Ges Consult Or

Asignatura

Datos del alumno

Fecha

Apellidos: ORTEGAMORENO

Análisis de Riesgos Legales

6 de junio de 2016 Nombre: OMAR JOSE

Actividades Trabajo: Gestión del riesgo en una organización Introducción Este trabajo consiste en la realización de la apreciación y tratamiento del riesgo de una organización

de

forma

automatizada,

utilizando

para

ello

la

plataforma

GESCONSULTOR. Como alumno del Máster dispondrás de un usuario y contraseña que te facilitará el acceso a un proyecto de GESCONSULTOR en una instancia Cloud. Una vez finalices el ejercicio deberás subir los resultados a la plataforma de UNIR. Modelo de la organización: Arquitectura empresarial Cuando accedas al proyecto encontrarás ya disponible un modelo parcial de la arquitectura empresarial de un ayuntamiento local. Para modelar la organización, la plataforma GESCONSULTOR ha sido pionera en la utilización estándares de arquitectura empresarial, lo que nos permitirá su modelado 'formal', funcionalidad que utilizaremos en el desarrollo de esta práctica. Además, contaremos con otra ventaja, que será la posibilidad de diseñar el modelo de forma 100% gráfica.

TEMA 1 – Actividades

Asignatura Análisis de Riesgos Legales

Datos del alumno

Fecha

Apellidos: ORTEGAMORENO 6 de junio de 2016 Nombre: OMAR JOSE

Este modelo de arquitectura empresarial puede incluir, conforme a las mejores prácticas internacionales (ver TOGAF1), una descripción de la organización por capas: Capa de negocio: entre otros, una descripción de los servicios de negocio prestados por la compañía o productos comercializados, los procesos de negocio mediante los que se organización presta esos servicios o genera esos productos, así como las partes que contribuyen a la ejecución de esos procesos (roles de negocio, actores de negocio — personas u organizaciones —). Capa de aplicación: los sistemas de información de la compañía, detallando los servicios automatizados que prestan esos sistemas de información (similar a 'funcionalidades' individuales o conjuntos de funcionalidades – 'módulos' disponibles para los usuarios). Capa de tecnología: entre otros, los elementos de la infraestructura de informática/computación y comunicaciones que constituyen esos sistemas de información utilizados por la compañía. La plataforma GESCONSULTOR utilizada permite modelar de forma detallada conceptos de uso habitual como los siguientes: o Servicios software, que son prestados en una IP y Puerto, como, por ejemplo, un servicio de base de datos MySQL corriendo en la IP 192.168.0.1, puerto 3306. o Clúster de alta disponibilidad de servicios (por ejemplo, de motores de bases de datos – como un clúster MySQL compuesto de tres servicios MySQL que corren sobre tres máquinas físicas o virtuales distintas -). o Máquinas físicas o virtuales, generalizándolas en el concepto de host, que tendrá una dirección IP de red asociada, que puede contener servicios software publicados a través de una IP y puerto TCP/UDP. o Infraestructura de virtualización, como hipervisores (como VMWare vFabric o Microsoft Hyper-V), granjas de virtualización, etc. o Infraestructura hardware, sobre la que correrán los host físicos o la infraestructura de virtualización. o Infraestructura de red, permitiendo distinguir aquellos que unen redes físicas (bridges) de los que unen redes lógicas (routers). o Redes, tanto lógicas (como las redes TCP o, a otro nivel de abstracción, las VLAN) como físicas (Ethernet, WiFi, Punto a Punto, etc.). TOGAF 9.1 – Guía de Bolsillo: http://www.vanharen.net/Samplefiles/9789087537104SMPL.pdf TOGAF 9.1 – Documentación oficial: https://www2.opengroup.org/ogsys/catalog/q091 1


Asignatura

Datos del alumno

Fecha




Con carácter transversal, se pueden definir también ubicaciones, que permitirán geo-posicionar especialmente los activos físicos, aunque se permite ubicar geográficamente cualquier tipo de activo en general. También es posible definir grupos que incluirán uno o varios activos y que permitirán llevar en fases posteriores a apreciar los riesgos en general para todo un grupo (como todas las máquinas virtuales), sin necesidad de, por ejemplo, analizar el impacto de un determinado evento sobre cada activo individual en caso de que sea similar. Modelo inicial facilitado Cuando accedas al proyecto encontrarás un modelo de arquitectura empresarial ya parcialmente elaborado de un Ayuntamiento. Su diseño visual será similar al siguiente:

Tramitación expedientes 0 h.

Tramitación expedientes 0 h.

0 h. 0 h.

0 h.

0 h.

0 h.

2 Funcionarios

Expedientes en papel

Técnico informático

0 h.

0 h.

Correo electrónico

0 h.

Conexión a Internet

Almacenamiento en red local

Almacenamiento remoto

Aplicación tramitación exp.

0 h. 0 h.

0 h.

0 h. 0 h.

Sala de servidores 0 h.

0 h.

Oficina


Responsable de la oficina


Datos del alumno Apellidos: ORTEGAMORENO


En el mismo encontrarás los siguientes activos: Servicios de negocio:  Prestados a usuarios externos  o Tramitación de expedientes  Prestados a usuarios internos  o Correo electrónico  o Almacenamiento remoto  o Almacenamiento en red local o Conexión a Internet  Servicios subcontratados Datos  Información de los expedientes Software  Aplicación para la tramitación de expedientes Hardware   4 PCs  1 Servidor – Elementos auxiliares Equipamiento de comunicaciones  Red de área local (LAN)   Firewall Instalaciones   Oficina  Sala de Equipos (Data Center). Personal  Un responsable de la oficina.  Dos funcionarios.  Un informático externo a tiempo parcial.


Fecha

Asignatura

Datos del alumno


Como

puedes

Fecha


apreciar

en

el

esquema

anterior,

tan

importante

es

identificar/inventariar/modelar

los

activos,

como

identificar/inventariar/modelar las relaciones entre los activos. Estas relaciones entre Activos serán las que permiten determinar: 1. Cómo se propagará la criticidad —o valor— del activo a todos aquellos que requiere para el desarrollo de sus funciones (recorriendo las relaciones «hacia abajo», desde el activo cuya criticidad — o valor — ha sido apreciada, a todas sus dependencias «inferiores», directas o indirectas). 2. Cómo se propagará un incidente de seguridad (sobre la confidencialidad, integridad o disponibilidad) que se ha materializado sobre un activo (recorriendo las relaciones »hacia arriba», desde el activo done se ha materializado el evento hacia sus dependencias «superiores»). Sobre estos activos que han sido identificados podremos, posteriormente, identificar escenarios de riesgo, analizarlos (la probabilidad de ocurrencia de unas consecuencias estimadas) y evaluarlos (conforme a los criterios de aceptación del riesgo definidos, para considerar si son aceptables o inaceptables para la organización). Qué debes hacer: desarrollo del trabajo PARTE 1: Completando el modelo de Arquitectura Empresarial El objetivo de la primera parte del trabajo es:



Datos del alumno

Fecha


o Completar el modelo de arquitectura empresarial con un mínimo de (se valorará positivamente que el modelo incorpore hasta 20 nuevos activos): – Dos nuevos activos en la capa de negocio. – Tres nuevos activos en la capa de aplicación. – Cinco nuevos activos en la capa de tecnología. Entrega: Para entregar la actividad deberás adjuntar un documento en formato PDF (preferiblemente) o Word que contenga capturas y una explicación: – Del razonamiento seguido para añadir los activos que hayas determinado. – La criticidad que has definido explícitamente. – Así como las relaciones (como mínimo las creadas entre los nuevos añadidos y los ya existentes).



Datos del alumno

Fecha


Razonamiento seguido para añadir los activos que se han determinado Para el desarrollo del ejercicio se añadieron los activos determinados al esquema anterior teniendo en cuenta las necesidades de conectividad y flujo de información de las dependencias citadas, se tomó como ejemplo un departamento financiero en una empresa que suministra energía eléctrica acoplado a la tramitación de expedientes y los diferentes accesos que esa financiero. De tos pueden tener para la tramitación de expedientes. En la capa de negocio se citaron los diferentes departamentos del sistema financiero, de igual manera los diferentes sistemas de información y aplicaciones a las cuales pueden acceder como proceso de aplicación teniendo en cuenta su perfil de negocio. En cuanto a la capa de tecnología, como respaldo en la protección de los datos cuentan con un servidor de respaldo antes de llegar la información al servidor principal denominado DOCUMENT. En base a la necesidad planteada frente a la tramitación de la información, para este caso la comunidad de usuarios de los diferentes departamentos podrá acceder únicamente a las aplicaciones que tienen asignadas obedeciendo al mínimo privilegio como es el caso del sistema de información SUPER NOVA, para realizar las diferentes tareas activando protocolos necesarios en casos especiales asegurando la integridad y confidencialidad de la aplicación. Criticidad que has definido explícitamente



Datos del alumno

Fecha


Referente a la seguridad de la información Triada de Información

Nivel de Riesgo

Descripción

Confidencialidad

Medio

Aunque la información que contienen

los

activos

referentes a la facturación sin

la

presencia

de

información del sistema de facturación esta no es de gran valor. Es importante tener en cuenta

que

información índole

esta

no

pública

es ni

de debe

estar accesible a personal no autorizado. La

información

almacenada

en

aplicación consignaciones confidencial,


la de

no

es

puede

ser


Datos del alumno

Fecha


vista por usuarios externos sin que esto quiera decir que puede ser de acceso al publico Integridad

Alto

La información contenida por la aplicación es de suma

importancia

para

procesos de auditoria, su almacenamiento

debe

asegurar que el archivo no sufra cambios con el paso del tiempo. La información contenida por

la

aplicación

de

consignaciones es de suma importancia para realiza procesos

de

mantenimiento importantes en los cuales interviene humano


el

factor


Disponibilidad

Datos del alumno

Fecha


Medio

En

caso

de

información

que no

la esté

disponible de un momento a

otro

la

detendrá

empresa procesos

facturación

ni

no de

servicio,

pero si se verá obstruida en proceso de auditoría que retrasaran la solución a conflictos

con

terceros

llevando incluso a solicitar de nuevo la información al banco,

la cual solo el

último mes está disponible de

manera

automática,

para solicitar información de

tiempo

deberá

anterior

realizar

se una

solicitud formal al banco y esperar su respuesta.



Datos del alumno

Fecha


En

caso

de

información

que de

aplicación consignaciones

la la de

no

esté

disponible de un momento a otro la empresa se verá sometida a un colapso en sus

procesos

de

mantenimiento preventivo y correctivo alrededor de un día, hasta poner en funcionamiento un modelo manual.

Relaciones añadidas.



Datos del alumno

Fecha


Como se mencionó anteriormente se adaptó el diagrama expuesto en lo posible a un sistema financiero. Al diagrama expuesto inicialmente se le agregaron las relaciones: Como capa de negocio se agrega un Sistema Financiero, acompañado por los departamentos de Financiera, Control interno, Gerencia, Pérdidas, Cartera, Facturación, Matriculas. Cada uno de estos con su correspondiente puesto de trabajo.

Se agregan como capa de aplicaciones los servicios de sistemas de información Almacenamiento de red local y Tramitación de expedientes como gestión hacia la tramitación de expedientes a través de un sistema de información denominad SÚPER NOVA la cual será



Datos del alumno

Fecha


manejada de acuerdo a su mínimo privilegio por los diferentes departamentos la cual cuenta con su Servidor de respaldo antes de llegar al servidor principal al cual se ha denominado DOCUMENT. Este último es enlazado al proceso de tramitación y tramitación de expedientes.



Datos del alumno

Fecha


Los diferentes departamentos del sistema financiero también pueden acceder al servidor principal DOCUMENT a través de un Servidor de almacenamiento remoto y el sistema de información de Almacenamiento Remoto así como también de Correo Electrónico que cuenta con un servidor de respaldo.



Datos del alumno

Fecha


Del modelo inicial se toma también el equipo técnico en sistemas como soporte a la red y medios tecnológicos del sistema financiero de igual manera realizan el monitoreo y control de acceso a internet a través del Departamento de sistemas, los cuales también tienen acceso servidor principal DOCUMENT, y como alternativa de acceso al mismo al servidor de almacenamiento remoto como acceso al proceso de tramitación y tramitación de expedientes.

De igual manera se ha dispuesto de una función de negocio denominada Bancos, con un Responsable y Funcionarios, está asociado al sistema de información denominado Software de consignaciones, así como también de Correo Electrónico junto sus correspondientes servidores de respaldo, como acceso al proceso de tramitación y tramitación de expedientes.



Datos del alumno

Fecha


De igual manera se suma un responsable del contac center el cual tiene acceso al sistema de información de SÚPER NOVA y Correo Electrónico



Datos del alumno

Fecha


Por ultimo tenemos una sala de CPD donde se encuentran cada uno de los servidores citados. Junto a un sistema de refrigeración y protección contra incendios



Datos del alumno

Fecha


Valoración B.I.A

Negocio

Legal

Estatutario

Regulatorio


Confidencialidad Existe un dato sensible que hay que proteger y es la clave de encriptación. La clave puede/debe viajar por la red, pudiendo ser capturada mediante herramientas diseñadas para ello. Si se produce esta situación, la confidencialidad de la operación realizada (sea bancaria, administrativa o de cualquier tipo) queda comprometida. En las organizaciones donde es aplicada la tendencia BOYD (Trae tu propio dispositivo) tiene el potencial de ahorrar costos y mejorar la satisfacción del usuario final, Desde una perspectiva jurídica, muchas cuestiones legales BYOD no tienen resoluciones. Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información que se encuentre en la red, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento.

Integridad Aunque no dañe directamente los sistemas informáticos, un tercero que consiguiera obtener de forma indebida información puede causar perjuicio importante al ser modificados.

Disponibilidad Adopción de medidas que permitan prevenir interrupciones no autorizadas/controladas de los recursos informáticos

Adopción de medidas que la integridad como es la firma digital la cual es uno de los pilares fundamentales de la seguridad de la información.

No tener acceso o disponibilidad a la información cuando sea necesaria

El contenido de los activos de información debe permanecer inalterado y completo. Las modificaciones realizadas deben ser registradas asegurándola confidencialidad

Los activos de la información solo pueden ser obtenidos a corto plazo por los usuarios que tengan los permisos adecuados


Contractual

Datos del alumno Apellidos: ORTEGAMORENO


Todo personal de la organización asociado de manera contractual debe garantizar la confidencialidad de la información, incluyendo el software asociado en la dependencia a la cual se encuentre adscrito, el nivel de tareas que desempeñe y perfil de uso de recursos de la información. La misma instancia es aplicada a compañías de soporte informático externas que se encuentren vinculadas a la organización de manera contractual

Muy Bajo Bajo Medio Alto Muy Alto


Fecha

Todo personal de la organización asociado de manera contractual debe garantizar la integridad de la información, incluyendo el software asociado en la dependencia a la cual se encuentre adscrito, el nivel de tareas que desempeñe y perfil de uso de recursos de la información. La misma instancia es aplicada a compañías de soporte informático externas que se encuentren vinculadas a la organización de manera contractual

Todo personal de la organización asociado de manera contractual debe garantizar la disponibilidad de la información, incluyendo el software asociado en la dependencia a la cual se encuentre adscrito, el nivel de tareas que desempeñe y perfil de uso de recursos de la información La misma instancia es aplicada a compañías de soporte informático externas que se encuentren vinculadas a la organización de manera contractual



Datos del alumno

Fecha


Asignatura

Datos del alumno


Fecha


PARTE 2: Realizando la apreciación y tratamiento del riesgo Realizar, utilizando los activos, sus criticidades y las relaciones entre los mismos: Identificar al menos diez escenarios de riesgo (se valorará positivamente la identificación de hasta veinte escenarios de riesgo). Analizar los escenarios de riesgo identificados (estimando la probabilidad de que se materialicen las consecuencias apreciadas).

(Servicio de Sistema de Información) Almacenamiento red local EVENTO A.12 - Ataques deliberados: Análisis de tráfico

FRECUENCIA CON INT DIS Muy Baja 30% - 70% 30% - 70% 70% - 100%

EVENTO FRECUENCIA CON A.05.01 - Ataques deliberados: Suplantación de la identidad Media 0% - 30% del usuario: Por personal interno EVENTO A.08 - Ataques deliberados: Difusión de software dañino

INT 0% - 30%

DIS 0%


RIESGO 3 RIESGO 2

RIESGO 2

(Servicio de Sistema de Información) Almacenamiento Remoto EVENTO A.26.03 - Ataques deliberados: Ataque destructivo: Terrorismo

FRECUENCIA Muy Baja

CON 100%

INT 100%

DIS 100%

RIESGO 4

EVENTO

FRECUENCIA

CON

INT

DIS

RIESGO


Asignatura

Datos del alumno


Fecha


A.12 - Ataques deliberados: Análisis de tráfico

Baja

30% - 70% 0% - 30% 70% - 100%

EVENTO FRECUENCIA CON INT A.05.03 - Ataques deliberados: Suplantación de la identidad Muy Baja 30% - 70% 0% - 30% del usuario: Por personas externas

4

DIS 0%

RIESGO 2

INT 0% - 30%

DIS 100%

RIESGO 4

CON 100%

INT 100%

DIS 0% - 30%

RIESGO 6

CON 100%

INT 30% - 70%

DIS 0%

RIESGO 6

CON 100%

INT 30% - 70%

DIS 0%

RIESGO 6

(Función de Negocio) Bancos EVENTO FRECUENCIA CON A.26.02 - Ataques deliberados: Ataque destructivo: Bombas Muy Baja 0% - 30% EVENTO FRECUENCIA A.16 - Ataques deliberados: Introducción de falsa información Media

(Posición/Cargo) Control Interno

EVENTO FRECUENCIA A.30.02 - Ataques deliberados: Ingeniería social (picaresca): Media Ataque desde el interior EVENTO A.30 - Ataques deliberados: Ingeniería social (picaresca)

FRECUENCIA Media

(Servicio de Sistema de Información) Correo electronico EVENTO FRECUENCIA CON A.08.00 - Ataques deliberados: Difusión de software dañino: Alta 0% - 30% Gusanos


INT DIS 0% - 30% 70% - 100%

RIESGO 6


Datos del alumno

Fecha


EVENTO FRECUENCIA CON INT DIS A.05.03 - Ataques deliberados: Suplantación de la identidad Alta 70% - 100% 70% - 100% 70% - 100% del usuario: Por personas externas

RIESGO 6

(Servidor) DOCUMENT EVENTO A.14 - Ataques deliberados: Interceptación de información (escucha)

FRECUENCIA CON INT Baja 30% - 70% 30% - 70%

DIS 0%

RIESGO 3

EVENTO FRECUENCIA CON INT DIS A.03 - Ataques deliberados: Manipulación de los registros de Baja 30% - 70% 30% - 70% 0% - 30% actividad (log)

RIESGO 3

EVENTO FRECUENCIA A.06 - Ataques deliberados: Abuso de privilegios de acceso Media

CON 100%

INT 100%

DIS 0%

RIESGO 6

CON 100%

INT 100%

DIS 0% - 30%

RIESGO 4

DIS 100%

RIESGO

(Puesto de Trabajo) Funcionario Banco EVENTO A.29.01 - Ataques deliberados: Extorsión: Ataque desde el exterior

FRECUENCIA Muy Baja

(Sistema de Protección Contra Incendios) Sistema de protección contra incendios EVENTO A.26.01 - Ataques deliberados: Ataque destructivo: Vandalismo


FRECUENCIA Muy Baja

CON 0%

INT 0%


Datos del alumno

Fecha


(Sistema de Refrigeración) Sistema de refrigeración EVENTO A.26.01 - Ataques deliberados: Ataque destructivo: Vandalismo

FRECUENCIA Muy Baja

CON 0%

INT 0%

DIS 100%

RIESGO

DIS 0%

RIESGO 3

(Servidor) Super Nova EVENTO FRECUENCIA CON INT A.03 - Ataques deliberados: Manipulación de los registros de Baja 30% - 70% 30% - 70% actividad (log) EVENTO A.14 - Ataques deliberados: Interceptación de información (escucha)

FRECUENCIA CON INT DIS Baja 30% - 70% 30% - 70% 0% - 30%

EVENTO FRECUENCIA A.06 - Ataques deliberados: Abuso de privilegios de acceso Media

RIESGO 3

CON 100%

INT 100%

DIS 0%

RIESGO 6

CON 100%

INT 100%

DIS 0%

RIESGO 6


DIS 0%

RIESGO 4

FRECUENCIA Baja

DIS 0%

RIESGO 5

(Servicio de Sistema de Información) Tramitación de expedientes EVENTO FRECUENCIA A.06 - Ataques deliberados: Abuso de privilegios de acceso Media EVENTO A.11 - Ataques deliberados: Acceso no autorizado EVENTO A.19 - Ataques deliberados: Divulgación de información


CON 100%

INT 100%


Datos del alumno

Fecha


Analizar los escenarios de riesgo identificados (estimando la probabilidad de que se materialicen las consecuencias apreciadas). Se encuentran en el archivo adjunto a la actividad (Escenarios de Riesgo Identificados) Documentar los criterios de aceptación del riesgo que se han considerado: Nivel máximo de riesgo considerado directamente como aceptable.

Nivel mínimo de riesgo considerado directamente como inaceptable.

Indicar criterios de evaluación adicionales que se hayan considerado: Cisnes negros (probabilidad muy escasa pero consecuencias muy elevadas).

Otros criterios de negocio (por ejemplo, pérdidas estimadas superiores a un importe, pérdida de vidas humanas, protestas de la ciudadanía, etc.).



Datos del alumno

Fecha


d. Evaluar los escenarios de riesgo conforme a los criterios de aceptación del riesgo que definamos (clasificándolos en aceptables e inaceptables. Se valorará negativamente que haya riesgos en la franja de tolerables — aquellos que se encuentran entre el nivel máximo aceptable y el nivel mínimo inaceptable).

EVALUACION DE RIESGOS INICIAL TENIENDO EN CUENTA LOS RIESGOS TOLERABLES Se toma como base el ejemplo dado en clase. Riesgos con nivel de 6 o superior es inaceptable Elementos que generen un impacto alto aunque su probabilidad sea ínfima será inaceptable Riesgos con nivel 3 o inferior son ampliamente aceptables




Datos del alumno

Fecha



Datos del alumno

Fecha


UBICACIÓN DE RIESGOS TOLERABLES EN INACEPTABLES O ACEPTABLES



Datos del alumno

Fecha


EVALUACION DE RIESGOS LUEGO DE ESTABLECER CONTROLES A LOS RIESGOS TOLERABLES Y UBICARLOS EN ACEPTABLES.




Datos del alumno

Fecha




Datos del alumno

Fecha


Asignatura

Datos del alumno

Fecha




Tratar TODOS los riesgos considerados como inaceptables:

(Servicio de Sistema de Información) Almacenamiento red local EVENTO A.12 - Ataques deliberados: Análisis de tráfico

OPCIÓN DE TRATAMIENTO Modificación del Riesgo

Modificación del Riesgo




REGIÓN Ampliamente Aceptable


RIESGO 3

TRATAMIENTO Control: '05.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Políticas de seguridad de la información: Dirección de la gestión de la seguridad de la información: Políticas de seguridad de la información'. Operación: 'In Control: '06.2.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Organización de la seguridad de la información: Dispositivos móviles y teletrabajo: Teletrabajo'. Operación: 'Introducción' Control: '07.2.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad ligada a los recursos humanos: Durante el empleo: Concienciación, formación y capacitación en seguridad de la información'. Operación: 'Introducción Control: '08.2.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Gestión de activos: Clasificación de la información: Marcado de la información'. Operación: 'Introducción' Control: '09.1.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Requisitos de negocio para el control de acceso: Acceso a redes y servicios en red'. Operación: 'Introducción'

EVENTO A.05.01 - Ataques deliberados: Suplantación de la identidad del usuario: Por personal interno OPCIÓN DE TRATAMIENTO



FRECUENCIA CON Media 0% - 30%

TRATAMIENTO

INT 0% - 30%

DIS 0%

RIESGO 2

Asignatura

Datos del alumno

Fecha



6 de junio de 2016 Nombre: OMAR JOSE Modificación del Riesgo





Control: '09.4.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Control de acceso al sistema y a las aplicaciones: Gestión de las contraseñas de usuario'. Operación: 'Introducción' Control: '11.2.3.comms - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Control de acceso al sistema y a las aplicaciones: Gestión de las contraseñas de usuario: contraseñas de acceso a los servicios de co Control: '11.2.3.services - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Control de acceso al sistema y a las aplicaciones: Gestión de las contraseñas de usuario: contraseñas de acceso a los servicios'. Control: '11.2.3.sw - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Control de acceso al sistema y a las aplicaciones: Gestión de las contraseñas de usuario: contraseñas de acceso a las aplicaciones'. Ope Control: '09.1.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Requisitos de negocio para el control de acceso: Acceso a redes y servicios en red'. Operación: 'Introducción'

EVENTO A.08 - Ataques deliberados: Difusión de software dañino

OPCIÓN DE TRATAMIENTO Modificación del Riesgo Modificación del Riesgo







TRATAMIENTO Control: '05 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Políticas de seguridad de la información'. Operación: 'Introducción' Control: '09.1.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Requisitos de negocio para el control de acceso: Acceso a redes y servicios en red'. Operación: 'Introducción' Control: '09.2.5 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Gestión del acceso de usuario: Revisión de derechos de acceso de usuario'. Operación: 'Introducción' Control: '12.5.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Gestión de operaciones: Control del software en explotación: Instalación de software en sistemas operacionales'. Operación: 'Introducción' Control: '12.6.2 - Código de buenas prácticas para la Gestión de la Seguridad de la

RIESGO 2

Asignatura

Datos del alumno

Fecha



6 de junio de 2016 Nombre: OMAR JOSE Información: Gestión de operaciones: Gestión de las vulnerabilidades técnicas: Restricciones a la instalación de software'. Operación: 'Introducción' Control: '14.2.7 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Adquisición, desarrollo y mantenimiento de los sistemas: Seguridad en los procesos de desarrollo y soporte: Externalización del desarrollo de software'. Opera


(Servicio de Sistema de Información) Almacenamiento Remoto EVENTO A.26.03 - Ataques deliberados: Ataque destructivo: Terrorismo OPCIÓN DE TRATAMIENTO Modificación del Riesgo




EVENTO A.12 - Ataques deliberados: Análisis de tráfico



REGIÓN Inaceptable

FRECUENCIA Muy Baja

CON 100%

INT 100%

DIS 100%

RIESGO 4

TRATAMIENTO Control: '06.1.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Organización de la seguridad de la información: Organización interna: Contacto con las autoridades'. Operación: 'Introducción' Control: '07.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad ligada a los recursos humanos: Antes del empleo: Investigación de antecedentes'. Operación: 'Introducción' Control: '07.2.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad ligada a los recursos humanos: Durante el empleo: Proceso disciplinario'. Operación: 'Introducción' Control: '07.3.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad ligada a los recursos humanos: Cese del empleo o cambio de puesto de trabajo: Terminación o cambio de responsabilidades laborales'. Operación: 'Intr REGIÓN Ampliamente Aceptable

FRECUENCIA Baja

CON 0%

INT 0%

DIS 0%

TRATAMIENTO Control: '05.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Políticas de seguridad de la información: Dirección de la gestión de la

RIESGO 1

Asignatura

Datos del alumno

Fecha







seguridad de la información: Políticas de seguridad de la información'. Operación: 'In Control: '09.1.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Requisitos de negocio para el control de acceso: Acceso a redes y servicios en red'. Operación: 'Introducción' Control: '05.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Políticas de seguridad de la información: Dirección de la gestión de la seguridad de la información: Políticas de seguridad de la información'. Operación: 'In Control: '09.1.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Requisitos de negocio para el control de acceso: Acceso a redes y servicios en red'. Operación: 'Introducción'

EVENTO A.05.03 - Ataques deliberados: Suplantación de la identidad del usuario: Por personas externas OPCIÓN DE TRATAMIENTO Modificación del Riesgo





(Función de Negocio) Bancos



FRECUENCIA CON INT Muy Baja 30% - 70% 0% - 30%

DIS 0%

TRATAMIENTO Control: '15.2.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Relaciones con proveedores: Gestión de servicios prestados por terceros: Gestión del cambio en los servicios prestados por terceros'. Operación: 'Introducción Control: '14.1.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Adquisición, desarrollo y mantenimiento de los sistemas: Requisitos de seguridad de los sistemas de información: Aseguramiento de servicios y aplicaciones en Control: '15.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Relaciones con proveedores: Gestión de servicios prestados por terceros'. Operación: 'Introducción' Control: '05.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Políticas de seguridad de la información: Dirección de la gestión de la seguridad de la información: Políticas de seguridad de la información'. Operación: 'In Control: '06.1.4 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Organización de la seguridad de la información: Organización interna: Contacto con grupos de especial interés'. Operación: 'Introducción'

RIESGO 2

Asignatura

Datos del alumno

Fecha




EVENTO A.26.02 - Ataques deliberados: Ataque destructivo: Bombas









FRECUENCIA Muy Baja

CON 0%

INT 0%

DIS 0%

RIESGO 0

TRATAMIENTO Control: '06.1.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Organización de la seguridad de la información: Organización interna: Contacto con las autoridades'. Operación: 'Introducción' Control: '07.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad ligada a los recursos humanos: Antes del empleo'. Operación: 'Introducción' Control: '07.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad ligada a los recursos humanos: Antes del empleo: Investigación de antecedentes'. Operación: 'Introducción'

EVENTO A.16 - Ataques deliberados: Introducción de falsa información OPCIÓN DE TRATAMIENTO Modificación del Riesgo


REGIÓN Inaceptable

FRECUENCIA Media

CON 100%

INT 100%

DIS 0% - 30%

TRATAMIENTO Control: '06.2.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Organización de la seguridad de la información: Dispositivos móviles y teletrabajo: Teletrabajo'. Operación: 'Introducción' Control: '09.2.4 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Gestión del acceso de usuario: Gestión de la información secreta de autenticación de usuarios'. Operación: 'Introducción' Control: '12.2.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Gestión de operaciones: Protección contra el código malicioso: Controles contra el código malicioso'. Operación: 'Introducción' Control: '13.2.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad de las comunicaciones: Transferencia de información: Políticas y procedimientos de transferencia de información'. Operación: 'Introducción' Control: '13.2.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad de las comunicaciones: Transferencia de información: Mensajería

RIESGO 6

Asignatura

Datos del alumno

Fecha



6 de junio de 2016 Nombre: OMAR JOSE electrónica'. Operación: 'Introducción'

(Posición/Cargo) Control Interno EVENTO A.30.02 - Ataques deliberados: Ingeniería social (picaresca): Ataque desde el interior OPCIÓN DE TRATAMIENTO Modificación del Riesgo


Modificación del Riesgo Modificación del Riesgo




FRECUENCIA Media

CON 100%

INT 30% - 70%

DIS 0%

RIESGO 6

TRATAMIENTO Control: '06.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Organización de la seguridad de la información: Dispositivos móviles y teletrabajo'. Operación: 'Introducción' Control: '06.2.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Organización de la seguridad de la información: Dispositivos móviles y teletrabajo: Política de dispositivos móviles'. Operación: 'Introducción' Control: '05 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Políticas de seguridad de la información'. Operación: 'Introducción' Control: '13.2.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad de las comunicaciones: Transferencia de información: Mensajería electrónica'. Operación: 'Introducción' Control: '13.2.4 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad de las comunicaciones: Transferencia de información: Acuerdos de confidencialidad o no divulgación'. Operación: 'Introducción'

EVENTO A.30 - Ataques deliberados: Ingeniería social (picaresca) OPCIÓN DE TRATAMIENTO Modificación del Riesgo

REGIÓN Inaceptable

REGIÓN Inaceptable

FRECUENCIA Media

CON 100%

INT 30% - 70%

DIS 0%

TRATAMIENTO Control: '07.2.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad ligada a los recursos humanos: Durante el empleo: Concienciación, formación y capacitación en seguridad de la información'. Operación: 'Introducción Control: '13.2.3 - Código de buenas prácticas para la Gestión de la Seguridad de la

RIESGO 6

Asignatura

Datos del alumno

Fecha







Información: Seguridad de las comunicaciones: Transferencia de información: Mensajería electrónica'. Operación: 'Introducción' Control: '18.1.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Cumplimiento: Cumplimiento de los requisitos legales y contractuales: Protección de los documentos de la organización'. Operación: 'Introducción' Control: '13.2.4 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad de las comunicaciones: Transferencia de información: Acuerdos de confidencialidad o no divulgación'. Operación: 'Introducción' Control: '05.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Políticas de seguridad de la información: Dirección de la gestión de la seguridad de la información: Políticas de seguridad de la información'. Operación: 'In

(Servicio de Sistema de Información) Correo electronico EVENTO A.08.00 - Ataques deliberados: Difusión de software dañino: Gusanos OPCIÓN DE TRATAMIENTO Modificación del Riesgo






REGIÓN Inaceptable

FRECUENCIA CON Alta 0% - 30%

INT DIS 0% - 30% 70% - 100%

TRATAMIENTO Control: '09.4.5 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Control de acceso al sistema y a las aplicaciones: Control de acceso al código fuente de los programas'. Operación: 'Introducción' Control: '12.1.1.sw - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Adquisición, desarrollo y mantenimiento de los sistemas: Requisitos de seguridad de los sistemas de información: Análisis y especificación de los requisito Control: '12.6.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Gestión de operaciones: Gestión de las vulnerabilidades técnicas: Restricciones a la instalación de software'. Operación: 'Introducción' Control: '14.2.4 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Adquisición, desarrollo y mantenimiento de los sistemas: Seguridad en los procesos de desarrollo y soporte: Restricciones a los cambios en los paquetes de sof Control: '14.2.7 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Adquisición, desarrollo y mantenimiento de los sistemas: Seguridad en los procesos de desarrollo y soporte: Externalización del desarrollo de software'. Opera

RIESGO 6

Asignatura

Datos del alumno

Fecha




EVENTO A.05.03 - Ataques deliberados: Suplantación de la identidad del usuario: Por personas externas OPCIÓN DE TRATAMIENTO Modificación del Riesgo





REGIÓN Inaceptable

FRECUENCIA CON INT DIS Alta 70% - 100% 70% - 100% 70% - 100%

RIESGO 6

TRATAMIENTO Control: '13.2.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad de las comunicaciones: Transferencia de información: Mensajería electrónica'. Operación: 'Introducción' Control: '09.4.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Control de acceso al sistema y a las aplicaciones: Gestión de las contraseñas de usuario'. Operación: 'Introducción' Control: '11.2.3.comms - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Control de acceso al sistema y a las aplicaciones: Gestión de las contraseñas de usuario: contraseñas de acceso a los servicios de co Control: '06.2.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Organización de la seguridad de la información: Dispositivos móviles y teletrabajo: Política de dispositivos móviles'. Operación: 'Introducción' Control: '07.2.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad ligada a los recursos humanos: Durante el empleo: Concienciación, formación y capacitación en seguridad de la información'. Operación: 'Introducción

(Servidor) DOCUMENT EVENTO A.14 - Ataques deliberados: Interceptación de información (escucha) OPCIÓN DE TRATAMIENTO Modificación del Riesgo





DIS 0%

TRATAMIENTO Control: '13.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad de las comunicaciones: Gestión de la seguridad de las redes: Controles de red'. Operación: 'Introducción' Control: '13.1.3 - Código de buenas prácticas para la Gestión de la Seguridad de la

RIESGO 3

Asignatura

Datos del alumno

Fecha







Información: Seguridad de las comunicaciones: Gestión de la seguridad de las redes: Segregación de redes'. Operación: 'Introducción' Control: '14.1.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Adquisición, desarrollo y mantenimiento de los sistemas: Requisitos de seguridad de los sistemas de información: Aseguramiento de servicios y aplicaciones en Control: '16.1.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Gestión de incidentes de seguridad de la información: Gestión de incidentes de seguridad de la información y mejoras: Notificación de puntos débiles de seguri Control: '05.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Políticas de seguridad de la información: Dirección de la gestión de la seguridad de la información: Políticas de seguridad de la información'. Operación: 'In

EVENTO A.03 - Ataques deliberados: Manipulación de los registros de actividad (log) OPCIÓN DE TRATAMIENTO Modificación del Riesgo





EVENTO




RIESGO 3

TRATAMIENTO Control: '09.2.4 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Gestión del acceso de usuario: Gestión de la información secreta de autenticación de usuarios'. Operación: 'Introducción' Control: '09.2.5 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Gestión del acceso de usuario: Revisión de derechos de acceso de usuario'. Operación: 'Introducción' Control: '09.2.6 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Gestión del acceso de usuario: Terminación o revisión de los privilegios de acceso'. Operación: 'Introducción' Control: '14.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Adquisición, desarrollo y mantenimiento de los sistemas: Requisitos de seguridad de los sistemas de información: Análisis y especificación de los requisitos d Control: '05 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Políticas de seguridad de la información'. Operación: 'Introducción' REGIÓN

FRECUENCIA

CON

INT

DIS

RIESGO

Asignatura

Datos del alumno

Fecha




A.06 - Ataques deliberados: Abuso de privilegios de acceso OPCIÓN DE TRATAMIENTO Modificación del Riesgo





Inaceptable

Media

100%

100%

0%

6

TRATAMIENTO Control: '09.2.6 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Gestión del acceso de usuario: Terminación o revisión de los privilegios de acceso'. Operación: 'Introducción' Control: '09.4.4 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Control de acceso al sistema y a las aplicaciones: Uso de los recursos del sistema con privilegios especiales'. Operación: 'Introducción' Control: '09.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Requisitos de negocio para el control de acceso: Política de control de acceso'. Operación: 'Introducción' Control: '09.2.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Gestión del acceso de usuario: Altas y bajas de usuarios'. Operación: 'Introducción' Control: '05.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Políticas de seguridad de la información: Dirección de la gestión de la seguridad de la información: Políticas de seguridad de la información'. Operación: 'In

(Puesto de Trabajo) Funcionario Banco EVENTO A.29.01 - Ataques deliberados: Extorsión: Ataque desde el exterior OPCIÓN DE TRATAMIENTO Compartición del Riesgo Modificación del Riesgo




FRECUENCIA Muy Baja

CON 0%

INT 0%

DIS 0%

TRATAMIENTO MEDIDAS DE PROTECCIÓN A FUNCIONARIOS DE LA ORGANIZACIÓN Control: '06.1.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Organización de la seguridad de la información: Organización interna: Contacto con las autoridades'. Operación: 'Introducción' Control: '07.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad ligada a los recursos humanos: Antes del empleo'. Operación: 'Introducción'

RIESGO 0

Asignatura

Datos del alumno

Fecha




(Sistema de Protección Contra Incendios) Sistema de protección contra incendios EVENTO A.26.01 - Ataques deliberados: Ataque destructivo: Vandalismo OPCIÓN DE TRATAMIENTO Modificación del Riesgo


FRECUENCIA Muy Baja

CON 0%

INT 0%

DIS 100%

RIESGO

TRATAMIENTO Control: '06.1.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Organización de la seguridad de la información: Organización interna: Contacto con las autoridades'. Operación: 'Introducción' Control: '11.2.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad física y del entorno: Equipos: Instalaciones de suministro'. Operación: 'Introducción' Control: '11.1.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad física y del entorno: Áreas seguras: Seguridad de oficinas, despachos e instalaciones'. Operación: 'Introducción' Control: '09.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Requisitos de negocio para el control de acceso'. Operación: 'Introducción'




(Sistema de Refrigeración) Sistema de refrigeración EVENTO A.26.01 - Ataques deliberados: Ataque destructivo: Vandalismo OPCIÓN DE TRATAMIENTO Modificación del Riesgo




FRECUENCIA Muy Baja

CON 0%

INT 0%

DIS 100%

TRATAMIENTO Control: '06.1.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Organización de la seguridad de la información: Organización interna: Contacto con las autoridades'. Operación: 'Introducción' Control: '09.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Requisitos de negocio para el control de acceso: Política de control de acceso'. Operación: 'Introducción'

RIESGO

Asignatura

Datos del alumno

Fecha





Control: '09.1.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Requisitos de negocio para el control de acceso: Acceso a redes y servicios en red'. Operación: 'Introducción' Control: '11.1.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad física y del entorno: Áreas seguras: Seguridad de oficinas, despachos e instalaciones'. Operación: 'Introducción'

(Servidor) Super Nova EVENTO A.03 - Ataques deliberados: Manipulación de los registros de actividad (log) OPCIÓN DE TRATAMIENTO Modificación del Riesgo






DIS 0%

RIESGO 3

TRATAMIENTO Control: '09.2.4 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Gestión del acceso de usuario: Gestión de la información secreta de autenticación de usuarios'. Operación: 'Introducción' Control: '09.2.5 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Gestión del acceso de usuario: Revisión de derechos de acceso de usuario'. Operación: 'Introducción' Control: '09.2.6 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Gestión del acceso de usuario: Terminación o revisión de los privilegios de acceso'. Operación: 'Introducción' Control: '14.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Adquisición, desarrollo y mantenimiento de los sistemas: Requisitos de seguridad de los sistemas de información: Análisis y especificación de los requisitos d Control: '05.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Políticas de seguridad de la información: Dirección de la gestión de la seguridad de la información: Políticas de seguridad de la información'. Operación: 'In

EVENTO A.14 - Ataques deliberados: Interceptación de información (escucha)





RIESGO 3

Asignatura

Datos del alumno

Fecha









TRATAMIENTO Control: '13.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad de las comunicaciones: Gestión de la seguridad de las redes: Controles de red'. Operación: 'Introducción' Control: '13.1.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad de las comunicaciones: Gestión de la seguridad de las redes: Segregación de redes'. Operación: 'Introducción' Control: '14.1.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Adquisición, desarrollo y mantenimiento de los sistemas: Requisitos de seguridad de los sistemas de información: Aseguramiento de servicios y aplicaciones en Control: '16.1.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Gestión de incidentes de seguridad de la información: Gestión de incidentes de seguridad de la información y mejoras: Notificación de puntos débiles de seguri Control: '05.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Políticas de seguridad de la información: Dirección de la gestión de la seguridad de la información: Políticas de seguridad de la información'. Operación: 'In

EVENTO A.06 - Ataques deliberados: Abuso de privilegios de acceso OPCIÓN DE TRATAMIENTO Modificación del Riesgo





REGIÓN Inaceptable

FRECUENCIA Media

CON 100%

INT 100%

DIS 0%

TRATAMIENTO Control: '09.2.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Gestión del acceso de usuario: Gestión de derechos de acceso de los usuarios'. Operación: 'Introducción' Control: '09.4.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Control de acceso al sistema y a las aplicaciones: Restricción del acceso a la información'. Operación: 'Introducción' Control: '09.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Requisitos de negocio para el control de acceso: Política de control de acceso'. Operación: 'Introducción' Control: '09.2.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Gestión del acceso de usuario: Altas y bajas de usuarios'. Operación: 'Introducción'

RIESGO 6

Asignatura

Datos del alumno

Fecha




Control: '05.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Políticas de seguridad de la información: Dirección de la gestión de la seguridad de la información: Políticas de seguridad de la información'. Operación: 'In

(Servicio de Sistema de Información) Tramitación de expedientes EVENTO A.06 - Ataques deliberados: Abuso de privilegios de acceso OPCIÓN DE TRATAMIENTO Modificación del Riesgo






FRECUENCIA Media

CON 100%

INT 100%

DIS 0%

RIESGO 6

TRATAMIENTO Control: '09.2.6 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Gestión del acceso de usuario: Terminación o revisión de los privilegios de acceso'. Operación: 'Introducción' Control: '09.4.4 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Control de acceso al sistema y a las aplicaciones: Uso de los recursos del sistema con privilegios especiales'. Operación: 'Introducción' Control: '09.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Requisitos de negocio para el control de acceso: Política de control de acceso'. Operación: 'Introducción' Control: '09.2.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Control de acceso: Gestión del acceso de usuario: Altas y bajas de usuarios'. Operación: 'Introducción' Control: '05.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Políticas de seguridad de la información: Dirección de la gestión de la seguridad de la información: Políticas de seguridad de la información'. Operación: 'In

EVENTO A.11 - Ataques deliberados: Acceso no autorizado


REGIÓN Inaceptable


FRECUENCIA CON Baja 0% - 30%

INT 0% - 30%

DIS 0%

TRATAMIENTO Control: '06.1.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Organización de la seguridad de la información: Organización interna:

RIESGO 1

Asignatura

Datos del alumno

Fecha






Separación de tareas'. Operación: 'Introducción' Control: '06.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Organización de la seguridad de la información: Organización interna: Roles y responsabilidades relativas a la seguridad de la información'. Operación: 'Intro Control: '06.1.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Organización de la seguridad de la información: Organización interna: Separación de tareas'. Operación: 'Introducción'

EVENTO A.19 - Ataques deliberados: Divulgación de información OPCIÓN DE TRATAMIENTO Modificación del Riesgo






REGIÓN Inaceptable

FRECUENCIA Baja

CON 100%

INT 100%

DIS 0%

TRATAMIENTO Control: '07.2.2 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad ligada a los recursos humanos: Durante el empleo: Concienciación, formación y capacitación en seguridad de la información'. Operación: 'Introducción Control: '13.2.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad de las comunicaciones: Transferencia de información: Mensajería electrónica'. Operación: 'Introducción' Control: '18.1.3 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Cumplimiento: Cumplimiento de los requisitos legales y contractuales: Protección de los documentos de la organización'. Operación: 'Introducción' Control: '13.2.4 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Seguridad de las comunicaciones: Transferencia de información: Acuerdos de confidencialidad o no divulgación'. Operación: 'Introducción' Control: '05.1.1 - Código de buenas prácticas para la Gestión de la Seguridad de la Información: Políticas de seguridad de la información: Dirección de la gestión de la seguridad de la información: Políticas de seguridad de la información'. Operación: 'In

RIESGO 5



Datos del alumno

Fecha


Ges Consult Or

Recommend Documents