4470 - Utica Matriz Riesgos Inf

Factor de
Riesgo
Personas
Procesos
Tecnología
Infraestruct
ura
Factores
Externos
Descripción
Personal de la organización que se encuentra relacionado con la ejecución del proceso de forma directa o
indirecta.
Conjunto interrelacionado entre sí de actividades y tareas necesarias para llevar a cabo el proceso.
Conjunto de herramientas tecnológicas que intervienen de manera directa o indirecta en la ejecución del
proceso.
Conjunto de recursos físicos que apoyan el funcionamiento de la organización y de manera específica el

proceso.
Condiciones generadas por agentes externos, las cuales no son controlables por la empresa y que
afectan de manera directa o indirecta el proceso.
CRITERIO IM
RIESGOS Integridad
1 Modificación no autorizada de la información X
2 Pérdida/Destrucción de información X
Indisponibilidad de la información debido a fallas en sistemas, equipos

3 y servicios
4 Hurto por parte de propios o terceros
5 Daño o Sabotaje por parte de propios o terceros X

6 Divulgación no autorizada de información confidencial
7 Inconsistencias en la información X
8 Acceso no autorizado a la información
CRITERIO IMPACTADO
Disponibilidad Confidencialidad
X X
X X
X
X
X
CATAL
RIESGOS AMENAZAS
Escucha encubierta
Procesamiento ilegal de datos
Abuso de derechos
Falsificación de derechos
Soborno de la información
Suplantación de identidad
Modificación no
autorizada de la
Ausencia de asignación adecuada de
responsabilidades en seguridad de la
información
información Corrupción de los datos
Fuego
Agua
Destrucción del equipo o medios
Inundación
Pérdida/Destrucción de
Fallas en el sistema de suministro de agua o
aire acondicionado
Pérdida/Destrucción de Perdida de suministro de energía
información Falla en equipo de telecomunicaciones

Hurto de medios o documentos
Hurto de equipo
Fallas de hardware
Ataques de acceso (Trust Exploitation)
Ataques de acceso (Man in the middle)…

Robo de información, secuestro de sesión,
análisis d tráfico, DoS, Alterar la información
Falla en equipo de telecomunicaciones

Manipulación con hardware
Indisponibilidad de la Manipulación con software

Fallas del equipo
información debido a Incumplimiento en el mantenimiento del

sistema de información
fallas en sistemas, Copia fraudulenta del software

Saturación del sistema de información
equipos y servicios Uso de software falso o copiado

Error en el uso
Denegación de Servicio
Denegación de Servicio (DDoS)
Espionaje remoto
Escucha encubierta
Hurto de medicios o documentos
Hurto de equipo
Recuperación de medios reciclados o
desechados
Interceptación de señales de interferencia
comprometida
Hurto por parte de Abuso de derechos
propios o terceros FootPrinting, Packet Sniffeing (Ataques de

reconocimiento) Recolectar informaciòn de la
red, de los sistemas y de la organizaciòn)
Ataques de acceso (Port Redirection)


Radiación electromagnética
Radiación térmica
Impulsos electromagneticos
Manipulación con hardware
Manipulación con software
Daño o Sabotaje por Uso no autorizado del equipo

Corrupción de los datos
parte de propios o Procesamiento ilegal de datos

Manipulación con software
terceros Abuso de derechos


Denegación de Servicio (DDoS)

Divulgación
Divulgación no
Chantaje
Empleados Inconformes
autorizada de
información
confidencial
Corrupción de los datos
Inconsistencias en la
Fallas en el sistema de suministro de agua o
aire acondicionado
Falla en equipo de telecomunicaciones
información Radiación electromagnética
Radiación térmica
Impulsos electromagneticos
Ingenieria Social
Escucha encubierta
Espionaje remoto
FootPrinting, Packet Sniffeing (Ataques de

reconocimiento) Recolectar informaciòn de la
Acceso no autorizado red, de los sistemas y de la organizaciòn)
a la información Ataques de acceso ( Ataques de passwords)

CATALOGO DE RIESGOS SBD o SDB
VULNERABILIDADES
Falta de políticas de seguridad de la información

Asignación errada de los derechos de acceso
Ausencia de mecanismos de identificación y autentificación, como la
autentificación de usuario
Líneas de comunicación sin protección
Tráfico sensible sin protección
Procedimientos inadecuados de contratación
Ausencia de mecanismos de monitoreo
Trabajo no supervisado del personal externo o de limpieza
Ausencia de disposición en los contratos con clientes o terceras partes
(con respecto a la seguridad)
Ausencia de procedimientos para el manejo de información clasificada
Ausencia de los procesos disciplinarios definidos en caso de incidentes
de seguridad de la información
Ausencia de control de los activos que se encuentran fuera de las
instalaciones
Políticas ausentes o definidas deficientemente

Procedimientos ausentes o definidas deficientemente
Abastecimiento de energía eléctrica inestable
No protección contra inundaciones
Infraestructuras no preparadas para resistir desastres naturales
Protección física insuficiente o incorrecta
Abastecimiento de aire (acondicionado) ausente o insuficiente
Falta de capacidades y competencias
Falta de conciencia seguridad de la información
Medios de comunicación obsoletos o en mal estado.
Exposición a temperaturas no toleradas por el HW
Hardware obsoleto
Exposición a humedad o agua
Exposición a contaminación
Exposición a electromagnetismo
Inexistencia de contingencia
Suministro eléctrico incorrectos
Programación insegura
Configuración y/o instalación incorrectas
Vulnerabilidad de la plataforma
Inyección SQL
Vulnerabilidades en protocolos de la Base de Datos
Exposición de los Datos Backups
Inyección
Cross-Site
Missing Scriting
Function Level(XSS)
Access
Injection
Software desactualizado
Firmware desactualizado
Hardware obsoleto
Puertos abiertos innecesarios
Protocolos innecesarios
No segmentación de la red
Medios físicos de comunicación obsoletos o en mal estado.
Administración y monitoreo ausente o incorrecto.
Personal Insuficiente
Personal Insuficiente
Uso de contraseñas débiles
Credenciales de acceso robadas
Protocolos de red sin cifrar (transferencias de datos sensibles o críticos
en texto plano)
Ausencia de filtros ACL entre segmentos de red
Software desactualizado
Control de acceso débil
Abusos de privilegios
Elevación de privilegios no autorizada
Inyección Código
Autenticación Débil
Unvalidated Redirects and Forwards
Using Components with Known Vulnerabilities
Cross-Site Request Forgery (CSRF)
Missing Function Level Access
Sensitive Data Exposure
Security Misconfiguration
Insecure
FallasDirect
en el Object References
reclutamiento
Definición incorrecta de roles
en texto plano)
Hardware obsoleto
Firmware desactualizado
Privilegios excesivos
Auditoria Débil
Sensitive
Insecure DirectData Exposure
Object References
en texto plano)
Procedimientos
Protocolos ausentes
de red sin cifrar o definidas
(transferencias de deficientemente
datos sensibles o críticos
Ausencia de Cultura en texto plano) de la Información
de Seguridad
Medios físicos de comunicación obsoletos o en mal estado.
Hardware obsoleto
Falta de mantenimiento
Vulnerabilidad de la
Sensitive Data plataforma
Exposure
Control de acceso débil
Ausencia de Cultura de Seguridad de la Información
Control de acceso físico inadecuado
GOS SBD o SDB
CONTROLES OBSERVACIO
Definir la política para la seguridad de la información, la cual debe estar
alineada a la poítica de general de la organización.
Establecer un comité, que tenga entre sus funciones revisión periódica de la
política de la seguridad de la información.
Segregación de funciones, mecanismo importante para prevenir errores y

fraudes. Toda transacción debería pasar por 4 etapas (Aprobación, Autorización,
Ejecución y Registro).
Definir y asignar todas las responsabilidades y roles de la seguridad de la
información.
Los acuerdos contractuales con empleados y contratistas deben establecer sus

responsabilidades y las de la organización en cuanto a seguridad de la
información.
Definir en un proceso formal y comunicado diretrices para emprender acciones

contra empleados que hayan cometido una violación a la seguridad de la
información. Autenticación
Criptografía (SSH, SSL, IPSe
Logs
Sistemas ubicados en el área externa de un fi
Definir una estrategia de respaldo de la información autorizados por sistemas ubicados en la zona
IPSec tunnel
Establecer, documentar y revisar una política de control de acceso con base en
los requisitos del negocio y de seguridad de la información.
Cuando lo requiere la política de control de acceso, el acceso a sistemas y

aplicaciones se debe controlar mediante un proceso de conexión segura
Desarrollar e implementar procedimientos para la manipulación de activos de

información, esto de acuerdo con la política o esquema de clasificación de
información definidos por el Estado.
Implementar un procesos formal de provision de acceso a los usuarios para

asignar o revocar derechos de acceso a todos los tipos de usuaios para todos los
sistemas y servicios.
Definir perimetros de seguridad para proteger áreas que contengan información
sensible y critica e infraestructuras
Diseñar y aplicar protección fisica contra desastres naturales, ataques

intencionales o accidentales.

autorizados por sistemas ubicados en la zona
IPSec tunnel
IPSec tunnel
Criptografía (SSH, SSL, IPSe
Control de Acceso, RFC 2827 Fi

Antispoof en routers o firewalls, anti-DoS en
limitaciones o restricciones en las tasas
Autenticación, Antisniffer, criptografía (SSH

nivel de red y a nivel de host.
IDS a nivel de host
IPSec tunnel
IPSec tunnel
Antispoof en routers o firewalls, anti-DoS en
limitaciones o restricciones en las tasas
Sistenas ubicados en el area externa de un fi

Autenticación, Antisniffer, criptografía (SSH

nivel de red y a nivel de host.
Deshabilitar las cuentas después de 3 intento
password en texto plano. Usar OTP o pas
IPSec tunnel
ERVACIONES
Autenticación
ptografía (SSH, SSL, IPSec)
Logs
n el área externa de un firewall no deben ser
mas ubicados en la zona interna del firewall.
IPSec tunnel

IPSec tunnel
l de Acceso, RFC 2827 Filtering
o firewalls, anti-DoS en routers o firewalls y
estricciones en las tasas de transmisión
sniffer, criptografía (SSH, SSL, IPSec), IDS a

de red y a nivel de host. Logs
IDS a nivel de host
IPSec tunnel
el area externa de un firewall no deben ser
sniffer, criptografía (SSH, SSL, IPSec), IDS a

de red y a nivel de host. Logs
tas después de 3 intentos no éxitos, no usar
to plano. Usar OTP o password cifrados.
IPSec tunnel
RIESGO TIPO DE RIESGO
Modificación no autorizada de la información Integridad

Pérdida/Destrucción de información Disponibilidad
No disponibilidad de la información debido a Disponibilidad
fallas en sistemas, equipos y servicios
Inconsistencias en la información Integridad
Hurto por parte de propios o terceros Disponibilidad
Divulgación no autorizada de información Confidencialidad

confidencial
Acceso no autorizado a la información Confidencialidad
Activo(s)
Bases de Datos
Información en transito (R8, R3, R4, R2.2, R5,

R43, R40.2, R41)
front End Usuarios, Front End Operador Front

End Entidad
Información en transito
Información en reposo
Información, hardware, software, red
Información, Sistemas de Enrolamiento
Hardware e Información
Información Fisica, Digital

Información Fisica, Digital, Sistema de
Informacion (Bases de Datos), Front-Ends
VULNERABILIDAD
Falta de políticas que rigen el uso aceptable de los activos de información

Ausencia de mecanismos de identificación y autentificación
Ausencia de procedimientos para el manejo de información tipificada
Ausencia de control de los activos que se encuentran fuera de las instalaciones
Mantemiento insuficiente
Exposición de datos de respaldo
Vulnerabilidades conocidas
Gestión deficiente de credenciales de acceso
Información legible y en texto plano

Ausencia de pruebas de envío o recepción de mensajes
Líneas de comunicación sin protección
Tráfico sensible sin protección
Ausencia de identificación y auntenticación de emisor y recepto
Conexiones de red publicas sin protección
Gestion inadecuada de la red (Tolerancia a fallos en el enrutamiento)

Ausencia de mecanismos de identificación y autentificación
Ausencia de manuales de uso
Mantemiento insuficiente
Ausencia o insuficiencia de pruebas
Ausencia de terminación de sesión
Gestión deficiente de credenciales de acceso
Medios de comunicación obsoletos o en mal estado.
Vulnerabilidad conocidades

Ausencia de políticas para desarrollo seguro
Vulnerabilidad conocidas
Exposición de los Datos de Respaldo
Ausencia de políticas y recursos de backup/respaldo
Ausencia de políticas para desarrollo seguro
Vulnerabilidad conocidas
Exposición de los Datos de Respaldo
Ausencia de políticas y recursos de backup/respaldo
Mantenimiento Insuficiente

Falta de capacitación en el uso de los aplicativos
Falta de sensibilización en seguridad de la información
Funcionario insatisfecho
Ausencia de controles de seguridad fisica

Equipos de computo desatentidos
Ausencia de controles de seguridad fisica

Equipos de computo desatentidos
Control de acceso lógicos débiles
Controles de acceso fisicos idadecuado o insuficientes
AMENAZA RECOMENDACIONES
1. El acceso y diferentes acciones en las bases de datos debería contemplar configura
Roles y Privilegios para cada uno de los usuarios y administradores.(S
2. Las bases de datos deberán generar y mantener una trazabilidad sobre todas las
3. Deberá clasificarse la información que pueda existir dentro de las bases de datos, t
4. Detallar adecuadamente los procedimientos que se realizan en las
Incumplimiento en el mantenimiento 5. Realizar pruebas de vulnerabilidad o pentesting periódicas al (los) motores de bases
Ataque informático parches de seguridad, teniendo en cuenta las posibles consecuencias en la funci
Abuso de derechos 6. Cifrar adecuadamente la información respaldada en soluciones NAS o en cin
Sabotaje de la información 7. Evitar emplear aplicaciones/códigos/componentes, que tengan vulnerabilidades co
8. Definir una política de contraseñas seguras, que rijan todos los accesos a las ba
necesario, se deberá implementar 2 o más factores de autenti
9. Definir planes de mantenimiento/depuración/actualización/afinamiento de las base
10. Todas las bases de datos deberán ser tenidas en cuenta para la generación de las p
1.
11.Los
Lascanales dedatos
bases de información
deberánque tengan
estar como medio
debidamente de transmisión
cifradas internet,
y protegidas deberá
contra escritu
como VPN, para garantizar la integridad y la confidencialidad de la información q
2. Deberán monitorearse los canales y las conexiones, para verificar posibles pérdidas
3. Para las conexiones de enrolamiento (que utilizarán internet), un tipo de acceso di

Escucha encubierta digitales básicos, se recomienda el uso de VPN tipo Client-to-Site, que permita que pu
Espionaje remoto implementada la solución y poder realizar los enrolamientos o registros d
Incumplimiento en el mantenimiento 4. Los accesos a las plataformas deberán tener diferentes factores de autenticación si
Ataque informático política de contraseñas previamente definida en los sistemas de i
Suplantación de identidad 5. Aplicación de defensa en profundidad, es decir, un perímetro de acceso a los siste
firewalls stateful y de capa de aplicación, Intrusion Prevention Systems y Proxy, definic
Red), restricciones a través de ACL (Access Control List) cuando sea conveniente y im
1. Deberán ejecutarse pruebas de pentesting en los diferentes front-ends definido

NOTA: Para cifrado a nivel de red,
siguientes se recomendaría
tipos el uso del protocolo
de ataques (Considerando IPSEC
que serán con
página
Incumplimiento en el mantenimiento
Ataque informático
Abuso de derechos 2. Implementar el protocolo TLS en su versión más estable en combinación con HTTPS
Sabotaje de la información 3. Implementar mecanismos de autenticación de diferentes factores para reducir lo
4. Implementar elementos de seguridad perimetral como firewalls y/o balanceadores
6. Desarrollar el código de las aplicaciones web teniendo en cuenta las recomend

1. Verificación de canales de contingencia entre los operadores, para evitar perdida d
transmisión de información entre los mismos.
2. Elaborar un plan de continuidad de negocio, con roles, responsabilidades, recursos t
para asegurar la continuidad del servicio en los escenarios má
Terremoto 3. Disponer de dos datacenters con las siguientes condiciones m
Incendio *Datacenter principal, que mínimo cumpla las condficiones/configur
Robo de Información *Datacenter alterno (ubicado geográficamente en otro sitio) y que permita a su vez
Terrorismo natural y de terrorismo. que mínimo cumpla con configuracion
Falla en equipo de telecomunicaciones 4. Todos los procedimientos de contingencia deberán estar debidamente documentad
Ataque informatico adecuada ante posibles incidentes y a su vez la mayor disponibilidad posible de los
5. Mantener mantenimiento y monitoreo constante en los sistemas de refrigeració
6. Control de acceso físico a datacenters, con registros (preferiblemente bajo s
7. Capacitación del personal de seguridad física, en temas de seguridad
8. Implementación de sistemas DLP (Data Leak Prevention), a nivel de redes, para evita
1. Elaborar un plan de continuidad de negocio, con roles, responsabilidades, recursos t

para asegurar la continuidad del servicio en los escenarios má
2. Disponer de dos datacenters con las siguientes condiciones m
Terremoto *Datacenter principal, que mínimo cumpla las condficiones/configuracione
Incendio *Datacenter alterno (ubicado geográficamente en otro sitio) y que permita a su vez
Falla en el suministro de energía natural y de terrorismo. que mínimo cumpla con configuracion
Robo de Información 3. Mantenimientos periódicos a los sistemas eléctricos, con el diseño de su r
Terrorismo 4. Mantener mantenimiento y monitoreo constante en los sistemas de refrigeració
Falla en equipos de respaldo 5. Garantizar protecciones y sistemas contra fuego y explos
Falla en equipos de 6. Puertas y camaras de seguridad en los centros de computo donde se encuentren los
telecomunicaciones solución tecnológica.
Ataque informatico 7.Control de acceso físico a datacenters, con registros (preferiblemente bajo s
Error humano 8. Capacitación del personal de seguridad física, en temas de seguridad
9. Establecimiento de ambientes adecuados de desarrollo, pruebas y producción pa
10. Definición de políticas de respaldo de información
1. Definir una política de continuidad de negocio y los respectivos planes derivados
2. Deberán documentarse todos los procedimientos definidos para la recuperación de
de las actividades más críticas para el servicio.
3. Si así lo define el análisis respectivo, deberá implementarse un datacenter alterno
caso de alguna amenaza de tipo natural (terremoto, inundaciones), un incendio, ter
afectar físicamente los servicios alojados en el sitio origin
Terremoto 4. Mantener mantenimiento y monitoreo constante en los sistemas de refrigeració
Imnundaciones 5. Entrenar adecuadamente al personal que administra o gestiona la solución, ad
Derrumbe metodologías de transversalidad, para que la mayoría de los ingenieros conozcan vario
Sabotaje personal de manera temporal.
Terrorismo 6. Realizar controles de cambios para verificar consecuencias en actualizaciones o con
Falla suministro de energía los respectivos ambientes de desarrollo, pruebas y produc
Falla de telecomunicaciones 7. Implementación de sistemas de seguridad perimetral (IPS, Firewall) y balanceador
Falla en hardware ataques de DDoS.
Falla en software 8. Garantizar pruebas periódicas en contingencia de energía eléctrica, con el uso d
Ataque informatico 9. Garantizar la seguridad física donde se encuentren ubicados los sistemas de inform
Incumplimiento en Mantenimiento conexiones electricas para evitar sabotajes como desconexión de los servidores o
10. Definir tiempos específicos de respuesta y recuperación para los incidentes (ANS),
hablen sobre disponibilidad del servicio.
11. Implementación de aplicaciones de seguridad (Antimalware, antiphishi
12. Disponer de dos datacenters con las siguientes condiciones
*Datacenter principal, que mínimo cumpla las condficiones/configuracione
*Datacenter alterno (ubicado geográficamente en otro sitio) y que permita a su vez
natural y de terrorismo. que mínimo cumpla con configuracion
1. En los posibles puntos de enrolamiento se recomienda verificar que el personal
2. Verificar antecedentes de funcionarios contratados para

3. En caso de despido o de bajas de personal, efectuar las bajas en los sistemas de in
Error Humano (esto implica el desarrollo de procedimientos de creación y gestión de usu
Sabotaje 4. Verificar adecuadamente que los usuarios registren información verídica (incluyend
Conflictos Laborales marco del procedimiento de enrolamiento que deberá gene
5. Capacitación adecuada en los diferentes procesos, para evitar el mal uso de la
6. Establecimiento de ambientes adecuados de desarrollo, pruebas y producción pa

2. En el caso de información física sensible, deberá disponerse de un área de archivo
(Puertas, Cámaras de seguridad y Controles de Acceso Fís
Hurto de equipos 3. Garantizar la seguridad física donde se encuentren ubicados los sistemas de inform
Hurto de documentos y/o medios conexiones electricas para evitar sabotajes como desconexión de los servidores o
Escucha encubierta 4. Tener plenamente preparados planes de continuidad de negocio en caso de robo d
Recuperación de medios reciclados o teniendo en cuenta los tiempos de respuesta definidos
desechados 5. Políticas para disposición de información de medios físi
Sabotaje 6. Sensibilización a todo el personal en temas de ingeniería social, para evitar posibles
7.
2. Implementación de herramientas
Verificación minuciosa como antivirus
sobre el personal o IPS
contratado a niveljudicial
(Pasado de Host, que protejan
y pruebas de s
de privilegios que pueda tener en cuanto al acceso a los datos o la
3. Firma de acuerdos de confidencialidad para cada uno de los empleados que tengan
las instalaciones (incluyendo al personal de mantenimiento
Error Humano 4. En los acuerdos o documentos definidos para la confidencialidad, deberá enfatiza
Sabotaje disciplinarias correspondientes en caso de faltar a los compromisos que e
Acceso no autorizado a instalaciones 5. Políticas que regulen el ingreso de dispositivos de almacenamiento extraíbles com
Conflictos laborales etc... las cuales no deberían emplearse por parte del oper
Tratamiento inadecuado de la 6. Limitar el uso de herramientas personales (correo electrónico, soluciones en la nu
información por el operador, incluyendo los computadores, NO debe haber acceso a la administr
Fuga de información
7. Preparar al personal de técnicas como la ingeniería social para evitar fugas de in
8. La información sensible o privada que esté alojada en las distintas bases de datos
deberán estar debidamente cifradas y protegidas por aplicaciones de seguridad, si exis
4. Generación de campañas para la ciudadanía, reforzando los temas principalmente
5. Definir factores adicionales de autenticación que incrementen los niveles de segu

Ingenieria Social
Escucha Encubierta *Algo que el usuario posee. (Ej. Token, Apps, Tarjetas)
Espionaje Remoto
Ataque informatico
Incumplimiento en Mantenimientos 6. Deberán ejecutarse pruebas de pentesting en los diferentes front-ends y sistemas d
Suplantación de Identidad evitar los siguientes tipos de ataques (Considerando que serán pá
RECOMENDACIONES
es acciones en las bases de datos debería contemplar configuraciones tipo RBAC, que controlen
y Privilegios para cada uno de los usuarios y administradores.(Servidores AAA)
os deberán generar y mantener una trazabilidad sobre todas las acciones realizadas sobre las
mismas.
a información que pueda existir dentro de las bases de datos, teniendo en cuenta su criticidad.
allar adecuadamente los procedimientos que se realizan en las bases de datos.
vulnerabilidad o pentesting periódicas al (los) motores de bases de datos y aplicar los diferentes
idad, teniendo en cuenta las posibles consecuencias en la funcionalidad de los aplicativos.
damente la información respaldada en soluciones NAS o en cintas, existen soluciones de
almacenamiento con estas características.
caciones/códigos/componentes, que tengan vulnerabilidades conocidas en fuentes como (CVE,
NVD) entre otras fuentes.
tica de contraseñas seguras, que rijan todos los accesos a las bases de datos, si se considera
necesario, se deberá implementar 2 o más factores de autenticación.
antenimiento/depuración/actualización/afinamiento de las bases de datos de manera periódica.
datos deberán ser tenidas en cuenta para la generación de las políticas y planes de respaldos de
información.
mación
deberánque tengan
estar como medio
debidamente de transmisión
cifradas internet,
y protegidas deberán emplear
contra escritura el uso empleando
no autorizada, de tecnologías
los
garantizar la integridad y la confidencialidad de la información que está siendo transmitida.
rse los canales y las conexiones, para verificar posibles pérdidas en el canal que puedan afectar
los datos transmitidos.
s de enrolamiento (que utilizarán internet), un tipo de acceso distinto a la solución de servicios
comienda el uso de VPN tipo Client-to-Site, que permita que puedan unirse a la red donde está
ntada la solución y poder realizar los enrolamientos o registros de nuevos usuarios.
ataformas deberán tener diferentes factores de autenticación si así se consideran, teniendo una
olítica de contraseñas previamente definida en los sistemas de información.
nsa en profundidad, es decir, un perímetro de acceso a los sistemas a través de sistemas como
capa de aplicación, Intrusion Prevention Systems y Proxy, definición de VLANs (Segmentación de
través de ACL (Access Control List) cuando sea conveniente y implementación de honeypots.
rse pruebas de pentesting en los diferentes front-ends definidos, con el objetivo de evitar los
o a nivel de red,
siguientes se recomendaría
tipos el uso del protocolo
de ataques (Considerando IPSEC
que serán con ESP
páginas (Encapsulating Security
web:
*Web Parameter Tampering.
*XSS (Cross Site Scripting)
*SQL Injections
+Defacement
ocolo TLS en su versión más estable en combinación con HTTPS y el certificado correspondiente
(con la CA que mejor se considere).
canismos de autenticación de diferentes factores para reducir los riesgos de suplantación de
identidad.
entos de seguridad perimetral como firewalls y/o balanceadores para evitar ataques DDoS a las
plataformas front-end.
5. Implementación Web Application Firewall.
ódigo de las aplicaciones web teniendo en cuenta las recomendaciones dadas en OWASP,
ales de contingencia entre los operadores, para evitar perdida de solicitudes de transacciones o
transmisión de información entre los mismos.
continuidad de negocio, con roles, responsabilidades, recursos tecnológicos y personal necesario
para asegurar la continuidad del servicio en los escenarios más críticos.
3. Disponer de dos datacenters con las siguientes condiciones mínimas:
acenter principal, que mínimo cumpla las condficiones/configuraciones TIER3.
o (ubicado geográficamente en otro sitio) y que permita a su vez mitigar las amenazas de tipo
natural y de terrorismo. que mínimo cumpla con configuraciones TIER2.
entos de contingencia deberán estar debidamente documentados, para garantizar una respuesta
bles incidentes y a su vez la mayor disponibilidad posible de los servicios y de la información.
enimiento y monitoreo constante en los sistemas de refrigeración y de control de humedad.
cceso físico a datacenters, con registros (preferiblemente bajo sistemas de información)
itación del personal de seguridad física, en temas de seguridad de la información.
sistemas DLP (Data Leak Prevention), a nivel de redes, para evitar fugas de información sensible.
continuidad de negocio, con roles, responsabilidades, recursos tecnológicos y personal necesario

para asegurar la continuidad del servicio en los escenarios más críticos.
principal, que mínimo cumpla las condficiones/configuraciones por lo menos TIER3.
entos periódicos a los sistemas eléctricos, con el diseño de su respectiva contingencia.
5. Garantizar protecciones y sistemas contra fuego y explosiones.
e seguridad en los centros de computo donde se encuentren los componentes que conforman la
solución tecnológica.
cceso físico a datacenters, con registros (preferiblemente bajo sistemas de información)
itación del personal de seguridad física, en temas de seguridad de la información.
e ambientes adecuados de desarrollo, pruebas y producción para los sistemas de información.
10. Definición de políticas de respaldo de información.
a de continuidad de negocio y los respectivos planes derivados para los servicios más críticos.
arse todos los procedimientos definidos para la recuperación de los servicios y para el desarrollo
de las actividades más críticas para el servicio.
nálisis respectivo, deberá implementarse un datacenter alterno, para restaurar los servicios en
naza de tipo natural (terremoto, inundaciones), un incendio, terrorismo entre otros que pueda
afectar físicamente los servicios alojados en el sitio original.
adamente al personal que administra o gestiona la solución, adicionalmente, implementar
versalidad, para que la mayoría de los ingenieros conozcan varios temas y puedan suplir bajar de
personal de manera temporal.
e cambios para verificar consecuencias en actualizaciones o configuraciones nuevas, empleando
los respectivos ambientes de desarrollo, pruebas y producción.
e sistemas de seguridad perimetral (IPS, Firewall) y balanceadores, que eviten saturaciones y/o
ataques de DDoS.
as periódicas en contingencia de energía eléctrica, con el uso de UPS, plantas alternas etc....
idad física donde se encuentren ubicados los sistemas de información, así mismo asegurar las
icas para evitar sabotajes como desconexión de los servidores o de los dispositivos de red.
ecíficos de respuesta y recuperación para los incidentes (ANS), adicionales a los que planamente
hablen sobre disponibilidad del servicio.
entación de aplicaciones de seguridad (Antimalware, antiphishing, antispyware, etc.)
principal, que mínimo cumpla las condficiones/configuraciones por lo menos TIER3.
untos de enrolamiento se recomienda verificar que el personal tenga los procedimientos de
enrolamientos bien documentados y definidos.
2. Verificar antecedentes de funcionarios contratados para tal fin.
o de bajas de personal, efectuar las bajas en los sistemas de información a la mayor brevedad
ca el desarrollo de procedimientos de creación y gestión de usuarios según cada rol).
mente que los usuarios registren información verídica (incluyendo la biométrica), todo esto en el
marco del procedimiento de enrolamiento que deberá generarse.
decuada en los diferentes procesos, para evitar el mal uso de las aplicaciones o la carga de
información errada en las mismas.
e ambientes adecuados de desarrollo, pruebas
tránsito o en uso. y producción para los sistemas de información
mación física sensible, deberá disponerse de un área de archivo con la custodia correspondiente
(Puertas, Cámaras de seguridad y Controles de Acceso Físico)
idad física donde se encuentren ubicados los sistemas de información, así mismo asegurar las
icas para evitar sabotajes como desconexión de los servidores o de los dispositivos de red.
preparados planes de continuidad de negocio en caso de robo de algún componente específico,
teniendo en cuenta los tiempos de respuesta definidos.
5. Políticas para disposición de información de medios físicos.
o el personal en temas de ingeniería social, para evitar posibles robos de información a través de
estos métodos.
herramientas como antivirus
sa sobre el personal o IPS
contratado a niveljudicial
(Pasado de Host, que protejan
y pruebas a los servidores
de seguridad), y/o sistemas
dependiendo de
del tipo
privilegios que pueda tener en cuanto al acceso a los datos o la información.
de confidencialidad para cada uno de los empleados que tengan o no acceso a la información y
las instalaciones (incluyendo al personal de mantenimiento y aseo)
documentos definidos para la confidencialidad, deberá enfatizarse las consecuencias legales y
rias correspondientes en caso de faltar a los compromisos que en este se enuncien.
en el ingreso de dispositivos de almacenamiento extraíbles como discos duros, memorias USB
etc... las cuales no deberían emplearse por parte del operador.
erramientas personales (correo electrónico, soluciones en la nube etc...) Ajenas a las asignadas
uyendo los computadores, NO debe haber acceso a la administración de las plataformas desde
máquinas particulares o personales.
onal de técnicas como la ingeniería social para evitar fugas de información por este método.
sible o privada que esté alojada en las distintas bases de datos y en las soluciones de respaldo
mente cifradas y protegidas por aplicaciones de seguridad, si existe un robo de la información, no
mpañas para la ciudadanía, reforzando los temas principalmente de ingeniería social y phishing,
para el robo de datos de acceso.
dicionales de autenticación que incrementen los niveles de seguridad, teniendo en cuenta los
principios:
*Algo que el usuario sabe. (Ej. Contraseña, PIN)
*Algo que el usuario posee. (Ej. Token, Apps, Tarjetas)
*Algo que el usuario es. (Ej .Biometría)
*Algo que el usuario sabe hacer. (Ej. Firma)
pruebas de pentesting en los diferentes front-ends y sistemas de información, con el objetivo de
vitar los siguientes tipos de ataques (Considerando que serán páginas web:
*Web Parameter Tampering.
*XSS (Cross Site Scripting).
*SQL Injections.

4470 - Utica Matriz Riesgos Inf

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

4470 - Utica Matriz Riesgos Inf

Încărcat de

Drepturi de autor:

Formate disponibile

Factor de

Conjunto de recursos físicos que apoyan el funcionamiento de la organización y de manera específica el

1 Modificación no autorizada de la información X

Indisponibilidad de la información debido a fallas en sistemas, equipos

4 Hurto por parte de propios o terceros

5 Daño o Sabotaje por parte de propios o terceros X

Procesamiento ilegal de datos

información Corrupción de los datos

información Falla en equipo de telecomunicaciones

Ataques de acceso (Man in the middle)…

Falla en equipo de telecomunicaciones

Indisponibilidad de la Manipulación con software

información debido a Incumplimiento en el mantenimiento del

fallas en sistemas, Copia fraudulenta del software

equipos y servicios Uso de software falso o copiado

Hurto por parte de Abuso de derechos

propios o terceros FootPrinting, Packet Sniffeing (Ataques de

Ataques de acceso (Port Redirection)

Ataques de acceso (Man in the middle)…

Ataques de acceso (Trust Exploitation)

Daño o Sabotaje por Uso no autorizado del equipo

parte de propios o Procesamiento ilegal de datos

terceros Abuso de derechos

Ataques de acceso (Man in the middle)…

Denegación de Servicio (DDoS)

FootPrinting, Packet Sniffeing (Ataques de

a la información Ataques de acceso ( Ataques de passwords)

Ataques de acceso (Trust Exploitation)

Ataques de acceso (Man in the middle)…

Falta de políticas de seguridad de la información

Políticas ausentes o definidas deficientemente

Segregación de funciones, mecanismo importante para prevenir errores y

Los acuerdos contractuales con empleados y contratistas deben establecer sus

Definir en un proceso formal y comunicado diretrices para emprender acciones

Cuando lo requiere la política de control de acceso, el acceso a sistemas y

Desarrollar e implementar procedimientos para la manipulación de activos de

Implementar un procesos formal de provision de acceso a los usuarios para

Diseñar y aplicar protección fisica contra desastres naturales, ataques

Sistemas ubicados en el área externa de un fi

Control de Acceso, RFC 2827 Fi

Autenticación, Antisniffer, criptografía (SSH

Sistenas ubicados en el area externa de un fi

Autenticación, Antisniffer, criptografía (SSH

n el área externa de un firewall no deben ser

sniffer, criptografía (SSH, SSL, IPSec), IDS a

sniffer, criptografía (SSH, SSL, IPSec), IDS a

Modificación no autorizada de la información Integridad

Inconsistencias en la información Integridad

Hurto por parte de propios o terceros Disponibilidad

Divulgación no autorizada de información Confidencialidad

Información en transito (R8, R3, R4, R2.2, R5,

front End Usuarios, Front End Operador Front

Información, Sistemas de Enrolamiento

Información Fisica, Digital

Falta de políticas que rigen el uso aceptable de los activos de información

Falta de políticas que rigen el uso aceptable de los activos de información

Asignación errada de los derechos de acceso

Falta de políticas que rigen el uso aceptable de los activos de información

Falta de políticas que rigen el uso aceptable de los activos de información

Ausencia de controles de seguridad fisica

Ausencia de controles de seguridad fisica

3. Para las conexiones de enrolamiento (que utilizarán internet), un tipo de acceso di

1. Deberán ejecutarse pruebas de pentesting en los diferentes front-ends definido