Edición SINDY DE VOZ

Análisis de Riesgos Fecha: DD/MM/AAAA

Clasificación: Confidencial

ANALISIS DE RIESGOS | DD/MM/AAAA PLAN DE TRATAMIENTO / CONTRAMEDIDAS | MM/AAAA

Alta
ACTIVO Tipo Propietario Activo Propietario Riesgo Listado de Amenazas / Vulnerabilidades riesgo Fecha límite
Confidencialidad Integridad Disponibilidad Impacto Probabilidad Riesgo
Implantación
Medidas Prioridad Responsable Observaciones Media
(∑ C-I-D) (IxP) Baja
Implementar cableado estructurado según las normas 568-569-606 de la EIA/TIA
sistema cableado software ACME ACME El sistema no esta estructurado Riesgo de interrupción del servicio debido a cables dañados o conexiones sueltas, fallas en las comunicaciones 3 3 4 10 2 12 MEDIA Juan Arteaga Cableado estandarizado para evitar fallas
8/4/2024
Organizar gabinetes con rack según las normas de cableado estructurado 568-606 de la EIA/TIA
gabinetes de telecomunicaciones hardware ACME ACME Dificultad en la gestión y mantenimiento de los equipos. Posibilidad de daños a equipos debido a una organización inadecuada o un manejo descuidado de los cables. 1 2 2 5 3 8 BAJA Eduardo Camavinga Asegurarse que la organizacion sea en base a las normas anteriormente estipuladas
8/19/2024
Implementar enrrutamiento seguro entre sucursales,implementar SSH, implementar lista de control de acceso a la red local Ocultar el SSID para mas seguridad, limitar coneccione usando el filtrado mac, aseguarse que
equipos activos de telecomunicaciones hardware ACME ACME daños fisicos a los equipos Interrupción del servicio si los equipos experimentan problemas de conectividad o configuración incorrecta. 1 3 3 7 2 9 MEDIA Juan Arteaga la configuracion sea hecha por Arteaga Juan, implementar cifrados robustos como los son
8/23/2024 WP2 o WP3
Riesgo de acceso no autorizado si no se implementan adecuadamente medidas de seguridad como cifrado y Implementar un cifrado robusto WPA2 o WPA3, capacitar usuarios a cerca del uso no compartido de contraseña, implementar filtado MAC a dispisitivos Ocultar el SSID para mas seguridad, limitar coneccione usando el filtrado mac, implementar
redes inalambricas hardware ACME ACME acceso no autorizado a la red 4 4 4 12 3 15 exclusivos de la compañía ALTA Juan Arrieta
autenticación. 8/24/2024 cifrados robustos como los son WP2 o WP3
Posibilidad de acceso no autorizado a la red corporativa si los dispositivos son comprometidos por malware u otras Capacita a los empleados sobre la como evitar hacer clic en enlaces sospechosos, descargar archivos adjuntos de fuentes no confiables y compartir
dispositivo moviles hardware ACME ACME infección por malware y otras amenazas cibernéticas. 4 4 4 12 3 15 información confidencial,que los usuarios proporcionen más de un método de verificación para acceder a sus cuentas. ALTA Juan Arrieta Asegurarse que la capacitacion sea hecha por Juan Arrieta
amenazas cibernéticas. 8/25/2024
Riesgo de pérdida de datos si el servidor no está adecuadamente respaldado o protegido contra fallos de Implementar VPN para los accesos remotos, implementar medidas de seguridad SSL para los sitios WEB no autorizados Optimización de recursos, monitoreo constante y configuración de seguridad por parte de
servidor hardware ACME ACME ataques cibernéticos si no se aplican parches de seguridad. 3 4 4 11 3 14 MEDIA Juan Arteaga
hardware. 8/26/2024 Juan Arteaga
Riesgo de compromiso de la seguridad si la página web es vulnerable a ataques de inyección SQL, cross-site Implementar SSL certificado digital
pagina web software ACME ACME perdida de reputacion si la pagina de web es comprometida 4 4 4 12 3 15 ALTA Juan Arrieta Asegurarse de tenr un certificado de una autorida certificadora
scripting u otros tipos de ataques web. 8/27/2024
infección por malware si no se aplican medidas de seguridad adecuadas, suite Riesgo de infección por malware si los hosts no están protegidos con software antivirus actualizado y otras Implemantar VPN para los accesos remotos, y un directorio activo para la autenticacion de los usuarios de las carpetas comartidas, implemetar configurar con DHCP par evitar los conflictos de IP, Equipos con las mejores calidades y
hosts software ACME ACME 3 4 4 11 3 14 antimalware (certificado) y actualizaciones de sistema operativo mas nuevo MEDIA Juan Arteaga
office 2012, carpetas compartidas. medidas de seguridad. 8/28/2024 actualizados para un us mas comodo, accesos mas seguros en carpetas compartidas
segmentar la red vlan seun las areas o departamentos de la compañía, implementar seguridad en los puertos de los switch y apagar aquelos puertos que
switch hardware ACME ACME fallas en la red si no se realiza un mantenimiento adecuado. interrupción de la red si el switch no se configura, fallas de conectividad, acceso no autorizado a otros equipos 0 2 4 6 3 9 no se estan utilizando MEDIA Juan Arteaga Verificar que el implemento solicitado sea de la mejor calida posible
8/29/2024
CRITERIOS DE VALORACIÓN

Confidencialidad: una pérdida de confidencialidad puede derivar en incidencias de seguridad. Debemos

valorar el activo en función de la importancia que tiene para la organización una pérdida de confidencialidad
sobre el mismo.

Valor Criterio Valor

Hacerlo público supone una falta total de confianza y la pérdida de
Alto
negocio 4
Medio Hacerlo público dañaría la imagen y se sufriría una pérdida de confianza 3
Bajo Hacerlo público supone una pérdida mínima de imagen 2
Insignificante Se puede hacer público 1
No afecta No afecta 0

Integridad: se refiere a la corrección y completitud de los datos (y de los activos). Una pérdida de integridad
puede derivar en datos que no son correctos o completos (manipulados intencionadamente). Debemos valorar
el activo en cuanto a la importancia que tiene para nosotros su integridad.

Valor Criterio Valor

Alto No se puede funcionar sin ello 4
Medio Se produce ralentización de actividades y mal funcionamiento del servicio 3
Bajo Se producen errores leves de funcionamiento del servicio 2
Insignificante No afecta al servicio 1
No afecta No afecta al servicio 0

Disponibilidad: La indisponibilidad de un activo puede afectar negativamente al negocio provocando que

ciertos procesos se vean afectados durante el tiempo que dicho activo se encuentra inoperante. Habrá que
considerar el tiempo necesario en sustituir y dejar el activo como estaba antes de la ocurrencia de algún
evento que comprometa su seguridad.

Valor Criterio Valor

Alto No se puede funcionar sin ello 4
Medio Se puede prescindir por un tiempo limitado 3
Bajo Se puede prescindir porque existen otros medios alternativos para continuar con el 2
servicio/proceso
Insignificante Se puede prescindir indefinidamente 1
No afecta No afecta 0

Impacto: Es la suma del valor de confidencialidad, integridad y disponibilidad. Pudiendo tener un valor desde
3 a 12.

Probabilidad: indica la frecuencia o la probabilidad de que una amenza se materialice.

Valor Criterio Valor

Alto Completamente posible: el daño ocurre siempre . 4
Medio Bastante posible: el daño ocurre con frecuencia. Lo más probable es que suceda el daño, 3
o ya ha ocurrido en otras ocasiones anteriormente.
Bajo Remotamente posible: el daño ocurre en algunas ocasiones. Aunque no haya ocurrido 2
antes no sería extraño que sucediera.
Insignificante Raramente ocurre: el daño ocurre raras veces. Se estima que podría suceder el daño 1
pero es difícil que ocurra, la probabilidad de que suceda es remota.
Nivel de Riesgo: Una vez que hemos valorado todos los activos bajo estos criterios se obtiene el riesgo que
tienen los activos de la organización. Se han definido tres niveles niveles de riesgos en función de su valor.

BAJO 1-8
MEDIO 9-14
ALTO >=15