de acceso
[A7] Uso no previsto
[A8] Difusión de software dañino
[A9] [Re-]encaminamiento de mensajes
[A10] Alteración de secuencia
[A11] Acceso no autorizado
[A12] Análisis de tráfico
[A13] Repudio
[A14] Interceptación de información (escucha)
[A15] Modificación deliberada de la información
[A18] Destrucción de información
[A19] Divulgación de información
[A22] Manipulación de programas
[A23] Manipulación de los equipos
[A24] Denegación de servicio
[A25] Robo
[A26] Ataque destructivo
[A27] Ocupación enemiga
[A28] Indisponibilidad del personal
[A29] Extorsión
[A30] Ingeniería social (picaresca)

Matriz de Analisis de Riesgos V3

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Matriz de Analisis de Riesgos V3

Caricato da

Copyright:

Formati disponibili

MATRIZ DE INVENTARIO, CLASIFICACIÓN Y RIESGO DE ACTIVOS DE INFORMACIÓN

FEDERACIÓN COLOMBIANA DE MUNICIPIOS

Clasificación general y Número de activos Clasificación de activos según su valor

Nombre Riesgo Confidencialidad Integridad Disponibilidad Valor

Aplica para los activos dela Empresa

El enfoque de gestión de riesgos a aplicar está basado en la metodología MAGERIT

Se tratarán los riesgos cuyos niveles sean:

[INDIQUE EL NIVEL A ACEPTAR]

PROBABILIDAD DEL RIESGO IMPACTO DEL RIES

Nomenclatura Categoría Valoración Nomenclatura

METODOLOGÍA PARA LA VALORACIÓN DEL RIESGO EN LOS ACTIVOS DE INFORMACIÓN MAGERIT

IMPACTO DEL RIESGO VALORACIÓN DEL RIESGO

Muy Bajo 1 RIESGO MB B M A

VALORACIÓN DEL RIESGO

Nomenclatura Categoría Valoración

Nombre del activo de información

DATOS DEL ACTIVO DE INFORMACION

[COM] REDES DE COMUNICACIONES

Dimensión Trazabilidad (B / M /A / MA/ MB)

¿Es activo de información de terceros o de

clientes que debe protegerse?

¿Activo de información que debe ser

ACiÓN DE ACTIVOS - SEGURIDAD DE LA INFORMACIÓN

NFORMACIÓN DE LOS ACTIVOS

Activo de información que es muy crítico

Activo de información que es muy crítico

para el servicio hacia terceros

sistema sin la debida autorización,

Leve Importante Grave

AUTENTICIDAD TRAZABILIDAD CONFIDENCIALIDAD INTEGRIDAD

Calculo del riesgo neto (Valoracion del riesgo *

Califcación de Gestión (1 control no existe, 2

existe pero no efectivo, 3 efectivo pero no

baja (B), 10 a 15 apreciable (a), 16 a 20

importante (i), 21 a 25 crítico(C))

Criticidad residual (1 a 4 despreciable (d), 5 a 9

I Niveles de aceptación del riesgo (1 a 5

Revisión de las políticas para la seguridad de la información.

Roles y responsabilidades para la seguridad de la información

Contacto con las autoridades

Contacto con grupos de interés especial

Seguridad de la información en la gestión de proyectos.

Política para dispositivos móviles

Términos y condiciones del empleo

Terminación o cambio de responsabilidades de empleo

Propiedad de los activos

Uso aceptable de los activos

Gestión de medio removibles

Disposición de los medios

Política de control de acceso

Acceso a redes y a servicios en red

Registro y cancelación del registro de usuarios

Suministro de acceso de usuarios

Gestión de información de autenticación secreta de usuarios

Revisión de los derechos de acceso de usuarios

Retiro o ajuste de los derechos de acceso

Uso de información de autenticación secreta

Restricción de acceso a la información

Procedimiento de ingreso seguro

Sistema de gestión de contraseñas

Uso de programas utilitarios privilegiados

Control de acceso a códigos fuente de programas

Perímetro de seguridad física