Documente Academic
Documente Profesional
Documente Cultură
Riesgo
Personas
Procesos
Tecnología
Infraestruct
ura
Factores
Externos
Descripción
Personal de la organización que se encuentra relacionado con la ejecución del proceso de forma directa o
indirecta.
Conjunto interrelacionado entre sí de actividades y tareas necesarias para llevar a cabo el proceso.
Conjunto de herramientas tecnológicas que intervienen de manera directa o indirecta en la ejecución del
proceso.
Condiciones generadas por agentes externos, las cuales no son controlables por la empresa y que
afectan de manera directa o indirecta el proceso.
CRITERIO IM
RIESGOS Integridad
2 Pérdida/Destrucción de información X
Disponibilidad Confidencialidad
X X
X X
X
X
X
CATAL
RIESGOS AMENAZAS
Escucha encubierta
Abuso de derechos
Falsificación de derechos
Soborno de la información
Suplantación de identidad
Modificación no
autorizada de la
Ausencia de asignación adecuada de
responsabilidades en seguridad de la
información
Fuego
Agua
Destrucción del equipo o medios
Inundación
Pérdida/Destrucción de
Fallas en el sistema de suministro de agua o
aire acondicionado
Pérdida/Destrucción de Perdida de suministro de energía
Divulgación no
Chantaje
Empleados Inconformes
autorizada de
información
confidencial
Corrupción de los datos
Inconsistencias en la
Fallas en el sistema de suministro de agua o
aire acondicionado
Falla en equipo de telecomunicaciones
información Radiación electromagnética
Radiación térmica
Impulsos electromagneticos
Ingenieria Social
Escucha encubierta
Espionaje remoto
Autenticación
ptografía (SSH, SSL, IPSec)
Logs
n el área externa de un firewall no deben ser
mas ubicados en la zona interna del firewall.
IPSec tunnel
Bases de Datos
Información en reposo
Información, hardware, software, red
Hardware e Información
3. Deberá clasificarse la información que pueda existir dentro de las bases de datos, t
4. Detallar adecuadamente los procedimientos que se realizan en las
Incumplimiento en el mantenimiento 5. Realizar pruebas de vulnerabilidad o pentesting periódicas al (los) motores de bases
Ataque informático parches de seguridad, teniendo en cuenta las posibles consecuencias en la funci
Abuso de derechos 6. Cifrar adecuadamente la información respaldada en soluciones NAS o en cin
Falsificación de derechos
Sabotaje de la información 7. Evitar emplear aplicaciones/códigos/componentes, que tengan vulnerabilidades co
Suplantación de identidad
8. Definir una política de contraseñas seguras, que rijan todos los accesos a las ba
necesario, se deberá implementar 2 o más factores de autenti
9. Definir planes de mantenimiento/depuración/actualización/afinamiento de las base
10. Todas las bases de datos deberán ser tenidas en cuenta para la generación de las p
1.
11.Los
Lascanales dedatos
bases de información
deberánque tengan
estar como medio
debidamente de transmisión
cifradas internet,
y protegidas deberá
contra escritu
como VPN, para garantizar la integridad y la confidencialidad de la información q
2. Deberán monitorearse los canales y las conexiones, para verificar posibles pérdidas
Incumplimiento en el mantenimiento
Ataque informático
Abuso de derechos 2. Implementar el protocolo TLS en su versión más estable en combinación con HTTPS
Falsificación de derechos
Sabotaje de la información 3. Implementar mecanismos de autenticación de diferentes factores para reducir lo
Suplantación de identidad
4. Implementar elementos de seguridad perimetral como firewalls y/o balanceadores
7.
2. Implementación de herramientas
Verificación minuciosa como antivirus
sobre el personal o IPS
contratado a niveljudicial
(Pasado de Host, que protejan
y pruebas de s
de privilegios que pueda tener en cuanto al acceso a los datos o la
3. Firma de acuerdos de confidencialidad para cada uno de los empleados que tengan
las instalaciones (incluyendo al personal de mantenimiento
Error Humano 4. En los acuerdos o documentos definidos para la confidencialidad, deberá enfatiza
Sabotaje disciplinarias correspondientes en caso de faltar a los compromisos que e
Acceso no autorizado a instalaciones 5. Políticas que regulen el ingreso de dispositivos de almacenamiento extraíbles com
Conflictos laborales etc... las cuales no deberían emplearse por parte del oper
Tratamiento inadecuado de la 6. Limitar el uso de herramientas personales (correo electrónico, soluciones en la nu
información por el operador, incluyendo los computadores, NO debe haber acceso a la administr
Fuga de información
7. Preparar al personal de técnicas como la ingeniería social para evitar fugas de in
8. La información sensible o privada que esté alojada en las distintas bases de datos
deberán estar debidamente cifradas y protegidas por aplicaciones de seguridad, si exis
4. Generación de campañas para la ciudadanía, reforzando los temas principalmente
rse pruebas de pentesting en los diferentes front-ends definidos, con el objetivo de evitar los
o a nivel de red,
siguientes se recomendaría
tipos el uso del protocolo
de ataques (Considerando IPSEC
que serán con ESP
páginas (Encapsulating Security
web:
*Web Parameter Tampering.
*XSS (Cross Site Scripting)
*SQL Injections
+Defacement
ocolo TLS en su versión más estable en combinación con HTTPS y el certificado correspondiente
(con la CA que mejor se considere).
canismos de autenticación de diferentes factores para reducir los riesgos de suplantación de
identidad.
entos de seguridad perimetral como firewalls y/o balanceadores para evitar ataques DDoS a las
plataformas front-end.
5. Implementación Web Application Firewall.
ódigo de las aplicaciones web teniendo en cuenta las recomendaciones dadas en OWASP,
ales de contingencia entre los operadores, para evitar perdida de solicitudes de transacciones o
transmisión de información entre los mismos.
continuidad de negocio, con roles, responsabilidades, recursos tecnológicos y personal necesario
para asegurar la continuidad del servicio en los escenarios más críticos.
3. Disponer de dos datacenters con las siguientes condiciones mínimas:
acenter principal, que mínimo cumpla las condficiones/configuraciones TIER3.
o (ubicado geográficamente en otro sitio) y que permita a su vez mitigar las amenazas de tipo
natural y de terrorismo. que mínimo cumpla con configuraciones TIER2.
entos de contingencia deberán estar debidamente documentados, para garantizar una respuesta
bles incidentes y a su vez la mayor disponibilidad posible de los servicios y de la información.
enimiento y monitoreo constante en los sistemas de refrigeración y de control de humedad.
cceso físico a datacenters, con registros (preferiblemente bajo sistemas de información)
itación del personal de seguridad física, en temas de seguridad de la información.
sistemas DLP (Data Leak Prevention), a nivel de redes, para evitar fugas de información sensible.