Analisis de Riesgos

NÚMERO CÓDIGO CONTROL
Políticas para la
A.5.1.1 seguridad de la
Información.
Acceso a redes y a
A.9.1.2 servicios en red
Revisión de las
A.5.1.2 políticas de la
Información.
1
Retiro o ajuste de
A.9.2.6 los derechos de
1
acceso
Procedimiento de
A.9.4.2 ingreso seguro
Sistema de gestión
A.9.4.3 de contraseñas
Reporte de
debilidades de
información
Reporte de
debilidades de
información
Restricciones sobre
A.12.6.2 la instalación de
software
Sistema de gestión
A.9.4.3 de contraseñas
Procedimientos de
A.14.2.2 control de cambios
en sistemas
Mensajería
13.2.3
Electrónica.
2
Mensajería
13.2.3
Electrónica.
Procedimiento de
Restricciones sobre
software
Restricciones en los
cambios a los
A.14.2.4 paquetes de
software
Procedimiento de
Reporte de
debilidades de
información
Planificación de la
continuidad de la
información
Gestión de las
12.6.2 vulnerabilidades
técnicas.
Gestión de las
técnicas.
continuidad de la
información
Mensajería
13.2.3
Electrónica.
Protección de
A.18.1.3 registros
continuidad de la
información
Gestión de las
técnicas.
A.16.1.1 Responsabilidades
y procedimientos
y procedimientos
Privacidad y
protección de
A.18.1.4 información de
datos personales
Restricciones sobre
software
Revisión del
A.18.2.3 cumplimiento
técnico
Privacidad y
protección de
datos personales
Privacidad y
protección de
datos personales
y procedimientos
continuidad de la
información
Revisión de las
A.5.1.2 políticas de la
Información.
Protección de
A.18.1.3 registros
Políticas para la
Información.
DESCRIPCIÓN DEL CONTROL ACTIVO
Se debe definir un conjunto de políticas para la seguridad

de la información, aprobada por la dirección, publicada y
comunicada a los empleados y a las partes externas
pertinentes.
Solo se debe permitir acceso de ls usuarios a la red y

a los servicios de la red para los que hayan sido
autorizados especificamente.
Las políticas de para la seguridad de la información se

deben revisar a intervalos planificados, o si ocurren
cambios significativos,para asegurar su convergencia,
adecuación y eficacia continúas.
REGISTRAR
Los derechos de acceso de todos los empleados y
usuarios externos a la información y a las intalaciones
de procesamiento de información se deben retirar al
REGISTRAR
terminar su empleo, contrato o acuerdo, o se deben
ajustar cuando se hagan cambios.
Cuando lo requiere la política de control de acceso,

el acceso de sistemas y apliaciones se debe controlar
mediante un proceso de ingreso seguro.
Los sistemas de gestión de contraseñas deben ser

interactivos y deben asegurar la calidad de las
contraseñas.
Se debe exigir a todos los empleados y contratistas

que usan los servicios y sistemas de información de la
organización, que observan y reporten cualquier
debilidad de seguridad de la información observada o
sospechada en los sitemas o servicios.
Se debe establecer e implementar las reglas para la

instalación de software por parte de los usuarios.
Los sistemas de gestión de contraseñas deben ser

interactivos y deben asegurar la calidad de las
contraseñas.
Los cambios a los sistemas dentro del ciclo de vida

de desarrollo se deben controlar mediante el uso de
procedimientos formales de control de cambios.
ADMINISTRAR
Se debería proteger adecuadamente la información

incluida en la mensajería electrónica.
ADMINISTRAR



Se deben desalentar las modificaciones a los

paquetes de software, las cuales se deben limitar a
los cambios necesarios, y todos los cambios se deben
controlar estrictamente.

La organización debe terminar sus requisitos para la

seguridad de la información y la continuidad de la
gestión de la información en situaciones adversas, por
ejemplo, durante una crisis o desastre.
RETIRADOS
Se debe obtener oportunamente información acerca de

las vulnerabilidades técnicas de los sistemas de
información que se usen; evaluar la exposición de la
organización a estas vulnerabilidades, y tomar medidas
apropiadas para tratar el riesgo asociado.


Los registros se deben proteger contra pérdida,
destrucción, falsificación, acceso no autorizada y de
liberación no autorizada, de acuerdo con los
requisitos legislativos, de reglamentación,
contractuales y de negocio.


PAGOS Y DEUDAS
Se deben establecer las responsabilidades y

procedimientos de gestión para asegurar una
respuesta rápida, eficaz y ordenada a los incidentes
de seguridad de la información.
Se deben asegurar la seguridad y la protección de la

información de datos personales, como exige en la
legislación y en la reglamentación pertinentes.
cuando sea aplicable.

Los sistemas de información se deben revisar

periódicamente para determinar el cumplimiento con
las políticas y normas de seguridad de información.



INVENTARIO
Las políticas de para la seguridad de la información se

deben revisar a intervalos planificados, o si ocurren
cambios significativos,para asegurar su convergencia,
adecuación y eficacia continúas.
Los registros se deben proteger contra pérdida,
destrucción, falsificación, acceso no autorizada y de
liberación no autorizada, de acuerdo con los
requisitos legislativos, de reglamentación,
contractuales y de negocio.
Se debe definir un conjunto de políticas para la seguridad

de la información, aprobada por la dirección, publicada y
comunicada a los empleados y a las partes externas
pertinentes.
ORIGEN (N,
CAPAS AMENAZA (EVENTO)
T, S)
Stealers
KeyLogging
Session Hijacking
Side Jacking/Firesheep
Mobile Phone Hacking
Main in the Middle Attack
INFORMACIÓN T
Botnets
INFORMACIÓN T
DNS Spoofing
USB Hacking
Xploitz
Ransomware
Aircrack-ng
Malware
SpyWare
Stealers
KeyLogging
Session Hijacking
Botnets
USB Hacking
INFORMACIÓN T
INFORMACIÓN T
Xploitz
Ransomware
Aircrack-ng
Malware
SpyWare
Stealers
KeyLogging
Session Hijacking
Botnets
DNS Spoofing
Phishing
INFORMACIÓN T
USB Hacking
Xploitz
Ransomware
Aircrack-ng
Malware
SpyWare
Stealers
KeyLogging
Session Hijacking
Botnets
DNS Spoofing
Phishing
INFORMACIÓN T
USB Hacking
Xploitz
Ransomware
Aircrack-ng
Malware
SpyWare
Stealers
KeyLogging
Session Hijacking
Botnets
DNS Spoofing
Phishing
INFORMACIÓN T
USB Hacking
Xploitz
Ransomware
Aircrack-ng
Malware
SpyWare
CARACTERIZACIÓN DE RIESGOS A PARTIR
ESCENARIO DE RIESGO
La infección de las máquinas de los trabajadores con programas maliciosos que capturan información y
permiten la entrada al sistema de usuarios sin permiso.
Instalación de app capaces de registrar todo tipo de pulsaciones del teclado, capturando información
valiosa de la organización por entes internos y externos de la organización.
Se realiza un ataque que permite a un individuo sacar el identificador de sesión entre la página del
activo tecnológico y el trabajador, haciéndose pasar por el para acceder a su usuario y contraseña en la
página.
La información de inicio de sección del trabajador se ve expuesta cuando entes externos atacan con
snifer las redes públicas de la empresa, donde se accede a cookies de los navegadores para suplantar a la
víctima.
La empresa se ve expuesta a hacer monitoreada a través de app que son instaladas por los trabajadores
sin consentimiento, permitiendo el acceso a la información valiosa.
La organización se verá expuesta a un ataque donde el intruso podrá leer, insertar y modificar la
comunicación entre dos usuarios o sistemas, permitiéndole interceptar información valiosa entre las
dos víctimas.
La empresa podrá ser víctima de ataques cibernéticos de Botnets que se caracterizar por ser un conjunto
o red de algoritmos inteligentes que funcionan de manera autónoma y automática, controlando
ordenadores y servidores infectados de forma remota.
La empresa correrá el riesgo de ser atacada en su sistema de redes y servidores DNS para de esta forma
el intruso poder tener control sobre las consultas que sus trabajadores realizan.
La empresa correrá el riesgo de ser atacada por un individuo interno o externo de la organización,
donde mediante una USB podrá capturar información valiosa de la empresa.
Los trabajadores de la empresa correrán el riesgo de ser atacados por una suplantación de identidad del
sitio web donde un Xploitz recreara la interfaz gráfica usual de inicio de sesión.
La empresa se verá afectada cuando un externo infecte el sistema con un capturado o secuestrador de
información, pidiendo a cambio un rescate de la información a cambio de dinero.
La empresa sufrirá un daño en sus redes tanto wifi como locales mediante la captura de paquetes que se
transmiten en la red, permitiendo desencriptar el usuario y login de esta, además de valiosa
información.
Los trabajadores en sus procesos cotidianos podrán aceptar sin darse cuenta algún tipo de software
malicioso, capas de borrar información valiosa y generar errores en el sistema.
Los trabajadores en sus procesos cotidianos corren el riego de aceptar software malicioso capas de
monitorear, y capturar información valiosa de la organización.
página.
víctima.
información.
página.
víctima.
dos víctimas.
La empresa se vera expuesta a múltiples ataques de phishing que intentaran plagiar los sitios web, con
la cual la empresa tenga soporte y lograr obtener las credenciales de acceso de esta. La información de
esta se vera afectada ya que las credenciales serán parte de terceros y obtendrán acceso a archivos de la
empresa.
información.
página.
víctima.
dos víctimas.
empresa.
información.
página.
víctima.
dos víctimas.
empresa.
información.
A PARTIR DE CONTROLES (ISO/IEC 27002)
CID EVALUACION DE RIESGO
C I D PROBABILIDAD IMPACTO RIESGO
X 5 5 25
X 10 10 100
X 1 5 5
X 1 1 1
X 5 10 50
X 1 10 10
X 1 1 1
X 1 1 1
X 1 5 5
X 1 5 5
X 1 1 1
X 1 5 5
X 1 1 1
X 1 5 5
X 1 5 5
X 1 5 5
X 1 5 5
X 1 5 5
X 1 5 5
X 1 5 5
X 1 5 5
X 1 1 1
X 1 1 1
X 1 5 5
X 1 1 1
X 1 5 5
X 5 5 25
X 10 1 10
X 1 5 5
X 1 1 1
X 10 5 50
X 10 1 10
X 5 1 5
X 10 1 10
X 10 1 10
X 5 5 25
X 10 10 100
X 5 5 25
X 1 5 5
X 5 10 50
X 5 10 50
X 5 10 50
X 10 10 100
X 1 10 10
X 1 5 5
X 5 10 50
X 10 10 100
X 1 10 10
X 5 10 50
X 10 10 100
X 10 10 100
X 5 10 50
X 10 10 100
X 5 10 50
X 1 5 5
X 5 5 25
X 10 5 50
X 10 5 50
X 5 5 25
X 1 5 5
X 5 1 5
X 5 1 5
X 5 1 5
X 5 1 5
X 10 1 10
X 1 5 5
X 1 1 1
X 1 1 1
X 1 1 1
X 1 5 5
X 1 1 1
Rango de ACEPTABILIDAD
VULNERABILIDAD INHERENTE
Valorizacion CONTROL
25% ACEPTABLE 4
100% INACEPTABLE 6
5% ACEPTABLE 7
1% ACEPTABLE 9
50% TOLERABLE 4
10% ACEPTABLE 5
1% ACEPTABLE 6
1% ACEPTABLE 7
5% ACEPTABLE 5
5% ACEPTABLE 9
1% ACEPTABLE 4
5% ACEPTABLE 6
1% ACEPTABLE 10
5% ACEPTABLE 4
5% ACEPTABLE 9
5% ACEPTABLE 8
5% ACEPTABLE 4
5% ACEPTABLE 7
5% ACEPTABLE 6
5% ACEPTABLE 8
5% ACEPTABLE 6
1% ACEPTABLE 4
1% ACEPTABLE 7
5% ACEPTABLE 10
1% ACEPTABLE 5
5% ACEPTABLE 7
25% ACEPTABLE 9
10% ACEPTABLE 4
5% ACEPTABLE 6
1% ACEPTABLE 5
50% TOLERABLE 9
10% ACEPTABLE 7
5% ACEPTABLE 4
10% ACEPTABLE 8
10% ACEPTABLE 5
25% ACEPTABLE 10
100% INACEPTABLE 6
25% ACEPTABLE 4
5% ACEPTABLE 7
50% TOLERABLE 5
50% TOLERABLE 9
50% TOLERABLE 5
100% INACEPTABLE 4
10% ACEPTABLE 6
5% ACEPTABLE 10
50% TOLERABLE 8
100% INACEPTABLE 4
10% ACEPTABLE 4
50% TOLERABLE 3
100% INACEPTABLE 9
100% INACEPTABLE 4
50% TOLERABLE 7
100% INACEPTABLE 10
50% TOLERABLE 6
5% ACEPTABLE 7
25% ACEPTABLE 4
50% TOLERABLE 8
50% TOLERABLE 5
25% ACEPTABLE 4
5% ACEPTABLE 7
5% ACEPTABLE 3
5% ACEPTABLE 5
5% ACEPTABLE 9
5% ACEPTABLE 4
10% ACEPTABLE 5
5% ACEPTABLE 6
1% ACEPTABLE 7
1% ACEPTABLE 5
1% ACEPTABLE 4
5% ACEPTABLE 5
1% ACEPTABLE 6
RIESGO RESIDUAL
PROBABILIDAD IMPACTO RIESO RESIDUAL
3 4.8 14.4
4 9.4 37.6
0.3 4.65 1.395
0.1 0.91 0.091
3 9.6 28.8
0.5 9.5 4.75

0.4 0.94 0.376
0.3 0.93 0.279
0.5 4.75 2.375
0.1 4.55 0.455
0.6 0.96 0.576
0.4 4.7 1.88
0 0.9 0
0.6 4.8 2.88
0.1 4.55 0.455
0.2 4.6 0.92
0.6 4.8 2.88
0.3 4.65 1.395
0.4 4.7 1.88
0.2 4.6 0.92
0.4 4.7 1.88

0.6 0.96 0.576
0.3 0.93 0.279
0 4.5 0
0.5 0.95 0.475
0.3 4.65 1.395
0.5 4.55 2.275
6 0.96 5.76
0.4 4.7 1.88
0.5 0.95 0.475
1 4.55 4.55
3 0.93 2.79
3 0.96 2.88
2 0.92 1.84
5 0.95 4.75
0 4.5 0
4 9.4 37.6
3 4.8 14.4
0.3 4.65 1.395
2.5 9.5 23.75
0.5 9.1 4.55
2.5 9.5 23.75
6 9.6 57.6
0.4 9.4 3.76
0 4.5 0
1 9.2 9.2
6 9.6 57.6
0.6 9.6 5.76
3.5 9.7 33.95
1 9.1 9.1
6 9.6 57.6
1.5 9.3 13.95
0 9 0
2 9.4 18.8
0.3 4.65 1.395
3 4.8 14.4
2 4.6 9.2
5 4.75 23.75
3 4.8 14.4
0.3 4.65 1.395
3.5 0.97 3.395
2.5 0.95 2.375
0.5 0.91 0.455
3 0.96 2.88
5 0.95 4.75
0.4 4.7 1.88
0.3 0.93 0.279

0.5 0.95 0.475
0.6 0.96 0.576
0.5 4.75 2.375
0.4 0.94 0.376

VULNERABILIDAD Rango de
RESIDUAL Valorizacion
14% ACEPTABLE
38% TOLERABLE
1% ACEPTABLE
0% ACEPTABLE
29% TOLERABLE
5% ACEPTABLE
0% ACEPTABLE
0% ACEPTABLE
2% ACEPTABLE
0% ACEPTABLE
1% ACEPTABLE
2% ACEPTABLE
0% ACEPTABLE
3% ACEPTABLE
0% ACEPTABLE
1% ACEPTABLE
3% ACEPTABLE
1% ACEPTABLE
2% ACEPTABLE
1% ACEPTABLE
2% ACEPTABLE
1% ACEPTABLE
0% ACEPTABLE
0% ACEPTABLE
0% ACEPTABLE
1% ACEPTABLE
2% ACEPTABLE
6% ACEPTABLE
2% ACEPTABLE
0% ACEPTABLE
5% ACEPTABLE
3% ACEPTABLE
3% ACEPTABLE
2% ACEPTABLE
5% ACEPTABLE
0% ACEPTABLE
38% TOLERABLE
14% ACEPTABLE
1% ACEPTABLE
24% ACEPTABLE
5% ACEPTABLE
24% ACEPTABLE
58% INACEPTABLE
4% ACEPTABLE
0% ACEPTABLE
9% ACEPTABLE
58% INACEPTABLE
6% ACEPTABLE
34% TOLERABLE
9% ACEPTABLE
58% INACEPTABLE
14% ACEPTABLE
0% ACEPTABLE
19% ACEPTABLE
1% ACEPTABLE
14% ACEPTABLE
9% ACEPTABLE
24% ACEPTABLE
14% ACEPTABLE
1% ACEPTABLE
3% ACEPTABLE
2% ACEPTABLE
0% ACEPTABLE
3% ACEPTABLE
5% ACEPTABLE
2% ACEPTABLE
0% ACEPTABLE
0% ACEPTABLE
1% ACEPTABLE
2% ACEPTABLE
0% ACEPTABLE
TABLA VULNERABILIDAD AL RIESGO
AMENAZA VLR RIESGO CALIFICACÍON

Stealers 31 TOLERABLE
KeyLogging 53 INACEPTABLE
Session Hijacking 10 ACEPTABLE
Side Jacking/Firesheep 3.4 ACEPTABLE
Mobile Phone Hacking 32 TOLERABLE
Main in the Middle Attack 31.25 TOLERABLE
Botnets 5.2 ACEPTABLE
DNS Spoofing 16.5 ACEPTABLE
USB Hacking 28 TOLERABLE
Xploitz 31.4 TOLERABLE
Ransomware 25.6 TOLERABLE
Aircrack-ng 13.2 ACEPTABLE
Malware 12.4 ACEPTABLE
SpyWare 17.2 ACEPTABLE
Phishing 26 TOLERABLE
En el primer analisis realizado se encontro que el keylogging es la amenaza con un mayor riesgo con un valor de 5
y la amenaza con menor riesgo es el side jacking/ firesheep con un valor de riesgo de 3,4, y el cual se lo resalta de
según los datos que nos deja la tabla de vulnerabilidad al riego podemos observar y deducir que tenemos: 8 ame
CALIFICACÍON Count - CALIFICACÍON
ACEPTABLE 7 Total
INACEPTABLE 1
TOLERABLE 7
7
Total Result 15
15
menaza con un mayor riesgo con un valor de 53, lo cual ante la calificacion dentro de la auditoria, y con los rangos de evalucion que se esta
valor de riesgo de 3,4, y el cual se lo resalta de color verde y se califica al riesgo como aceptable.
emos observar y deducir que tenemos: 8 amenazas con calificacion aceptable, lo que quiere decir que su valor de riesgo es menor a 25.
6 amenazas con una calificacion de tolerable, lo que quiere decir que su valor de riesgo es m
1 amenaza con calificacion inaceptable, lo que quiere decir que la amenaza tieen un valor d
Total
ACEPTABLE
INACEPTABLE
TOLERABLE
1 Tota l Res ul t
los rangos de evalucion que se establecieron, es inaceptable y se lo resalta con color rojo.
su valor de riesgo es menor a 25.

ere decir que su valor de riesgo es mayor a 25 y menor o igual a 50.
ecir que la amenaza tieen un valor de riesgo superior a 50.
TABLA RIESGO RESIDUAL
RIESGO
AMENAZA CALIFICACÍON
RESIDUAL
Stealers 10 ACEPTABLE
KeyLogging 25 TOLERABLE
Session Hijacking 5 ACEPTABLE
Side Jacking/Firesheep 1 ACEPTABLE
Mobile Phone Hacking 10 ACEPTABLE
Main in the Middle Attack 17 ACEPTABLE
Botnets 2 ACEPTABLE
DNS Spoofing 10 ACEPTABLE
USB Hacking 13 ACEPTABLE
Xploitz 11 ACEPTABLE
Ransomware 3 ACEPTABLE
Aircrack-ng 5 ACEPTABLE
Malware 6 ACEPTABLE
SpyWare 5 ACEPTABLE
Phishing 7 ACEPTABLE
En el analisis despues de implementar los controles ante las amenazas los resultados generados son los siguientes
tenemos 14 amenazas calificadas como aceptable lo que quieres decir que el valor de riesgo residual, (osea el reis
y tenemos 1 a menza con calificacion tolerable, donde su valor de riesgo residual es mayora 25 y menor o igual a
Tenemos que el número de amenazas calificadas como inaceptable paso de existir 1 a 0.
De las amenazas calificadas como tolerables paso de 6 a 1 sola amenaza con esta calificación, por lo cual podemo
CALIFICACÍON Count - CALIFICACÍON
Total
ACEPTABLE 14
TOLERABLE 1
Total Result 15
14
15
as los resultados generados son los siguientes:

cir que el valor de riesgo residual, (osea el reisgo despues de implementar los controles) es menor a 25.
esgo residual es mayora 25 y menor o igual a 50.
paso de existir 1 a 0.
naza con esta calificación, por lo cual podemos deducir que los controles implementados son efectivos y apropiados para las amenazas que
Total
ACEPTABLE
TOLERABLE
14
Tota l Res ul t
os para las amenazas que presentaba la empresa

Analisis de Riesgos

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Analisis de Riesgos

Încărcat de

Drepturi de autor:

Formate disponibile

NÚMERO CÓDIGO CONTROL

Se debe definir un conjunto de políticas para la seguridad

Solo se debe permitir acceso de ls usuarios a la red y

Las políticas de para la seguridad de la información se

Cuando lo requiere la política de control de acceso,

Los sistemas de gestión de contraseñas deben ser

Se debe exigir a todos los empleados y contratistas

Se debe establecer e implementar las reglas para la

Los sistemas de gestión de contraseñas deben ser

Los cambios a los sistemas dentro del ciclo de vida

Se debería proteger adecuadamente la información

Se debería proteger adecuadamente la información

Cuando lo requiere la política de control de acceso,

Se debe establecer e implementar las reglas para la

Se deben desalentar las modificaciones a los

Se debe exigir a todos los empleados y contratistas

La organización debe terminar sus requisitos para la

Se debe obtener oportunamente información acerca de

La organización debe terminar sus requisitos para la

Se debería proteger adecuadamente la información

La organización debe terminar sus requisitos para la

Se debe obtener oportunamente información acerca de

Se deben establecer las responsabilidades y

Se deben asegurar la seguridad y la protección de la

Se debe establecer e implementar las reglas para la

Los sistemas de información se deben revisar

Se deben asegurar la seguridad y la protección de la

Se deben establecer las responsabilidades y

La organización debe terminar sus requisitos para la

Las políticas de para la seguridad de la información se

Se debe definir un conjunto de políticas para la seguridad

Mobile Phone Hacking

Main in the Middle Attack

Mobile Phone Hacking

Mobile Phone Hacking

Main in the Middle Attack

Mobile Phone Hacking

Main in the Middle Attack

Mobile Phone Hacking

Main in the Middle Attack

C I D PROBABILIDAD IMPACTO RIESGO

PROBABILIDAD IMPACTO RIESO RESIDUAL

0.3 4.65 1.395

0.1 0.91 0.091

0.5 9.5 4.75

0.3 0.93 0.279

0.5 4.75 2.375

0.1 4.55 0.455

0.6 0.96 0.576

0.4 4.7 1.88

0.1 4.55 0.455

0.2 4.6 0.92

0.6 4.8 2.88

0.3 4.65 1.395

0.4 4.7 1.88

0.2 4.6 0.92

0.4 4.7 1.88

0.3 0.93 0.279

0.5 0.95 0.475

0.3 4.65 1.395

0.5 4.55 2.275

0.5 0.95 0.475

0.3 4.65 1.395

2.5 9.5 23.75