Documente Academic
Documente Profesional
Documente Cultură
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
Firma del presidente del jurado
_____________________________
Firma del Jurado
_____________________________
Firma del Jurado
Por último, a cada uno de los docentes que nos formaron en el ciclo profesional de
Ingeniería de Sistemas.
Gracias a todos.
CONTENIDO
GLOSARIO.......................................................................................................................28
RESUMEN.......................................................................................................................30
ABSTRACT......................................................................................................................31
INTRODUCCIÓN...............................................................................................................1
2. MARCO DE REFERENCIA.......................................................................................18
2.1 MARCO TEÓRICO.................................................................................18
2.2 MARCO CONCEPTUAL.........................................................................22
2.3 ANTECEDENTES...................................................................................25
2.4 MARCO LEGAL......................................................................................29
3. PRESENTACIÓN DE LA ORGANIZACIÓN..............................................................34
3.1 DESCRIPCIÓN DE LA EMPRESA............................................................34
3.1.1 Historia.................................................................................................34
3.1.2 Misión...................................................................................................34
3.1.3 Visión...................................................................................................34
3.1.4 Ubicación geográfica...........................................................................35
3.2 ESTRUCTURA ORGANIZACIONAL.........................................................35
3.2.1 Mapa de Procesos ITFIP.....................................................................36
3.2.2 Dependencias y sus procesos.............................................................37
3.2.3 Procesos del departamento de sistemas............................................86
BIBLIOGRAFÍA............................................................................................................1491
WEBGRAFIA................................................................................................................1495
ANEXOS......................................................................................................................1501
LISTA DE TABLAS
Anexo A. Estado actual del departamento de Sistemas del ITFIP respecto a los
dominios de la norma ISO 27001:2013...............................................................1501
Anexo B. Cronograma de Actividades.................................................................1514
GLOSARIO
1
CNIS 2018 VIII Congreso Nacional de Innovación y Servicios Públicos – Glosario Seguridad. [en
línea], 2018 [revisado 29 octubre 2018]. Disponible en Internet: http://www.cnis.es/glosario-
seguridad/
2
CNIS 2018 VIII Congreso Nacional de Innovación y Servicios Públicos – Glosario Seguridad. [en
línea], 2018 [revisado 29 octubre 2018]. Disponible en Internet: http://www.cnis.es/glosario-
seguridad/
3
CNIS 2018 VIII Congreso Nacional de Innovación y Servicios Públicos – Glosario Seguridad. [en
línea], 2018 [revisado 29 octubre 2018]. Disponible en Internet: http://www.cnis.es/glosario-
seguridad/
4
CNIS 2018 VIII Congreso Nacional de Innovación y Servicios Públicos – Glosario Seguridad. [en
línea], 2018 [revisado 29 octubre 2018]. Disponible en Internet: http://www.cnis.es/glosario-
seguridad/
5
CNIS 2018 VIII Congreso Nacional de Innovación y Servicios Públicos – Glosario Seguridad. [en
línea], 2018 [revisado 29 octubre 2018]. Disponible en Internet: http://www.cnis.es/glosario-
seguridad/
POLÍTICAS DE SEGURIDAD: “conjunto de directrices plasmadas en un
documento escrito, que rigen la forma en que una organización gestiona y protege
la información y servicios que considera críticos”.7
6
CNIS 2018 VIII Congreso Nacional de Innovación y Servicios Públicos – Glosario Seguridad. [en
línea], 2018 [revisado 29 octubre 2018]. Disponible en Internet: http://www.cnis.es/glosario-
seguridad/
7
CNIS 2018 VIII Congreso Nacional de Innovación y Servicios Públicos – Glosario Seguridad. [en
línea], 2018 [revisado 29 octubre 2018]. Disponible en Internet: http://www.cnis.es/glosario-
seguridad/
8
ISO27001 – Sistema de Gestión de la Seguridad de la información. [en línea], 2018 [revisado 29
octubre 2018]. Pág.: 3 Disponible en Internet: http://www.iso27000.es/download/doc_sgsi_all.pdf
9
CNIS 2018 VIII Congreso Nacional de Innovación y Servicios Públicos – Glosario Seguridad. [en
línea], 2018 [revisado 29 octubre 2018]. Disponible en Internet: http://www.cnis.es/glosario-
seguridad/
RESUMEN
La norma ISO 27001:2013 para establecer y gestionar un SGSI, hace uso de las
fases de la metodología PHVA (Planificar-Hacer-Verificar-Actuar), ya que es
tradicional en los sistemas de gestión de calidad. Para el desarrollo del proyecto
se especifican cuatro capítulos, que se detallan de la siguiente manera:
The ISO 27001: 2013 standard to establish and manage an ISMS, makes use of
the phases of the PHVA (Plan-Do-Check-Act) methodology, since it is traditional in
quality management systems. For the development of the project four chapters are
specified, which are detailed as follows:
In the first planning chapter, elementary project data is documented, such as the
title, problem statement, justification, objectives, scope and limitations, as well as
the respective theoretical framework of the ISO 27001: 2013 standard together
with a description of each one of the methodology books, with their respective
conceptual framework; detailing the elementary terms of MAGERIT V3, the
feasibility of the project and its respective schedule of activities is defined.
In the second chapter of the organizational context, the recognition and description
of the organizational structure is made, documenting the current state of the
organization with respect to the ISO / IEC 27001 standard, according to the
different domains, the security policies, the organization of information security, HR
security (Human Resources), asset management, among others.
In the third chapter, risk analysis and management, a proprietary tool MAGERIT V3
was used, with it is specified step by step how to find the risks on each asset.
These steps are: The identification of the inventory of assets, determine the
valuation of the assets, analyze the threats, estimate the impact and potential risk
and identify the safeguards.
In the fourth chapter, the strategies, techniques and risk treatment plan, security
plans are described, specifying the ISMS policies, conclusions and
recommendations according to the commitment with ISO / IEC 27001: 2013.
1
1. DEFINICIÓN DEL PROBLEMA
Cada vez están más en auge las empresas y organizaciones que diseñan un
sistema de gestión de seguridad de la información SGSI. En la actualidad se ha
convertido en una técnica utilizada de acuerdo con las circunstancias cambiantes
que han generado preocupación y prevención en cada una de las organizaciones.
Lo anterior, hace que se establezca como prioridad un sistema de gestión de
seguridad de la información como parte relevante de una organización.
2
Aquella información solamente llega a alojar una parte de ella, puesto que la
cantidad de estudiante egresado también es almacenada. En promedio 2.350
estudiantes se encuentran matriculados en las diferentes plataformas (RYCA y
RYCA V.2.0.0). Como plus adicional, los egresados de la institución redondean un
total de 13500, de los diferentes programas académicos ofrecidos por la
institución. La información de los jóvenes que actualmente se encuentran
cursando en los diferentes periodos lectivos es considerada para la evaluación del
rendimiento y crecimiento de cada uno de los ciclos propedéuticos.
3
Se puede pensar si es posible tener diseñado un sistema de gestión de seguridad
de la información. No obstante, con el incremento en el uso del entorno digital
también se incrementan las amenazas cibernéticas, las vulnerabilidades y los
incidentes digitales. Situación que afecta la seguridad de los ciudadanos, de las
organizaciones públicas y privadas, e incluso de infraestructuras que hacen parte
de los intereses de la nación. Durante los últimos años, Colombia ha sido foco de
interés para distintos ataques cibernéticos, los cuales se han sofisticado trayendo
consigo el incremento de la efectividad de estos y una mayor dificultad para su
oportuna detección. Escenario que preocupa al Gobierno nacional toda vez que
las condiciones para desarrollar actividades socioeconómicas en el país cada día
se soportan más en el uso de las TIC, y los incidentes digitales en Colombia
afectan a varios agentes y sectores, siendo la ciudadanía la mayor afectada.
1.3 OBJETIVOS
4
Construir una declaración de aplicabilidad para mitigar los riesgos basados
en la ISO27001:2013, con el fin de minimizar los riesgos que fueron
identificados.
1.4 JUSTIFICACIÓN
5
de tecnologías de información.”12, según lo anterior, cada organización con la
implementación de la metodología es capaz de identificar, los posibles causantes
de daños y conflictos a su información/activos, a su vez, son capaces de generar
las correcciones preventivas y correctivas.
Por otra parte, la norma ISO 27001 en su versión del año 2013, como se aprecia
en la siguiente cita:” ISO 27001 es una norma internacional que permite el
aseguramiento, la confidencialidad e integridad de los datos y de la información,
así como de los sistemas que la procesan.” 13, se puede aclarar que lo
mencionado anteriormente tanto la metodología MAGERIT y la ISO 27001 se
complementan de manera idónea para trabajar, puesto que, permiten establecer
una ventaja entre otros sectores del mismo campo.
1.5.1 Alcances
1.5.2 Limitaciones
6
No se realiza la implementación y proceso de gestión de riesgos en la
entidad.
No se analizará todos los activos de información de la institución.
No se harán acciones correctivas, sino solamente se darán
recomendaciones.
Una vez se ha logrado enfocar la unidad de análisis que permitirá llevar a cabo de
una manera más centralizada la proyección de la investigación a realizar, se
procede a identificar cuáles serán las variables a tener en cuenta y sus respectivas
dimensiones; para ello mediante una serie de estudios se obtiene que la variable
de referencia seria los activos de información que componen la dependencia de
Sistemas de la Institución y la dimensión a la que se encaminara esta variable
dentro de este diseño es el análisis de la seguridad que tiene la dependencia de
sistemas a la hora de afrontar riesgos que puedan afectar sus activos de
información.
7
1.6.2 Población y Muestra.
1.6.2.1 Población
1.6.2.2 Muestra
8
tecnología como en la norma ISO 27001 del 2013, diseñando un sistema de
gestión de la seguridad de la información.
Una vez diagnosticado el problema, el marco teórico y estado del arte, los
objetivos alcances y limitaciones, el siguiente avance consiste en formular el
diseño de un Sistema de Gestión de la Seguridad de la Información por medio del
uso de la metodología MAGERIT que está basada en la norma ISO 27001 del año
2013 y en donde se plantea una investigación a los activos que comprenden a la
dependencia de sistemas en la institución.
9
cuales fueron adaptadas a una asociación de personas que están comprometidas
directa e indirectamente con la dependencia de sistemas de la institución.
En esta investigación, para delimitar la muestra, se procedió de forma no
probabilística, que, en el dominio de la estadística, se define como “Muestra por
conveniencia intencional”16, esto se elaboró teniendo en cuenta a las personas que
poseen mayor conocimiento de los problemas que se presentan en la
dependencia de sistemas y como trabaja esta con la información que adquiere a
través de sus conexiones. La fuente segundaria pertenece a información
bibliográfica y verificaciones del estado del arte.
Directos:
16
Hernández Sampieri, R., Fernández Collado, C. y Pilar Baptista L. (2010). Metodología de la
investigación. México. Ed. Mc Graw Hill.
17
Dirección general de modernización administrativa, P.e (2012). MAGERIT- versión 3.0
Metodología de análisis y gestión de riesgos de los sistemas de información Madrid.
10
Concienciar a los responsables de la información dentro de la organización
de que existen ciertos riesgos que pueden amenazar su integridad y de la
necesidad de gestionarlos para así tener un control oportuno.
Otorgar un procedimiento semántico que permita examinar los riesgos
procedentes del uso de tecnologías de la información y comunicación (TIC).
Descubrir y planificar el procedimiento adecuado para mantener los riesgos
bajo control.
Indirectos:
Las labores que se ejecutan bajo la metodología MAGERIT son las siguientes:
11
Equipamiento informático (Hardware): Aquí es posible encontrar todos
los medios materiales, físicos que permiten hospedar datos aplicaciones y
servicios.
La manera en la que se pueden valorar los activos puede ser de dos tipos:
12
común en los datos como activo, a los servicios que se ofrece y busca tener
una respuesta a ¿Qué importancia tendría que el activo no estuviera
disponible? O ¿Qué daño produciría no tenerlo o no poderlo utilizar?
Son todos aquellos eventos que pueden repercutir en la reducción del valor de un
activo dentro de la empresa; algunas de las amenazas más comunes que
podemos encontrar según MAGERIT son las siguientes:
13
Causadas por las personas de forma accidental: Son dificultades que
pueden surgir de forma no intencional por aquellas personas que tienen
acceso a la información.
Después de que se logra identificar que amenaza puede afectar a un activo como
tal, se procede a valorar la consecuencia que esta generaría; esta valoración
comprende dos tipos:
Se designa como impacto al perjuicio que se ha generado por una amenaza sobre
un activo; dentro de los impactos es posible encontrar dos tipos:
14
Impacto acumulado: Es el que se deduce de manera correspondiente
para cada uno de los activos, por cada amenaza y dimensión de valoración,
se debe tener en cuenta su valor acumulado y las amenazas a las que ha
sido expuesto.
Después de determinar el impacto que puede ser generado por las amenazas a
las que se han evaluado cada uno de los activos, es posible diagnosticar la
probabilidad de ocurrencia que estas tendrían dentro de la empresa.
Fuente: (Dirección general de modernización administrativa, P.e (2012). MAGERIT- versión 3.0 Metodología
de análisis y gestión de riesgos de los sistemas de información Madrid).
15
Zona 3: Riesgos improbables y de bajo impacto.
Zona 4: Riesgos improbables, pero de muy alto impacto.
Riesgo acumulado
Riesgo repercutido
6) Salvaguardas
Tipos de Salvaguardas
16
Hoy en día es posible identificar distintos modelos de defensa que son
presentados por las salvaguardias, para buscar así una reducción de la
degradación y la probabilidad. Estos modelos de defensa se encuentran divididos
según el efecto que producen en:
Agrupación: Permiten reunir las causas producidas por las dos anteriores;
en esta división es posible estimar salvaguardas de monitorización, de
detección, de concienciación y administrativas.
Eficiencia de la salvaguarda
Fuente: (Dirección general de modernización administrativa, P.e (2012). MAGERIT- versión 3.0 Metodología
de análisis y gestión de riesgos de los sistemas de información Madrid).
7) Impacto Residual
17
deducirse de forma agrupada sobre cada uno de los activos minoritarios o
repercutidos sobre los superiores.
8) Riesgo residual
2. MARCO DE REFERENCIA
18
Mirabal Sarria y Maragoto Maragoto.” Propuesta de una guía de seguridad informática integrada
a la gestión de la calidad", Observatorio de la Economía Latinoamericana, Nº 164, 2012. Texto
disponible en: http://www.eumed.net/cursecon/ecolat/cu/2012/. Citado: 17 de sept. de 18
18
como un manual de que se debe cumplir para evitar problemas, donde se debe
establecer para dar soporte a los sistemas de seguridad implementados en las
tecnologías de información y comunicación.
Por otra parte, la norma ISO 27001, es fundamental, ya que contiene los requisitos
del sistema de gestión de seguridad de la información para cualquier organización
y esta es certificada por auditores externos. Esta norma indica cuales son los
requerimientos para la implementación de controles de seguridad. El SGSI está
diseñado para escoger y brindar las políticas de seguridad que permitan proteger
los activos de información.
Esta ISO aplica para todas las disposiciones de un SGSI, un modelo de procesos
“Planificar-Hacer-Verificar-Actuar” (PHVA) para estructurar de manera adecuada
cada proceso.
19
Juan José Caballero Romero. Etnometodología, Universidad Complutense. Texto disponible en:
http://www.reis.cis.es/REIS/PDF/REIS_056_06.pdf. Citado:17 de sept. de 18
20
Juan Báez y Pérez de Tudela. Investigación cualitativa 2 edición, Libros profesionales de
empresa 2009. Disponible en:
https://books.google.com.co/books?id=Xmv-
PJ9KtzsC&printsec=frontcover&dq=cualitativa&hl=es&sa=X&ved=0ahUKEwi23dCN_8PdAhVR3VM
KHdYyDoIQ6AEIJzAA#v=onepage&q=cualitativa&f=false. Citado: 18 de sept. de 18
19
internacional ISO 27001, debemos utilizar el ciclo PDCA (siglas en inglés) o PHVA
(siglas en español).”21
Planificar: Se define cuáles son los alcances del SGSI referente a la norma ISO
14001, la información necesaria se establece y se justifican las exclusiones. En
este paso definimos la metodología de trabajo, además de adquirir el conocimiento
necesario de la organización.
21
Isotools. ISO 27001: La implementación de un Sistema de Gestión de Seguridad de la
Información, Blogs SGSI, 2015. Texto disponible en: https://www.pmg-ssi.com/2015/01/iso-27001-
la-implementacion-de-un-sistema-de-gestion-de-seguridad-de-la-informacion/. Citado: 17 de sept.
de 18
20
Hacer: Se crea un plan de tratamiento para los riesgos, esto referenciado y
encaminados a los objetivos de manejo identificados.
Se implementan métricas que permitan conseguir resultados eficaces y
reproducibles a la hora de evaluar los objetivos de manejo encontrados.
Actuar: Cada laxo de tiempo se debe aplicar las mejoras identificadas al sistema
de gestión de seguridad de la información de la organización. Instaurar acciones
preventivas y correctivas basadas en la estructura de la norma 27001, además de
analizar si las mejoras propuestas están a las medidas de la organización y si
estando aplicadas al SGSI se sostendrían en la organización.
22
Purificación aguilera. Seguridad Informática, Google book. Disponible en:
https://books.google.com.co/books?
id=Mgvm3AYIT64C&printsec=frontcover&hl=es&source=gbs_ge_summary_r&cad=0#v=onepage&
q&f=false. Citado:17 de sept. de 18
23
GUTIERREZ, Camilo. Welivesecurity. MAGERIT: metodología práctica para gestionar riesgos,
[Revisado 12 de Septiembre del 2018]. Disponible en Internet: https://www.welivesecurity.com/la-
es/2013/05/14/magerit-metodologia-practica-para-gestionar-riesgos/
21
COBIT tiene como significado “Objetivos de control para la tecnología de
información”, este tiene como disposición el evaluar y hacer monitoreo de los
sistemas de TI, enfatizando en su seguridad e intervenciones concisas que se
centren en el modelo de negocio. Según EAFIT, la filosofía principal de esta
metodología es el implementar su modelo a toda la organización, no se excluye
nada, desde computadoras personales hasta el acceso a la red, se basa en que
cada bien o servicio TI deben ser instrumentados mediante procesos agrupados y
así obtener información de manera optimizada y confiable que es el medio
principal para lograr los objetivos de una organización.
24
RAE.REAL ACADEMIA ESPAÑOLA. Definición de Investigación, [Revisado 12 de Septiembre
del 2018]. Disponible en Internet: http://dle.rae.es/?id=M3YxV5t
22
Información: La información es todo aquello que suma prioridad ante una
organización, estos, pueden tener variedad de importancia dependiendo de si
mismos. Para una organización, sin importar su razón social es lo más importante
para no perder el recorrido de quienes son y a que se dedican.
25
RAE.REAL ACADEMIA ESPAÑOLA. Definición de Análisis, [Revisado 12 de Septiembre del
2018]. Disponible en Internet: http://dle.rae.es/?id=2Vga9Gy
26
RAE.REAL ACADEMIA ESPAÑOLA. Definición de Gestionar, [Revisado 12 de Septiembre del
2018]. Disponible en Internet: http://dle.rae.es/?id=JAQijnd
27
VIU. UNIVERSIDAD INTERNACIONAL DE VALENCIA. ¿Qué es la seguridad informática y cómo
puede ayudarme?, [Revisado 12 de Septiembre del 2018]. Disponible en Internet:
https://www.universidadviu.com/la-seguridad-informatica-puede-ayudarme/
28
RAE.REAL ACADEMIA ESPAÑOLA. Definición de Recolectar, [Revisado 12 de Septiembre del
2018]. Disponible en Internet: http://dle.rae.es/srv/search?m=30&w=recolectar
23
Disponibilidad: Según el libro MAGERIT en su versión 3, define la disponibilidad
como “Propiedad o característica de los activos consistente en que las entidades o
procesos autorizados tienen acceso a los mismos cuando lo requieren.” 29, lo que
da a entender el nivel de complejidad que pueda tener para acceder a dicha
información, además, del personal conocedor de la misma.
24
un referente de quien creo, modifico y/o elimino la información que tiene la
organización.
Riesgos: Según MAGERIT, los riegos son las estimaciones de que tan alta es la
posibilidad de que una amenaza se materialice sobre uno o más activos y esto
cause daños o perjuicios a la organización.34
2.3 ANTECEDENTES
34
Ministerio de Administraciones Públicas de España. MAGERIT – Versión 3.0. Metodología de
Análisis y Gestión de Riesgos de los Sistemas de Información. Madrid: Ministerio de Hacienda y
Administraciones públicas, 2012. Pag 9. Administración electrónica.
35
Ministerio de Administraciones Públicas de España. MAGERIT – Versión 3.0. Metodología de
Análisis y Gestión de Riesgos de los Sistemas de Información. Madrid: Ministerio de Hacienda y
Administraciones públicas, 2012. Pag 9-10. Administración electrónica.
36
Ministerio de Administraciones Públicas de España. MAGERIT – Versión 3.0. Metodología de
Análisis y Gestión de Riesgos de los Sistemas de Información. Madrid: Ministerio de Hacienda y
Administraciones públicas, 2012. Pag 12. Administración electrónica.
37
RAE.REAL ACADEMIA ESPAÑOLA. Definición de Software, [Revisado 12 de Septiembre del
2018]. Disponible en Internet: http://dle.rae.es/?id=YErlG2H
38
RAE.REAL ACADEMIA ESPAÑOLA. Definición de Hardware, [Revisado 12 de Septiembre del
2018]. Disponible en Internet: http://dle.rae.es/?id=K1Wwkf7
25
Título del proyecto: SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN (SGSI) BASADO EN LA NORMA ISO 27001 Y 27002 PARA LA
UNIDAD DE INFORMATICA Y TELECOMUNICACIONES DE LA UNIVERSIDAD
DE NARIÑO
Para esto los autores aplicaron la Norma ISO/IEC 27001 y 27002, y gracias a esta
lograron obtener un alto nivel de calidad en el proceso de la seguridad de la
información, el cual es totalmente independiente del tamaño y/o a la razón social
de la organización, pero también aclararan que aunque estas medidas de
seguridad se encuentre en funcionamiento, no pueden ofrecer garantía que las
medidas de seguridad sean absolutas ya que pueden existir amenazas que
vulneren estas, también afirman que MAGERIT presenta una guía completa y
sistemática de cómo llevar acabo el análisis de riesgos, por ende el uso de la
misma nos permite acelerar el proceso de realización del mismo mediante las
tablas que la metodología MAGERIT ofrece, y por ultimo luego de realizar este
(SGSI) y de analizar la norma ISO/IEC 27001:2005 junto a los niveles de madurez
la universidad en el módulo al cual se le realizo el (SGSI) podría optar a la
certificación de esta norma.
26
Título por obtener: MAGISTER EN GESTIÓN DE LAS
COMUNICACIONES Y TECNOLOGÍAS DE LA
INFORMACIÓN
Resumen: Esta tesis tenía como objetivo principal Diseñar un Sistema de gestión
de Seguridad de la Información (SGSI) para las Instituciones Militares, el cual
incorporase estándares internacionales que estuviesen ajustados al campo militar
y las nuevas tecnologías de información y telecomunicaciones, este se realizado
en la Armada del Ecuador a la Dirección de Tecnologías de la Información y
Comunicaciones.
Luego de realizar el (SGSI), el autor concluye que para el año 2015 las
Instituciones Militares de Ecuador, no disponían de este lo cual permitía que a la
más mínima amenaza estas podrían perder su activo más preciado el cual es la
información, eta afirmación tiene como fundamento la Norma ISO 27001:2005.
27
La metodología MAGERIT, facilito el trabajo a la hora de que los autores
realizaran el análisis de riesgos gracias a la guía que esta ofrece siendo por poco
un paso a paso para realizar este.
Al final los autores recomiendan que la empresa debe realizar una revisión
periódica de las amenazas y de los riesgos que los activos de esta tienen, como
también capacitar al personal para que se cumplan las normas de seguridad que
fueron aconsejadas/empleadas para la gestión de los riesgos.
28
Director(a): FERNANDO BARAJAS
Y al finalizar las dos etapas los autores definieron las políticas de seguridad que la
alcaldía debía cumplir para que no se presentasen las amenazas que fueron
identificadas.
Derechos de Autor
39
CARTAGENA, L. C. (17 de 12 de 1993). decisión 351. Obtenido de
http://www.sice.oas.org/trade/junac/decisiones/Dec351s.asp
40
COLOMBIA, E. P. (23 de 6 de 1989). Decreto 1360 de 1989 Nivel
Nacional. Obtenido de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=10575
29
Artículo 2° El soporte lógico (software) estará constituido o poseerá uno o varios
de los siguientes elementos los cuales son, el programa de computador, la
descripción del programa y el material auxiliar.
30
Artículo 8° La fecha para la cual rige este decreto será el de su revelación.
Decreto 162 de 1996 " Por el cual se reglamenta la Decisión Andina 351de 1993 y
la Ley 44 de 1993, en relación con las Sociedades de Gestión Colectiva de
Derecho de Autor o de Derechos Conexos" 43
Ley 603 de 2000 "Por la cual se modifica el artículo 47 de la Ley 222 de 1995" 46
Ley 719 de 2001 “Por la cual se modifican las Leyes 23 de 1982 y 44 de 1993 y se
dictan otras disposiciones.”47
41
Colombia, E. C. (5 de 2 de 1993). Ley 44 de 1993 Nivel Nacional. Recuperado el 26 de 5 de
2018, de http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=3429
42
COLOMBIA, E. P. (16 de 3 de 1995). Decreto 460 de 1995 Nivel Nacional. Recuperado el 26 de
5 de 2018, de http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=10576
43
COLOMBIA, E. P. (22 de 1 de 1996). Decreto 162 de 1996 Nivel Nacional. Obtenido de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=10574
44
COLOMBIA, E. C. (31 de 12 de 1999). LEY 545 DE 1999. Recuperado el 26 de 5 de 2018, de
http://propiedadintelectual.unal.edu.co/fileadmin/recursos/innovacion/docs/normatividad_pi/ley545_
1999.pdf
45
Colombia, E. C. (8 de 2 de 2000). LEY 565 DE 2000. Recuperado el 26 de 5 de 2018, de
https://www.ins.gov.co/Normatividad/Leyes/LEY%200565%20DE%202000.pdf
46
Colombia, E. C. (27 de 7 de 2000). LEY 603 DE 2000. Recuperado el 26 de 5 de 2018, de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=13960
47
COLOMBIA, E. C. (30 de 4 de 2018). LEY 719 DE 2001. Recuperado el 26 de 5 de 2018, de
http://www.secretariasenado.gov.co/senado/basedoc/ley_0719_2001.html
31
Decreto 2591 de 2000 “Por el cual se reglamenta parcialmente la Decisión 486 de
la Comisión de la Comunidad Andina.”49
Ley 178 de 1994 “Por medio de la cual se aprueba el "Convenio de París para la
Protección de la Propiedad Industrial", hecho en París el 20 de marzo de 1883,
revisado en Bruselas el 14 de diciembre de 1900, en Washington el 2 de junio de
1911, en La Haya el 6 de noviembre de 1925, en Londres el 2 de junio de 1934, en
Lisboa el 31 de octubre de 1958, en Estocolmo el 14 de julio de 1967 y
enmendado el 2 de octubre de 1979. Específica que los países que se le aplica
este convenio se constituyen en Unión para la Protección de la Propiedad
Industrial, esta tiene como objeto las patentes de invención, los modelos de
utilidad, los dibujos o modelos industriales, la marca de fábrica o de comercio, las
marcas de servicio, el nombre comercial, las indicaciones de procedencia o
denominaciones de origen, así la represión de la competencia desleal” 51
Ley 527 de 1999 “Por medio de la cual se define y reglamenta el acceso y uso de
los mensajes de datos, del comercio electrónico y de las firmas digitales, y se
establecen las entidades de certificación y se dictan otras disposiciones. La ley
527, es una ley de carácter probatorio, que permite aplicar las mismas
consecuencias jurídicas que ostentan los medios físicos o tradicionales a la
utilización de medio electrónicos.”52
48
Andina, C. d. (1 de 12 de 2000). DECISIÓN 486: Régimen Común sobre Propiedad Industrial *.
Recuperado el 26 de 5 de 2018, de http://www.sice.oas.org/Trade/Junac/Decisiones/dec486si.asp
49
República, P. d. (13 de 12 de 2000). Decreto 2591 de 2000. Recuperado el 26 de 5 de 2018, de
http://hdl.handle.net/11520/13737
50
COLOMBIA, E. C. (2018 de 4 de 30). LEY 463 DE 1998. Recuperado el 26 de 5 de 2018, de
http://www.secretariasenado.gov.co/senado/basedoc/ley_0463_1998.html
51
COLOMBIA, E. C. (30 de 4 de 2018). LEY 178 DE 1994. Recuperado el 26 de 5 de 2018, de
http://www.wipo.int/edocs/lexdocs/laws/es/co/co073es.pdf
52
Colombia, E. C. (18 de 8 de 1999). Ley 527 de 1999 Nivel Nacional. Recuperado el 26 de 5 de
2018, de https://www.ambitojuridico.com/noticias/tic/uso-de-medios-electronicos-i-la-ley-527-de-
1999-como-instrumento-normativo-suficiente
32
información y las comunicaciones, entre otras disposiciones también castiga los
delitos informáticos.”53
“Por la cual se dictan las disposiciones generales del Hábeas Data y se regula el
manejo de la información contenida en bases de datos personales, en especial la
financiera, crediticia, comercial, de servicios y la proveniente de terceros países y
se dictan otras disposiciones.”54
TITULO II
53
EL CONGRESO DE LA REPUBLICA DE COLOMBIA DECRETA. Ley 1273 de 2009 [En línea].
Bogotá. 2009., 1 p. disponible en
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34492
54
EL CONGRESO DE LA REPUBLICA DE COLOMBIA DECRETA. Ley 1266 de 2008 [En línea].
Bogotá. 2008., 1 p. disponible en
http://www.redipd.org/legislacion/common/legislacion/Colombia/LEY_1266_31_12_2008_HabeasD
ata_COLOMBIA.pdf
33
Ejercer los derechos fundamentales al habeas data, sin perjuicio de los
mecanismos legales o constitucionales55.
Solicitar, actualizar, y rectificar la diferente información respecto a la base
de datos.
Pedir la prueba de la autorización en el caso de ser necesaria.
55
EL CONGRESO DE LA REPUBLICA DE COLOMBIA DECRETA. Ley 1266 de 2008 [En línea].
Bogotá. 2008., 5 p. disponible en
http://www.redipd.org/legislacion/common/legislacion/Colombia/LEY_1266_31_12_2008_HabeasD
ata_COLOMBIA.pdf
56
COLOMBIA, E. C. (5 de 1 de 2009). LEY 1273 DE 2009. Recuperado el 26 de 5 de 2018, de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34492
34
3. PRESENTACIÓN DE LA ORGANIZACIÓN
3.1.1 Historia
35
3.1.3 Visión
Al 2019 el ITFIP será una institución universitaria que forme con calidad,
responsabilidad social y ambiental, mediante programas académicos acreditados
de alta calidad, dándole oportunidad a la sociedad que genere un proyecto de vida
que transforme su entorno y contribuya al desarrollo regional y nacional en un
contexto internacional.
3.1.4 Ubicación geográfica
36
institucionales, dependencias y áreas que bajo, que el sistema de calidad
reconoce como procesos de apoyo académico y administrativo. 57
Fuente: http://www.ITFIP.edu.co/images/Institucional/Estructura.png
57
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pag: 15 [Consultado: 19 de
septiembre de 2018].
37
Ilustración 5. Mapa de Procesos del ITFIP
Fuente: http://www.ITFIP.edu.co/images/Institucional/Mapa_de_ProcesosITFIP1.jpg
58
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pag: 16 [Consultado: 19 de
septiembre de 2018].
59
ITFIP, Institución de Educación Superior. Caracterización de Proceso “Direccionamiento
estratégico”. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pag: 1 [Consultado: 26 de
septiembre de 2018]. Disponible en Internet:
38
Procesos:
https://www.itfip.edu.co/images/2015/CARACTERIZACION-DIRECCIONAMIENTO-
ESTRATEGICO-2015.pdf
39
Este proceso consiste en conocer las principales cifras estadísticas institucionales
para ser analizadas para la toma de decisiones, para publicar anualmente un
boletín estadístico.
60
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pag: 23-44 [Consultado : 19 de
septiembre de 2018].
40
Fuente: Autoría propia.
Procesos:
Este proceso consiste en establecer en ordenar todas las labores por realizar
durante un año.
61
ITFIP, Institución de Educación Superior. Control Interno. Lugar de Publicación: Espinal-Tolima,
diciembre de 2016. [Consultado: 26 de septiembre de 2018]. Disponible en Internet:
http://www.itfip.edu.co/institucional/estructura-administrativa/control-interno.html
41
Este proceso consiste en identificar, analizar, valorar los riesgos que puede
presentar la institución evaluando y verificando el grado de desarrollo de la
administración del riesgo y el cumplimiento de cada uno de los planes de
contingencia para garantizar que la misión y visión se están logrando.
62
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pag: 45-56 [Consultado : 19 de
septiembre de 2018].
42
Fuente: Autoría Propia.
Procesos:
Este proceso consiste en recibir, registrar y analizar cada una de las sugerencias,
quejas, reclamos y felicitaciones realizadas por la comunidad. Para tenerlas en
cuenta e ir mejorando la institución.
Este proceso consiste en elaborar y evaluar los convenios que tiene la institución,
que estos cumplan con las disposiciones legales establecidas y estén avalados.
63
ITFIP, Institución de Educación Superior. Gestión Jurídica. Lugar de Publicación: Espinal-Tolima,
diciembre de 2016. [Consultado: 26 de septiembre de 2018]. Disponible en Internet:
http://www.itfip.edu.co/institucional/estructura-administrativa/gestion-juridica.html
43
ACTUALIZACIÓN DE NORMAS Y LEYES.
RESPONSABLE: Asesor Jurídico.
ASEGURAMIENTO DE BIENES
RESPONSABLE: Asesor Jurídico.
ATENCIÓN A DEMANDAS.
RESPONSABLE: Asesor Jurídico.
RECUPERACIÓN DE CARTERA.
RESPONSABLE: Asesor Jurídico.
44
Este proceso consiste en recuperar la cartera mediante cobro persuasivo y
coactivo, evitando que quede en mora.
Este proceso consiste en revisar que los actos administrativos que emita la
institución se ajusten al derecho por medio de resoluciones, actas y proyectos de
acuerdos.64
64
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pag: 57-78 [Consultado : 19 de
septiembre de 2018].
45
Fuente: Autoría Propia.
Dependencia: Docencia
65
ITFIP, Institución de Educación Superior. Caracterización de proceso. Lugar de Publicación:
Espinal-Tolima, noviembre de 2014. [Consultado: 27 de septiembre de 2018]. Disponible en
Internet:
http://www.itfip.edu.co/images/2014/CARACTERIZACION%20DOCENCIA%20%202014.pdf
46
ASEGURAMIENTO DE RECURSO DOCENTE PARA EL EJERCICIO
ACADÉMICO
47
RESPONSABLE(S): DECANOS, COORDINADORES GRUPO INTERNO DE
TRABAJO Y DOCENTES.
Uno de los procesos más importantes para la institución, puesto que permite estar
en la vanguardia de las últimas tendencias a nivel de escolaridad y metodologías
de estas; como también permitiendo tener los currículos actualizados ante
cualquier auditoria.
Como eje central, en este proceso los interventores directos suelen cumplir un rol
de máxima “autoridad”; con el objetivo de indicar el correcto funcionamiento
académico ante otras instancias superiores a ellas, esto se realiza con el objetivo
de contemplar las debidas constancias a reuniones ejecutadas, como también
conceptos básicos sobre sus propias temáticas.
En este proceso, se busca poder brindar todas las herramientas con las que
cuenta la institución. El préstamo de laboratorios de electrónica, física y demás
derivadas a la comunidad educativa. Esto se cataloga y guarda constancia en un
documento para poder elaborar las estadísticas pertinentes.
PROMOCIÓN DE PROGRAMAS ACADÉMICOS
48
Este proceso es uno de los más importantes como pilar de la institución, puesto
que la estructura principal para la formación de cada uno de los estudiantes que
posan su confianza en la institución, puesto que los responsables mencionados
anteriormente, analizan cada uno de los perfiles de los orientadores, realizando un
filtro del personal apropiado. La realización de este proceso permite arrojar el
resultado de los docentes aprobados para dictar clases en los periodos en
cursos.66
Dependencia: Investigación
49
de conocimiento, lo cual conlleva a la solución de problemas del entorno,
empleando los conocimientos poseídos.67
VISIBILIDAD DE LA INVESTIGACIÓN.
67
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”. Lugar de
Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de septiembre de 2018].
Disponible en Internet:
https://itfip.edu.co/images/2015/CARACTERIZAION-INVESTIGACION-2015.pdf
50
Con la realización de estos proyectos de investigación, la comunidad estudiantil
tiene la oportunidad de optar por el título, puesto que la inclusión en semilleros de
investigación repercute a una ardua labor en la institución ante los entes
investigadores. Como a su vez, la obtención del grado por parte del estudiante.
68
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pág.: 105-118 [Consultado: 19
de septiembre de 2018].
51
DESCRIPCIÓN: En la dependencia de proyección social es la encargada del
desarrollo de los procesos de interacción desde diversos programas académicos,
para lograr un impacto en la comunidad y en la región. 69
52
EXTENSIÓN DE LOS PROGRAMAS ACADÉMICOS
70
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pág.: 119-137 [Consultado: 19
de septiembre de 2018].
53
Ilustración 11. Procesos Dependencia "Proyección Social”
71
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”. Lugar de
Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de septiembre de 2018].
Disponible en Internet:
http://www.itfip.edu.co/procesos-academicos/oficina-de-admisiones-registro-y-control-
academico.html
54
APERTURA, DESARROLLO Y CIERRE DE PERIODOS ACADEMICOS
MATRÍCULA DE ESTUDIANTES
Este proceso consiste en contar con una oportuna disposición y fácil acceso a la
información documental y magnética de manera organizada con el fin de prestar
un óptimo servicio al cliente
55
Este proceso consiste en el registro oportuno del sistema SNIES para la
información estadística de la población estudiantil de manera semestral.
56
Dependencia: Bienestar Universitario
57
capacitaciones para los estudiantes nuevos que ingresen al primer semestre a los
diferentes programas académicos.
74
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pág.: 154-168 [Consultado: 19
de septiembre de 2018].
58
Ilustración 13. Procesos Dependencia "Bienestar Universitario”
75
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”. Lugar de
Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de septiembre de 2018].
Disponible en Internet:
https://itfip.edu.co/images/2014/CARACTERIZACION%20SERVICIOS%20ACADEMICOS
%202014.pdf
59
RESPONSABLE(S): PROFESIONAL UNIVERSITARIO.
Este proceso consiste en ofrecer un buen servicio eficaz y óptimo para todos los
estudiantes de la institución.
60
equipos salas de proyecciones y material audiovisual para la comunidad
estudiantil
76
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pág.: 169-186 [Consultado: 19
de septiembre de 2018].
61
Dependencia: Gestión Administrativa e Infraestructura Física.
Este proceso consiste en dirigir y revisar los elementos físicos prestados para un
mejor agrado del cliente.
TRAMITE DE VIATICOS
Este proceso consiste en suministrar recursos financieros para viáticos para los
funcionarios que tengan que desplazarse fuera del municipio en representación de
la institución.
77
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”. Lugar de
Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de septiembre de 2018].
Disponible en Internet:
https://www.itfip.edu.co/images/2015/CARACTERIZACION-GESTION-ADMINISTRATIVA-2015.pdf
62
RESPONSABLE(S): PROFESIONAL DE APOYO VICERRECTORÍA
ADMINISTRATIVA.
Este proceso consiste en ordenar y mantener limpia las oficinas, pisos, aulas,
baños, laboratorios y áreas comunes de las instalaciones de la Institución.
63
Este proceso consiste en supervisar la documentación dirigida a entes externos.
RECIBO DE CORRESPONDENCIA
Este proceso consiste en solucionar cualquier petición del interesado en algún tipo
de documento que repose en el archivo de la institución.
78
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pág.: 187-233 [Consultado: 19
de septiembre de 2018].
64
Ilustración 15. Procesos Dependencia "Gestión Administrativa e Infraestructura Física”
79
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”. Lugar de
Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de septiembre de 2018].
Disponible en Internet:
http://www.itfip.edu.co/institucional/estructura-administrativa/vicerrectoria-administrativa/gestion-
financiera/almacen
65
Este proceso consiste en la compra de elementos necesarios requeridos por la
institución para tener un buen funcionamiento de esta.
BAJA DE BIENES
66
ELABORACIÓN DEL BALANCE MENSUAL
Este proceso consiste en desarrollar con un control de los bienes materiales para
dar un buen uso ellos.
80
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pág.: 234-264 [Consultado: 19
de septiembre de 2018].
67
Ilustración 16. Procesos Dependencia "Gestión Administrativa e Infraestructura Física (Almacén)”
68
RESPONSABLE(S): COORDINADORA GRUPO INTERNO DE TRABAJO DE
TALENTO HUMANO.
69
EXPEDICIÓN DE CERTIFICACIONES
Este proceso consiste en la realización del reporte mensual realizado por el área
de financiera para efectuar el pago de las cesantías al personal administrativo y
docentes de planta.
70
INDUCCION Y REINDUCCION
REUBICACION LABORAL
71
RESPONSABLE(S): RECTORÍA, COORDINADOR GRUPO INTERNO DE
TRABAJO DE TALENTO.
Este proceso consiste en la realización de los trámites para el retiro del funcionario
del servicio cualquiera que sea su causal bajo el cumplimiento de las normas
establecidas por la institución; además se efectuara el pago de las prestaciones
por las que el funcionario tiene derecho.
LIQUIDACIÓN DE NOMINAS
82
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pág.: 265-310 [Consultado: 19
de septiembre de 2018].
72
Ilustración 17. Procesos Dependencia "Gestión Del Talento Humano”
73
Descripción: En la dependencia de salud ocupacional se encuentra dentro del
proceso de grupo de talento humano, su objetivo principal es la prevención de
accidentes de trabajo y enfermedades profesionales, además de contar con
actividades como medicina preventiva, medicina del trabajo, higiene y seguridad
industrial.83
Este proceso consiste en Desarrollar métodos para medir los riesgos que se
encuentran expuestos los funcionarios, como causas o consecuencias; además
del grado de peligrosidad para así dar recomendaciones para la prevención y
control de estos.
83
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”. Lugar de
Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de septiembre de 2018].
Disponible en Internet:
http://www.itfip.edu.co/institucional/estructura-administrativa/vicerrectoria-administrativa/gestion-
talento-humano/salud-ocupacional
74
Este proceso consiste en la construcción y la publicación de los reglamentos de
higiene y seguridad industrial de la institución.
PLAN DE EMERGENCIAS
84
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pág.: 311-323 [Consultado: 19
de septiembre de 2018].
75
Ilustración 18. Procesos Dependencia "Gestión Del Talento Humano (Salud Ocupacional)”
85
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”. Lugar de
Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de septiembre de 2018].
Disponible en Internet:
https://www.itfip.edu.co/images/2015/CARACTERIZACION-GESTION-FINANCIERA-2015.pdf
76
RESPONSABLE(S): COORDINADOR ÁREA FINANCIERA.
Este proceso consiste en analizar y verificar los valores cancelados que cumplan
con los requisitos; además transacciones financieras deben estar registradas en
las órdenes de pago correspondientes a los documentos anexados
Este proceso consiste en realizar un estudio para las necesidades del presupuesto
para así suplir las falencias presupuestales en rubros de vital importancia para el
funcionamiento de la institución.
86
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pág.: 324-336 [Consultado: 19
de septiembre de 2018].
77
Fuente: Autoría Propia.
Dependencia: Presupuesto
78
RESPONSABLE(S): RECTOR – VICERRECTOR ADMINISTRATIVO -
COORDINADOR FINANCIERO Y PROFESIONAL UNIVERSITARIO
PRESUPUESTO.
Este proceso consiste en llevar a cabo una adecuada ejecución, registro y control
de las apropiaciones presupuestales.
PRESENTACIÓN DE INFORMES
88
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pág.: 337-346 [Consultado: 19
de septiembre de 2018].
79
Ilustración 20. Procesos Dependencia "Presupuesto”
Dependencia: Tesorería
RESPONSABLE(S): TESORERO.
Este proceso consiste en generar el pago en las fechas establecidas para los
diferentes proveedores y acreedores de la institución, se deberán generar y
aprobar las órdenes de pago con dos (2) días de anticipación a la fecha límite de
pago.
RESPONSABLE(S): TESORERO.
80
APERTURA DE CUENTAS BANCARIAS Y REGISTRO SIIF
RESPONSABLE(S): TESORERO.
RESPONSABLE(S): TESORERO.
PAGO PARAFISCALES.
RESPONSABLE(S): TESORERO.
Este proceso consiste en Cancelar mensualmente los aportes parafiscales dentro
de la fecha establecida (el tercer día hábil del mes siguiente) para la institución.
RESPONSABLE(S): TESORERO.
RESPONSABLE(S): TESORERO.
81
PROGRAMACIÓN DEL PAC (PROGRAMACIÓN ANUAL DE CAJA).
Este proceso consiste en verificar que los recursos sean suficientes para cubrir los
pagos y obligaciones para garantizar un buen funcionamiento de la institución.
PROGRAMACIÓN DE GIROS
90
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pág.: 347-371 [Consultado: 19
de septiembre de 2018].
82
Ilustración 21. Procesos Dependencia "Tesorería”
Dependencia: Contabilidad
91
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”. Lugar de
Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de septiembre de 2018].
Disponible en Internet:
http://www.itfip.edu.co/institucional/estructura-administrativa/vicerrectoria-administrativa/gestion-
financiera/contabilidad
83
RESPONSABLE(S): CONTADOR.
RESPONSABLE(S): CONTADOR.
92
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pág.: 372-389 [Consultado: 19
de septiembre de 2018].
84
Ilustración 22. Procesos Dependencia "Contabilidad”
93
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”. Lugar de
Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de septiembre de 2018].
Disponible en Internet:
https://www.itfip.edu.co/images/Institucional/ADMINISTRACIONDERIESGOSGESTIONDECALIDA
D2014.pdf
85
DISEÑO DE PLANES DE SENSIBILIZACIÓN Y CAPACITACIÓN DEL
SISTEMA DE GESTIÓN DE LA CALIDAD.
CONTROL DE DOCUMENTOS
94
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pág.: 390-401 [Consultado: 19
de septiembre de 2018].
86
revisión, aprobación, distribución y modificación de los documentos que conforman
el S.I.G de la Institución, así mismo la distribución y revisión de la documentación
externa. Una vez realizado este proceso se espera que el profesional pueda
contar con documentos actualizados y conservados de acuerdo con el tipo de
documento (copia controlada, copia no controlada, copias obsoletas).
CONTROL DE REGISTROS
Con las auditorías internas integrales se busca generar acciones que permitan
estimular el mejoramiento continuo dentro de la gestión institucional. Para lograr
alcanzar este mejoramiento el asesor de control interno- auditor líder debe
planificar, desarrollar, mantener y realizar un programa de auditorías Integrales
para evaluar la efectividad del sistema de Control Interno en el cumplimiento de
los objetivos institucionales, por medio del monitoreo, valoración y verificación
objetiva e independiente y que estos se desarrollen conforme a los lineamientos
legales, constitucionales, institucionales y las normas de calidad aplicables.
RESPONSABLE(S): RECTOR.
Se logra constituir diferentes técnicas a través de la eficacia que permite dar como
efectividad el sistema de gestión de la calidad la cual se va aplicando dentro de la
institución y poder hacer una retroalimentación de sus falencias y poder corregirlas
en un futuro.
87
El líder de este proceso es encargado del control del producto o servicio no
conforme; como objetivo principal de control su función consiste en realizar el
seguimiento al producto o servicio no conforme de la institución, para prevenir su
uso o entrega no intencional.
ACCIONES PREVENTIVAS
ACCIONES CORRECTIVAS
Se tiene como un principal objetivo el poder decretar una metodología que ayude
al alcance de diferentes métodos de no conformidad frente a las acciones de
agudeza
En la institución tratando de asegurar hacia un futuro un mejor la sistematización
de esta. 95
95
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos “ITFIP” Versión
N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016. Pág.: 402-432 [Consultado: 19
de septiembre de 2018].
88
Ilustración 24. Procesos Dependencia "Sistema de gestión de calidad del S.G.C”
Dependencia: Sistemas.
SISTEMATIZACIÓN DE PROCESOS
89
RESPONSABLE: Coordinador de sistemas.
Apoyar las acciones que deban implementarse en pro a alcanzar cada uno de los
objetivos/metas establecidas para el mejoramiento.
PRESENTACIÓN DE ACTIVIDADES
Presentar informes sobre las actividades desarrolladas dentro del plan establecido
por el proceso de proyección social.
90
Contribuir en el diseño del modelo y estadísticas en la aplicación del sistema de
información de la institución que tengan relación con las funciones inherentes al
proceso de proyección social, Participar en la preparación, seguimiento y
evaluación de plan de acción institucional y de manera específica.
91
Ilustración 26.. Procesos Dependencia de sistemas (2)
Rendir todos los informes que demanden el proceso y acordes con su perfil en
funciones académicas.
PROCESOS DE EMERGENCIA
92
Las demás que se le asignen y correspondan a la naturaleza. Mantenimiento y
soporte de hardware, software y redes de datos; asistencia técnica a los sistemas
informáticos de la institución y de terceros que use la institución.
MANTENIMIENTO AL SISTEMA
MANTENIMIENTO TIC’S
93
SOPORTE A LOS CANALES DE COMUNICACIÓN
ANALISTA DE CONTENIDO
94
RESPONSABLE: Programador catedrático.
95
Creación, implementación, implantación, administración y soporte a las bases de
datos institucionales.
96
Planeación, implementación, administración y soporte de redes convergentes
institucionales.
Autoría Propia.
97
DESARROLLO DE ESTRATEGIAS PARA PLANES GUBERNAMENTALES
Autoría Propia.
ASISTENCIA
Cumplir las demás funciones que le sean asignadas, de acuerdo con la naturaleza
de su cargo.
98
MANEJO DE SERVIDORES, EQUIPOS, REDES Y DEMAS
Autoría Propia.
99
100
4. CAPITULO III. DESARROLLO DEL PROYECTO
101
Lo que la norma (ISO/IEC 27001
versión 2013) requiere se está
CP CUMPLE PARCIALMENTE haciendo de manera parcial, se
está aplicando diferente, no está
documentado, se definió y aprobó,
pero no se gestiona.
4.1.1 Cuestionario.
102
● A16. Gestión de los incidentes de seguridad de la información.
● A17. Aspectos de seguridad de la información de la gestión de
continuidad de negocio.
● A18. Cumplimiento.
Dominio CS CP NC Ítems
Evaluados
A6 Organización de la seguridad de la 4 2 2 8
información: En este dominio se busca
establecer un marco de referencia de
gestión para iniciar y controlar la
implementación y operación de la
seguridad de la información dentro de la
organización.
103
A8 Gestión de activos: En este dominio se 1 3 2 6
busca identificar los activos
organizacionales y definir las
responsabilidades de protección
adecuadas, asegurando que la
información se proteja de la manera
correcta de acuerdo con su importancia
para la organización.
3 1 1
A13 Seguridad de las comunicaciones: La 5
información se maneja a través de unos
canales de comunicación, por actores
que influyen en la toma de decisiones
acerca del destino que debe o tomar la
información. Todo ello conlleva a la
104
necesidad de crear una seguridad en
cada uno de los componentes de
trazabilidad y confiabilidad de esta.
105
Suma Total 57 34 14 105
Fuente: Autoría Propia.
Cumple Satisfactoriamente
Cumple Parcialmente
No Cumple A nivel general, más del 50% de
los dominios cumplen
satisfactoriamente con las pautas
13% requeridas, dejando solamente un
33% a labores no culminadas; al
contrario del 13% de dominios
54% que no se cumplen.
32%
106
4.1.3.2 Resultados dominio A6 organización de la seguridad de la
información.
Cumple Satisfactoriamente
Cumple Parcialmente
No Cumple Para este dominio se observa que
en la dependencia de sistemas de
25%
manera general el 50% de los
ítems se cumplen
satisfactoriamente, el otro 50% es
50% dividido entre que cumple
parcialmente y que no cumplen.
25%
Cumple Satisfactoriamente
Cumple Parcialmente
No Cumple Para este dominio se observa que
en la dependencia de sistemas de
manera general el 56% de los
22% ítems se cumplen
satisfactoriamente, el otro 44% es
dividido entre que cumple
56% parcialmente y que no cumplen.
22%
107
Fuente: Autoría Propia
Cumple Satisfactoriamente
Cumple Parcialmente
No Cumple Para este dominio se observa que
en la dependencia de sistemas en
la gestión de los activos
17%
solamente el 17% cumplen
33% satisfactoriamente, el 33% no
cumplen y 50% cumplen
parcialmente.
50%
Cumple Satisfactoriamente
Cumple Parcialmente
No Cumple
Para este dominio se observa que
en la dependencia de sistemas de
6% manera general se cumplen
satisfactoriamente el 67% de los
28% ítems, el 28% se cumplen parcial
y solamente el 5% no cumplen.
67%
108
Fuente: Autoría Propia.
Cumple Satisfactoriamente
Cumple Parcialmente
No Cumple
100%
Cumple Satisfactoriamente
Cumple Parcialmente
Es claro el alarmante déficit
No Cumple
aplicado en esta dependencia,
puesto que el 60% de las
preguntas efectuadas, se
20% 20%
cumplen, pero no en su totalidad,
demostrando así el gran problema
en este ítem. Un valor igualado
(20%) se presentan entre cumplir
y no cumplir las especificaciones
60%
109
4.1.3.8 Resultados dominio A12 seguridad en las operaciones.
Cumple Satisfactoriamente
Cumple Parcialmente Parte de tranquilidad en el
No Cumple enfoque del dominio 12, puesto
que se puede apreciar un 55%,
18% en donde si se cumple con las
respectivas recomendaciones de
las dependencias, otro 27%,
cumple parcialmente con estos
55% recursos, dejando así solo un
27% 18% de ítems no tomados en
cuenta.
Cumple Satisfactoriamente
Cumple Parcialmente
No Cumple Un 60% de las preguntas
efectuadas cumple
20% satisfactoriamente con las
indicaciones que la norma lo
exige, caso contrario con los
ítems que se encuentran
igualados (20%), lo que conlleva
20% 60% a un factor preocupante en el
dominio.
110
Fuente: Autoría Propia.
Cumple Satisfactoriamente
Cumple Parcialmente
No Cumple
100%
Cumple Satisfactoriamente
Cumple Parcialmente
No Cumple
Según la gráfica, dos tercios de
partes cumplen los
25% requerimientos necesarios para
efectuar este dominio, siendo
positivo en donde un tercio
solamente cumple parcialmente lo
planeado.
75%
111
Fuente: Autoría Propia.
Cumple Satisfactoriamente
Cumple Parcialmente
La situación es alarmante en el
No Cumple
dominio 16, puesto que más del
ochenta por ciento (83%), se
17%
realiza de manera inconclusa,
dejando cabos sueltos en la
realización de cada uno de los
ítems mencionados. Ante esta
negativa se ve reflejada el
porcentaje restante (17%), que si
se cumple en su totalidad.
83%
Cumple Satisfactoriamente
Cumple Parcialmente El resultado que arrojan los datos
No Cumple obtenidos se puede plantear de
dos maneras paralelas. En la
20% primera podemos apreciar que
sola mente una quinta parte de
los ítems consultados se llevan a
cabo parcialmente, dejándose
inconcluso. Caso totalmente
contrario con el porcentaje
restante que cumple a la
80% perfección lo requerido.
112
Fuente: Autoría Propia
Cumple Satisfactoriamente
Cumple Parcialmente
No Cumple Uno de los dominios más críticos,
puesto que es en este dónde
prevalece el trabajo parcial,
dejando labores sin concluir que
puede llevar concurrir un riesgo a
40%
gran escala. No obstante, el
porcentaje restante (40%), de
nota una aceptabilidad total en
60%
cada una de las funciones
comprometidas.
Para la realización del objetivo numero dos (2), el cual consiste en efectuar un
análisis de riesgo empleando la metodología MAGERIT. Con el propósito de
determinar y valorar los riesgos, amenazas y vulnerabilidades de cada uno de los
activos que allí se encuentran, a su vez, determinar y clasificar cada uno de ellos
de acuerdo con su jerarquía, codificación, descripción y demás valores que se
apreciaran en el desarrollo de este.
113
susceptibles a amenazas de toda índole. A continuación, se evidencia los activos
que se encontraron.
114
Pimiento Cárdenas
22400631 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400632 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400633 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400634 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400635 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400636 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400637 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400638 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400639 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400640 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400641 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400642 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400643 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400644 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400645 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400646 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400647 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400648 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400649 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400650 Alcatel lucent omniacces ap105
Wilson Mauricio
Pimiento Cárdenas
22400595 Alcatel lucent omniacces ap17
Wilson Mauricio
Pimiento Cárdenas
22400596 Alcatel lucent omniacces ap17
Wilson Mauricio
115
Pimiento Cárdenas
22400597 Alcatel lucent omniacces ap17
Wilson Mauricio
Pimiento Cárdenas
22400598 Alcatel lucent omniacces ap17
Wilson Mauricio
Pimiento Cárdenas
22400676 Alcatel lucent os6850e-bp modu
Wilson Mauricio
Pimiento Cárdenas
22400677 Alcatel lucent os6850e-bp modu
Wilson Mauricio
Pimiento Cárdenas
22400607 Alcatel lucent outdoor antenna
Wilson Mauricio
Pimiento Cárdenas
22400608 Alcatel lucent outdoor antenna
Wilson Mauricio
Pimiento Cárdenas
22400609 Alcatel lucent outdoor antenna
Wilson Mauricio
Pimiento Cárdenas
22400610 Alcatel lucent outdoor antenna
Wilson Mauricio
Pimiento Cárdenas
22400611 Alcatel lucent outdoor antenna
Wilson Mauricio
Pimiento Cárdenas
22400612 Alcatel lucent outdoor antenna
Wilson Mauricio
Pimiento Cárdenas
22400613 Alcatel lucent outdoor antenna
Wilson Mauricio
Pimiento Cárdenas
22400614 Alcatel lucent outdoor antenna
Wilson Mauricio
Pimiento Cárdenas
22400615 Alcatel lucent outdoor antenna
Wilson Mauricio
Pimiento Cárdenas
22400616 Alcatel lucent outdoor antenna
Wilson Mauricio
Pimiento Cárdenas
22400617 Alcatel lucent outdoor antenna
Wilson Mauricio
Pimiento Cárdenas
22400618 Alcatel lucent outdoor antenna
Wilson Mauricio
Pimiento Cárdenas
22400619 Alcatel lucent outdoor antenna
Wilson Mauricio
Pimiento Cárdenas
22400620 Alcatel lucent outdoor antenna
Wilson Mauricio
Pimiento Cárdenas
22400573 Computador todo en uno Intel c
Wilson Mauricio
Pimiento Cárdenas
22400531 Computador iMac Intel Core i5
Wilson Mauricio
Pimiento Cárdenas
22400532 Computador iMac Intel Core i5
Wilson Mauricio
Pimiento Cárdenas
22400533 Computador iMac Intel Core i5
Wilson Mauricio
116
Pimiento Cárdenas
22400534 Computador iMac Intel Core i5
Wilson Mauricio
Pimiento Cárdenas
22400535 Computador iMac Intel Core i5
Wilson Mauricio
Pimiento Cárdenas
22400536 Computador iMac Intel Core i5
Wilson Mauricio
Pimiento Cárdenas
22400537 Computador iMac Intel Core i5
Wilson Mauricio
Pimiento Cárdenas
22400530 Computador p/control de acceso
Wilson Mauricio
Pimiento Cárdenas
22400570 Computador todo en uno Core i5
Wilson Mauricio
Pimiento Cárdenas
22400571 Computador todo en uno Core i5
Wilson Mauricio
Pimiento Cárdenas
22400572 Computador todo en uno Core i5
Wilson Mauricio
Pimiento Cárdenas
22400574 Computador todo en uno Core i5
Wilson Mauricio
Pimiento Cárdenas
22400575 Computador todo en uno Core i5
Wilson Mauricio
Pimiento Cárdenas
22400577 Computador todo en uno Core i5
Wilson Mauricio
Pimiento Cárdenas
22400578 Computador todo en uno Core i5
Wilson Mauricio
Pimiento Cárdenas
22400579 Computador todo en uno Core i5
Wilson Mauricio
Pimiento Cárdenas
22400580 Computador todo en uno Core i5
Wilson Mauricio
Pimiento Cárdenas
22400581 Computador todo en uno Core i5
Wilson Mauricio
Pimiento Cárdenas
22400583 Computador todo en uno Core i5
Wilson Mauricio
Pimiento Cárdenas
22400584 Computador todo en uno Core i5
Wilson Mauricio
Pimiento Cárdenas
22400585 Computador todo en uno Core i5
Wilson Mauricio
Pimiento Cárdenas
22400586 Computador todo en uno Core i5
Wilson Mauricio
Pimiento Cárdenas
22400588 Computador todo en uno Core i5
Wilson Mauricio
Pimiento Cárdenas
22400589 Computador todo en uno Core i5
Wilson Mauricio
Pimiento Cárdenas
22400148 Computador todo en uno hp pro
Wilson Mauricio
117
Pimiento Cárdenas
22400192 Computador todo en uno hp pro
Wilson Mauricio
BACK UP- Copias de seguridad de cada pc de la Pimiento Cárdenas
SISTEMAS dependencia de sistemas Wilson Mauricio
Copias de seguridad de cada pc de Pimiento Cárdenas
BACK UP-ITFIP
las dependencias de la institución Wilson Mauricio
BACK UP- Copias de seguridad de las Pimiento Cárdenas
SERVER’S configuraciones de los servidores Wilson Mauricio
Pimiento Cárdenas
E-ORG Estructura organizacional
Wilson Mauricio
Pimiento Cárdenas
22400672 Hp prolina dl320e gen8 sata 9
Wilson Mauricio
Pimiento Cárdenas
I-DC Inventario de contratos
Wilson Mauricio
Pimiento Cárdenas
I-DU Inventario de usuarios
Wilson Mauricio
Pimiento Cárdenas
22400529 Lector biométrico 9581
Wilson Mauricio
Pimiento Cárdenas
22400899 Lector código de 547 barras
Wilson Mauricio
Pimiento Cárdenas
22400900 Lector código de 547 barras
Wilson Mauricio
Pimiento Cárdenas
22400540 Portátil tipo estación de trab
Wilson Mauricio
Pimiento Cárdenas
22400542 Portátil tipo estación de trab
Wilson Mauricio
Pimiento Cárdenas
22400543 Portátil tipo estación de trab
Wilson Mauricio
Pimiento Cárdenas
22400544 Portátil tipo estación de trab
Wilson Mauricio
Pimiento Cárdenas
22400545 Portátil tipo estación de trab
Wilson Mauricio
Pimiento Cárdenas
22400546 Portátil tipo estación de trab
Wilson Mauricio
Pimiento Cárdenas
22400547 Portátil tipo estación de trab
Wilson Mauricio
Pimiento Cárdenas
22400548 Portátil tipo estación de trab
Wilson Mauricio
Pimiento Cárdenas
22400549 Portátil tipo estación de trab
Wilson Mauricio
Pimiento Cárdenas
22400554 Portátil tipo estación de trab
Wilson Mauricio
Pimiento Cárdenas
22400555 Portátil tipo estación de trab
Wilson Mauricio
118
Pimiento Cárdenas
22400557 Portátil tipo estación de trab
Wilson Mauricio
Pimiento Cárdenas
22400562 Portátil tipo estación de trab
Wilson Mauricio
Pimiento Cárdenas
22400563 Portátil tipo estación de trab
Wilson Mauricio
Pimiento Cárdenas
22400564 Portátil tipo estación de trab
Wilson Mauricio
Pimiento Cárdenas
22400565 Portátil tipo estación de trab
Wilson Mauricio
Pimiento Cárdenas
R-DA Registro de actividades
Wilson Mauricio
Registro de la Arquitectura de los Pimiento Cárdenas
R-AE
Equipos Wilson Mauricio
Pimiento Cárdenas
R-ME Registro Mantenimiento Equipos
Wilson Mauricio
Pimiento Cárdenas
22400513 Router tp-link archerc 7 9530
Wilson Mauricio
Pimiento Cárdenas
22400266 Servidor dell powerd edge ta20
Wilson Mauricio
Pimiento Cárdenas
22400264 Servidor hewlett packard ml350
Wilson Mauricio
Pimiento Cárdenas
S-PV Soporte de plataformas virtuales
Wilson Mauricio
Pimiento Cárdenas
S-EC Soporte equipos de computo
Wilson Mauricio
Pimiento Cárdenas
22400675 Tabla negra de 9 pulgadas allw
Wilson Mauricio
Pimiento Cárdenas
22400526 Ups 10 kva 9578
Wilson Mauricio
Pimiento Cárdenas
22400527 Ups 10 kva 9579
Wilson Mauricio
Pimiento Cárdenas
22400528 Ups 10 kva 9580
Wilson Mauricio
Pimiento Cárdenas
22400673 Ups tecnología de entrada bifá
Wilson Mauricio
Pimiento Cárdenas
22400674 Ups tecnología de entrada bifá
Wilson Mauricio
Pimiento Cárdenas
VLAN-ADMON Vlan de administración
Wilson Mauricio
Pimiento Cárdenas
VLAN-ALMA Vlan de almacén
Wilson Mauricio
Pimiento Cárdenas
VLAN-CONF Vlan de configuración
Wilson Mauricio
119
Pimiento Cárdenas
VLAN-EST Vlan de estudiantes
Wilson Mauricio
Pimiento Cárdenas
VLAN-FINAN Vlan de financiera
Wilson Mauricio
Pimiento Cárdenas
VLAN-RYCA Vlan de registro y control
Wilson Mauricio
Pimiento Cárdenas
VLAN-SIS Vlan de sistemas
Wilson Mauricio
Pimiento Cárdenas
VLAN-TALEN Vlan de talento humano
Wilson Mauricio
Pimiento Cárdenas
VLAN-TESO Vlan de tesorería
Wilson Mauricio
Pimiento Cárdenas
V-WIFI Vlan de wifi
Wilson Mauricio
Contraseña Biométricas para acceso Pimiento Cárdenas
PASS-BIO
a la sala de servidor Wilson Mauricio
Contraseña de los usuarios que Pimiento Cárdenas
PASS-SERVER
acceden a los servidores Wilson Mauricio
PASS-SERVER- Contraseña del servidor de copias de Pimiento Cárdenas
BACK UP seguridad Wilson Mauricio
Contraseña de los uusuarios de los Pimiento Cárdenas
PASS-PC-ITFIP
Pc de las demás dependencias Wilson Mauricio
Código de confirmación para acceso Pimiento Cárdenas
C-CASERVER
a la sala de servidor Wilson Mauricio
Sistema de Registro y Control Pimiento Cárdenas
S-RYCA1
Académico (RYCA) V.1 Wilson Mauricio
Sistema de Registro y Control Pimiento Cárdenas
S-RYCA2
Académico (RYCA) V.2.0 Wilson Mauricio
Pimiento Cárdenas
P-ITFIP Página Oficial del ITFIP
Wilson Mauricio
Pimiento Cárdenas
G-CHROME Google Chrome
Wilson Mauricio
Pimiento Cárdenas
M-F Mozilla Firefox
Wilson Mauricio
Pimiento Cárdenas
SAFI Safari
Wilson Mauricio
Pimiento Cárdenas
M-OFFICE Microsoft Office 2013
Wilson Mauricio
Pimiento Cárdenas
O-OLINUX Open Office Linux 2017
Wilson Mauricio
Pimiento Cárdenas
S-CENTER System Center
Wilson Mauricio
Pimiento Cárdenas
W-DEFEN Windows Defender
Wilson Mauricio
120
Pimiento Cárdenas
W-8 Windows 8
Wilson Mauricio
Pimiento Cárdenas
W-SER09 Windows Server 2009
Wilson Mauricio
Pimiento Cárdenas
W-SER12 Windows Server 2012
Wilson Mauricio
Pimiento Cárdenas
C-5 CentOS 5
Wilson Mauricio
Pimiento Cárdenas
D-7 Debian 7
Wilson Mauricio
Pimiento Cárdenas
U-14 Ubuntu 14
Wilson Mauricio
Pimiento Cárdenas
M-OSX Mac OS X
Wilson Mauricio
Pimiento Cárdenas
CMD CoMmanD (CMD)
Wilson Mauricio
Pimiento Cárdenas
C-LMAC CoMmanD line (Mac)
Wilson Mauricio
Pimiento Cárdenas
TERM Terminal
Wilson Mauricio
Pimiento Cárdenas
ITFIP ITFIP
Wilson Mauricio
Pimiento Cárdenas
ITFIP 2 ITFIP 2
Wilson Mauricio
Pimiento Cárdenas
ITFIP_P1 ITFIP_P1
Wilson Mauricio
ITFIP_FUNCION Pimiento Cárdenas
ITFIP_FUNCIONARIOS_P1
ARIOS_P1 Wilson Mauricio
ITFIP_FUNCION Pimiento Cárdenas
ITFIP_FUNCIONARIOS_P1
ARIOS_P1 Wilson Mauricio
Pimiento Cárdenas
Salas1y2 Salas1y2
Wilson Mauricio
Pimiento Cárdenas
Salas_Sis2 Salas_Sis2
Wilson Mauricio
Pimiento Cárdenas
Rectoría Rectoría
Wilson Mauricio
Pimiento Cárdenas
DSK1024 DDS 1TB
Wilson Mauricio
Pimiento Cárdenas
O-PD Oficina principal de la dependencia
Wilson Mauricio
P-IM Proveedor de Internet Movistar Movistar
Muñoz López Jhon
Prg Pimiento Cárdenas Wilson Mauricio
Darwin
C-DDS Muñoz López Jhon Darwin Isabel Ortiz Serrano
121
Muñoz López Jhon
A-MR Juan Sebastián Laguna
Darwin
Muñoz López Jhon
Ing. Aux Melisa Rivera Sánchez
Darwin
Pimiento Cárdenas
22400659 Alcatel lucent 1port802.3af po
Wilson Mauricio
Fuente: Autoría propia.
122
Tabla 22. Clasificación de activos según MAGERIT.
Código Nombre grupo Nombre Descripción Código Nombre de activo Función
grupo de de activo del activo Consecut ITFIP
activo MAGERIT ivo ITFIP
MAGERIT
Esenciales
[vr] datos vitales Documento En este activo se I-DU Inventario de Poseer el
s de la almacén a el usuarios contenido
organizació registro de los crucial, en
n usuarios de la el cual,
parte llegado el
administrativa. momento
de caída
accidental u
ocasionada
Este activo E-ORG estructura
del sistema,
almacén a cada organizacional
se pueda
una de las
corregir de
dependencias
manera
que tiene la
eficiente,
institución.
permitiéndo
Este activo I-DC Inventario de se así
guarda el contratos optimizar el
registro de los tiempo de
contratos. respuesta.
Este activo lleva R-DA Registro de
un registro de las actividades
actividades que
se realizan.
123
Este activo lleva R-ME Registro
el registro de los Mantenimiento
mantenimientos equipos
realizados.
124
entre ellos. optima
Este activo es la VLAN- Vlan de financiera cada una
red virtual de FINAN de las
financiera para dependenci
poder as que se
comunicarse someten a
entre ellos. los
Este activo es la VLAN- Vlan de tesorería servicios de
red virtual de TESO sistemas,
tesorería para permitiéndo
poder les así,
comunicarse trabajar de
entre ellos. manera
Este activo es la VLAN- Vlan de estudiantes más
red virtual de EST cercana
estudiantes para entre sus
poder propios
comunicarse núcleos.
entre ellos.
Este activo es la V-WIFI Vlan de wifi
red virtual de
WIFI para poder
brindar soporte
en caso de algún
daño.
Este activo es la VLAN- Vlan de configuración
red virtual de CONF
configuración
para poder
configurar
equipos de
125
manera remota.
Este activo es la VLAN-SIS Vlan de sistemas
red virtual de
sistemas para
poder
comunicarse
entre ellos.
Este activo es la VLAN- Vlan de registro y
red virtual de RYCA control
RYCA para
poder
comunicarse
entre ellos.
Este activo es la VLAN- Vlan de almacén
red virtual de ALMA
almacén para
poder
comunicarse
entre ellos.
Este activo es la VLAN- Vlan de talento
red virtual de TALEN humano
Talento Humano
para poder
comunicarse
entre ellos.
Datos/Información
[backup] copias de Copias de Este activo BACK De cada pc de la Salvaguard
respaldo seguridad registra cada UP- dependencia de ar la
una de las SISTEMA sistemas información
copias de S que se
seguridad que se recolecta a
126
les hacen a los diario,
equipos de previniendo
sistemas. así la
Este activo BACK de cada pc de las perdida de
registra cada UP-ITFIP dependencias de la esta, lo
una de las institución cual, puede
copias de desencade
seguridad que se nar a la
les hacen a los perdida de
equipos de la la historia
institución. de la
Este activo BACK de las institución
registra cada UP- configuraciones de si no se
una de las SERVER’ los servidores maneja con
copias de S cautela,
seguridad que se
les hacen a los
servidores.
[password] Credenciales Contraseñ Este activo PASS- Biométricas para Su función
as de contiene las BIO acceso a la sala de es dar un
seguridad contraseñas servidor filtro a la
biométricas que cantidad de
dan acceso a la personas
sala principal de que pueden
servidores. acceder a
Este activo PASS- De los usuarios que un sistema
contiene las SERVER acceden a los o zona en
contraseñas con servidores específico,
las que acceden reduciendo
los el número
administradores de
127
a los servidores. personas
Este activo PASS- servidor de copias de que puede
contiene las SERVER- seguridad manipular
contraseñas del BACK UP la
servidor de información
copias de .
seguridad de la
institución.
[Files] Ficheros Archivos Son todos los Se encarga
archivos planos de tener de
que se pueden manera
identificar como digital la
códigos de información
programación, del
archivos en departamen
Excel etc. to de
sistemas.
Claves criptográficas
[info] protección de Credencial Para este active, PASS- Usuarios de los Pc de Permitir o
la información es se permite la PC-ITFIP las demás restringir el
externas creación de dependencias paso a
credenciales personas
para los que son o
diferentes no
accesos a los autorizadas
sistemas, como a
también de la manipular,
información que visualizar,
allí se alberga. transportar
entre otros
la
128
información
concernient
e a la
dependenci
a de
sistemas u
otro sitio.
[encrypt] claves de cifra Sistema de Este activo S-BIO Sensor biométrico Mantener
acceso gestiona a través bajo
de herramientas constante
las personas que monitoreo
pueden generar las
paso a otras, por personas
lo general es que tienen
administrada por acceso a la
el coordinador información
del área en , conocer
donde esta se qué tipo de
encuentra. información
manipulan
y el uso
que se le
da a la
misma.
[authenticat claves de Contraseñ Dicho activo C- Código de Este activo
ion] autenticación a de consiste en CASERV confirmación para permite
autenticaci asignar ER acceso a la sala de controlar
ón predeterminada servidor que
mente una personas
contraseña, que tienen
permite control de
129
identificar que usuarios
usuario y a por parte
donde tiene de la
permitido el plataforma.
acceso.
[prp] desarrollo Desarrollo Este activo S-RYCA1 Sistema de Registro y Este activo
propio (in propio contiene todo el Control Académico contiene la
house) (Ryca1 y código y (RYCA) V.1 información
Ryca2) software que concernient
maneja la e de la
plataforma carga
RYCA V.1 para académica,
su desarrollo o personal
mantenimiento. educativo,
Este activo S-RYCA2 Sistema de Registro y docentes,
contiene todo el Control Académico administrati
código y (RYCA) V.2.0 vos entre
software que otros.
maneja la
plataforma
RYCA V.2.0 para
su desarrollo o
mantenimiento.
[www] Servidor de Página de En este activo se P-ITFIP Página Oficial del La función
presentación la da conocer a la ITFIP plena del
institución institución por portal es
medio del portal mantener al
web, que a su tanto al
vez da acceso a personal de
la información al la
personal externo institución,
130
de la misma tenerla
informada
acerca de
los planes
educativos,
fechas de
ingreso,
calendario
académico,
etc.
Además,
contiene la
información
esencial
publica de
la
institución.
[browser] navegador web Navegador Este activo es el G- Google Chrome La función
es navegador web, CHROME de este
utilizado para activo es la
múltiples de permitir
funciones de el acceso a
trabajo. la
Este activo es el M-F Mozilla Firefox información
navegador web, encontrada
utilizado para en las
múltiples nubes
funciones de internas y
trabajo. externas de
Este activo es el SAFI Safari la
navegador web, institución,
131
utilizado para abrir
múltiples paginas
funciones de locales y
trabajo. demás.
[office] Ofimática Herramient Las M- Microsoft Office 2013 Este activo
as herramientas OFFICE es de
ofimáticas ofimáticas provecho
permiten editar para la
archivos planos. institución,
Las O- Open Office Linux puesto que
herramientas OLINUX 2017 permite la
ofimáticas creación de
permiten editar documento
archivos planos. s escritos
tales como
cartas;
presentació
n de
elementos
en
PowerPoint
, además,
del uso de
cálculos
básicos y
avanzados
a través de
la
herramienta
de Excel.
132
[av] antivirus Antivirus Este activo S- System Center Este
protege de virus CENTER software
que puedan permite el
afectar la escaneo de
información. los archivos
localizados
en cada
uno de los
Este activo W-DEFEN Windows Defender component
protege de virus es del pc, a
que puedan su vez, este
afectar la permite
información. alzar una
emergencia
al detectar
archivos
infecciosos
o malware.
[os] sistema Sistemas Los sistemas W-8 Windows 8 Este activo,
operativo operativos operativos, permite
permiten poner estructurar
en de manera
funcionamiento lógica cada
el hardware con una de las
el cual se tareas
cuenta, a su vez, lógicas
administrar cada otorgadas o
una de sus en plan de
funciones ejecución.
lógicas.
Este activo es W-SER09 Windows Server 2009
133
utilizado para
administrar y
configurar los
servidores.
Este activo es W-SER12 Windows Server 2012
utilizado para
administrar y
configurar los
servidores.
Este activo es C-5 CentOS 5
utilizado para
brindar
acompañamiento
a la seguridad de
la información.
Este activo es D-7 Debian 7
utilizado para
brindar
acompañamiento
a la seguridad de
la información.
Los sistemas U-14 Ubuntu 14
operativos,
permiten poner
en
funcionamiento
el hardware con
el cual se
cuenta, a su vez,
administrar cada
una de sus
134
funciones
lógicas.
Los sistemas M-OSX Mac OS X
operativos,
permiten poner
en
funcionamiento
el hardware con
el cual se
cuenta, a su vez,
administrar cada
una de sus
funciones
lógicas.
[ts] servidor de Servicio de Es un CMD CoMmanD (CMD) Manejar o
terminales terminal componente dar órdenes
perteneciente a de manera
cada uno de los escrita, sin
sistemas uso de
operativos interfaz
C-LMAC CoMmanD line (Mac) gráfica, con
lo cual,
permite
agilizar los
TERM Terminal procesos
disminuyen
do el
consumo
de
recursos.
Equipamiento Informático (Hardware)
135
[host] equipos Servidor Un servidor es S-DNS Servidor DNS y Distribución
grandes que un equipo de alta DHCP y
contiene el gama que se administraci
dominio de permite ón de los
cada uno configurar para servicios de
de los dar/ofrecer un DNS y
equipos servicio en DHCP
dentro de específico.
la
institución,
maneja un
DNS y un
DHCP
[host] equipos Servidor de Un servidor es S-RYCA2 Servidor Plataforma En este
grandes la un equipo de alta RYCA V.2.0 activo se
plataforma gama que se contiene la
RYCA permite información
V.2.0. configurar para concernient
dar/ofrecer un e a la
servicio en plataforma
específico. de RYCA
V.2.0.
[host] equipos Servidor Un servidor es S-RYCA1 Servidor Plataforma En este
grandes que un equipo de alta RYCA V.1 activo se
contiene gama que se contiene la
las permite información
máquinas configurar para concernient
virtuales de dar/ofrecer un e a la
RYCA1 y servicio en plataforma
la específico. de RYCA
plataforma V.1.
136
[host] equipos Servidor de Un servidor es S-BD Servidor de Base de Para este
grandes base de un equipo de alta Datos ITFIP servicio, se
datos gama que se categoriza
permite toda la
configurar para información
dar/ofrecer un contenida
servicio en en la
específico. institución y
se pone a
disposición
para los
demás
servicios
internos.
[host] equipos Servidor de Un servidor es S-FIREW Servidor Firewall Dicha
grandes cortafuego un equipo de alta Fortigate función de
s gama que se este activo
permite es la de
configurar para tener en
dar/ofrecer un restricción
servicio en los accesos
específico. de usuarios
NO
autorizados
por el
sistema.
[host] equipos Servidor Un servidor es S-SIIGO Servidor Contable En este
grandes que un equipo de alta SIIGO servicio, se
contiene a gama que se contiene
SIIGO permite toda la
configurar para información
137
dar/ofrecer un contable de
servicio en la
específico. institución.
[host] equipos Servidor de Un servidor es S-PDESA Servidor de Pruebas Sirve para
grandes Pruebas un equipo de alta “Desarrollito” hacer
“Desarrollit gama que se pruebas de
o” permite los nuevos
configurar para módulos de
dar/ofrecer un las
servicio en plataformas
específico.
[host] equipos Servidor de Un servidor es S- Servidor de Copias Contiene
grandes Copias de un equipo de alta CSECURI de seguridad de la las copias
seguridad gama que se TY información del ITFIP de
de la permite seguridad
institución configurar para de la
dar/ofrecer un información
servicio en del ITFIP
específico.
[mid] equipos Computad Equipos de 02240053 Computador IMAC Debido a su
medios (hw) ores Apple cómputo 2 APPLE (3 Equipos) gran
utilizado para AL calidad de
emplear la 02240053 imagen,
digitación de 4 rapidez y
código u otros demás
component
es que le
permiten
sobresalir
son
empleados
138
para el
desarrollo y
la edición
de páginas
web como
de
programas
locales.
[mid] equipos Computad Equipo todo en 02240057 Computadores HP Uso para
medios (hw) ores HP uno 0 all-one Pro (18 las tareas
all-one Pro AL Equipos) que
02240019 requieran.
2
[pc] informática Portátil Este equipo 02240054 Portátil Toshiba (16 La
personal Toshiba permite llevar 0 equipos) funcionalida
varias tareas a AL d de cada
cabo de manera 02240056 uno de
estructurada y 5 estos
eficiente. equipos
varía
dependiend
o del
enfoque a
la que le
aplique su
uso.
[mobile] informática Tablet Este equipo 02240067 Tablet negra 9” (1 La
móvil negra 9” permite llevar 5 Equipo) funcionalida
varias tareas a d de cada
cabo de manera uno de
estructurada y estos
139
eficiente equipos
varía
dependiend
o del
enfoque a
la que le
aplique su
uso.
[backup] equipamiento Equipo de Son aquellos 02240053 Computador IMAC Los utilizan
de respaldo equipos 4 APPLE (3 Equipos) para
respaldo(hw) preparados para AL respaldar
hacerse cargo 02240053 cuando los
inmediato de los 7 equipos se
equipos en dañan.
producción.
[peripheral] periféricos Periférico Los periféricos MUSB234 Memoria USB Algunos de
son dispositivos ellos son
de empleados
salida/entrada/mi DD234 Discos duros como
xtos, lo que almacén
permite la adores de
recepción de DDX334 Discos duros información
información al externos , backups,
usuario entre otros
[switch] conmutadores( Conmutad Este activo 02070005 SWITCH ALCATEL Este activo,
hw) ores permite la 9 LUCENT 9553 permite a
interconexión 02070013 SWITCH 24 su vez,
con las 0 10/100/1000 BASE T conectar
diferentes redes C varias
existentes. SWITCH 24 redes,
10/100/1000 BASE T ampliar el
140
C número de
02070015 SWITCH computador
8 24/10/100/1000 es que se
BASE T4S puedan
02070013 SWITCH conectar a
6 24/10/100/1000PWR una misma
CORD red.
02070006 SWITCH ALCATEL
7 LUCEN 9561
02070006 SWITCH ALCATEL
2 LUCENT 9556
02070006 SWITCH ALCATEL
3 LUCENT 9557
02070006 SWITCH ALCATEL
4 LUCENT 9558
02070006 SWITCH ALCATEL
5 LUCENT 9559
02070004 SWITCH ALCATEL
9 LUCENT 9543
02070005 SWITCH ALCATEL
0 LUCENT 9544
02070005 SWITCH ALCATEL
1 LUCENT 9545
02070005 SWITCH ALCATEL
4 LUCENT 9548
02070005 SWITCH ALCATEL
6 LUCENT 9550
02070005 SWITCH ALCATEL
7 LUCENT 9551
02070005 SWITCH ALCATEL
8 LUCENT 9552
141
02070006 SWITCH ALCATEL
0 LUCENT 9554
02070006 SWITCH ALCATEL
1 LUCENT 9555
02070006 SWITCH ALCATEL
6 LUCENT 9560
02070008 SWITCH LAYER 3
0 9574
02070008 SWITCH LAYER 3
2 9576
02070008 SWITCH LAYER 3
3 9577
02070008 SWITCH LAYER 3
1 9575
[router] encaminadores Router Este activo ROUTER CISCO Para este
(hw) permite la MODELO 1800 4781 activo, es
direccionar a los indispensab
diferentes le tener
canales de definidas
información. cada uno
de los
diferentes
canales de
distribución.
[pabx] centralita Central Esta sección de Como
telefónica(hw) telefónica los activos función
permite conectar especial, la
dependencias o central
instancias de telefónica
diferentes busca tener
entidades comunicaci
142
internas. ón
instantánea
con cada
una de las
dependenci
as que se
encuentran
entrelazada
s.
Redes de comunicación
[PSTN] Red de Red Una red Como
telefonía telefónica telefónica, es función
aquella que especial, la
entrelaza entre si red
varias líneas telefónica
telefónicas busca tener
internas. comunicaci
ón
instantánea
con cada
una de las
dependenci
as que se
encuentran
entrelazada
s.
[INTERNET] Internet Internet Este activo, es Su función
Movistar un servicio de principal, es
internet externo, conceder
que como su navegación
nombre lo indica a internet a
143
concede el cada una
acceso a la de las
navegación por redes
medio de sus instanciada
fibras. s de
manera
interna.
[LAN] Red Local Red LAN Es una red que La red de
trasmite navegación
paquetes de LAN,
datos por medio permite la
de cableado transmisión
estructurado. de archivos
de manera
más ágil y
privada,
siendo esta
segmentad
a.
[WIFI] Red Wifi Red WIFI Las redes Wifi, ITFIP La función
permiten de igual principal de
manera, la este activo
conexión y en la
transmisión de institución
archivos, pero de es permitir
manera que la
inalámbrica. comunidad
ITFIP 2 académica
ITFIP_P1 y
ITFIP_FUNCIONARI administrati
OS_P1 va, tenga
144
Salas1y2 acceso a la
Salas_Sis2 red de
navegación
Rectoría .
[X25] Red de datos Red de Es la Suple la
datos comunicación de misma
máquinas por función que
medios la red Wifi y
cableados y no la red LAN.
cableados.
[disk] discos Discos Un disco duro es DSK1024 DDS1TB Este activo
duros un dispositivo de permite
almacén amiento salvaguard
físico. ar cada una
de las
copias de
seguridad
generadas,
principalme
nte en cada
uno de sus
procesos
más
importantes
[printed] Materiales Materiales Todo aquel Este activo
impresos físicos dispositivo de en especial
consistencia permite el
física, que respaldo de
permita almacén la
ar información información
(DD, Memorias, en
145
CD, CD/DVD, cualquier
etc.) momento,
puesto que
es aquel
que se
encuentra
aislado de
demás
funciones a
excepción,
de almacén
ar.
Equipamiento Auxiliar
[ups] sistemas de UPS Un UPS, es un 02240052 UPS 10 KVA 9578 La función
alimentación sistema de 6 de esta
ininterrumpida alimentación de herramienta
energía es priorizar
interrumpida, 02240052 UPS 10 KVA 9579 cada uno
7 de los
servicios
que el
02240052 UPS 10 KVA 9580 alimenta de
8 manera
indirecta
cada vez
haya un
fallo de
energía
[supply] Suministros suministros Estos Suplir las
esenciales esenciales suministros necesidade
esenciales son s básicas
146
necesarios para en cuanto
funcionar la infraestruct
institución con su ura
totalidad de correspond
comodidades. e.
[furniture] Mobiliario mobiliario Lugar en el cual Albergar
se encuentra el todo lo
establecimiento. relacionado
de la
empresa
para su
cómodo
funcionami
ento y
servicio
[site] recinto El recinto es la
sección u/o
Cuarto o recinto (Oficina) edificio en donde
se encuentra
albergado para
operar.
Personal
[adm] Administradore Coordinad
s de sistemas or de
sistemas
[des] Desarrollador Programad
or
[Sub] subcontratas Ingeniero
Auxiliar/
Soporte
técnico
147
Fuente: Autoría Propia
148
4.2.3 Valoración de los activos según su importancia.
En la organización como tal, los factores que hay que tener en cuenta es la de la valoración con respecto a la
importancia de cada activo, para demostrar lo mencionado se creó la siguiente tabla.
NOTA: El nivel de importancia para la valoración realizada a cada activo es de 0 a 100; donde 0 es poco importante
y 100 es muy importante o indispensable.
Tabla 23. Valoración para cada uno de los activos de la dependencia de sistemas.
149
En este activo
se almacén a 100
el registro de Inventario de
los usuarios de usuarios
la parte I-DU Poseer el
administrativa. contenido 100
crucial, en
Este activo el cual,
almacén a llegado el
cada una de momento
estructura
las E-ORG de caída 100
organizacional
dependencias accidental
que tiene la u
Documen institución. ocasionad
[vr] datos vitales tos de la Este activo a del
organizac guarda el Inventario de sistema,
I-DC 100
ión registro de los contratos se pueda
contratos. corregir de
Este activo manera
lleva un eficiente,
registro de las Registro de permitiénd
R-DA 100
actividades actividades ose así
que se optimizar
realizan. el tiempo
Este activo de
lleva el registro Registro respuesta.
de los R-ME Mantenimiento 100
mantenimiento equipos
s realizados.
Este activo R-AE Registro de la 100
150
guarda el
registro de la
arquitectura de los
arquitectura de
equipos
los equipos
que requieren.
Este activo
ofrece el Se
servicio de Soporte equipos de encarga
S-EC 100
soporte de computo del
equipos de mantenimi
cómputo. ento
Servicios correctivo
ofrecidos y
de todas preventivo
[service] Servicios las Este activo de todos
dependen ofrece el los
cias del servicio de Soporte de equipos
ITFIP brindarle S-PV plataformas administrat 100
soporte a las virtuales ivos de la
plataformas institución
virtuales. y a las
plataforma
s virtuales.
151
entre ellos. cada una
Este activo es de las
la red virtual dependenc
de financiera VLAN- ias que se
Vlan de financiera 100
para poder FINAN someten a
comunicarse los
entre ellos. servicios
Este activo es de
la red virtual sistemas,
de tesorería VLAN- permitiénd
Vlan de tesorería oles así, 100
para poder TESO
comunicarse trabajar de
entre ellos. manera
Este activo es más
la red virtual cercana
de estudiantes VLAN- entre sus
Vlan de estudiantes propios 100
para poder EST
comunicarse núcleos.
entre ellos.
Este activo es
la red virtual
de WIFI para
poder brindar V-WIFI Vlan de wifi 100
soporte en
caso de algún
daño.
Este activo es VLAN- Vlan de 100
la red virtual CONF configuración
de
configuración
para poder
152
configurar
equipos de
manera
remota.
Este activo es
la red virtual
de sistemas VLAN-
Vlan de sistemas 100
para poder SIS
comunicarse
entre ellos.
Este activo es
la red virtual
de RYCA para
VLAN- Vlan de registro y
poder 100
RYCA control
comunicarse
entre ellos.
Este activo es
la red virtual
de almacén VLAN-
Vlan de almacén 100
para poder ALMA
comunicarse
entre ellos.
Este activo es
la red virtual
de Talento
VLAN- Vlan de talento
Humano para 100
TALEN humano
poder
comunicarse
entre ellos.
Datos/Información
153
Este activo
Salvaguar
registra cada
dar la
una de las BACK
De cada pc de la informació
copias de UP-
dependencia de n que se 90
seguridad que SISTEM
sistemas recolecta a
se les hacen a AS
diario,
los equipos de
previniend
sistemas.
o así la
Este activo
perdida de
registra cada
esta, lo
copias de una de las
[backup] Copias de BACK de cada pc de las cual,
respaldo copias de
seguridad UP- dependencias de la puede 95
seguridad que
ITFIP institución desencade
se les hacen a
nar a la
los equipos de
perdida de
la institución.
la historia
Este activo
de la
registra cada
BACK institución
una de las de las
UP- si no se
copias de configuraciones de 100
SERVER maneja
seguridad que los servidores
’S con
se les hacen a
cautela.
los servidores.
[password Credenciales Contrase Este activo PASS- Biométricas para Su función 100
] ñas de contiene las BIO acceso a la sala de es dar un
seguridad contraseñas servidor filtro a la
biométricas cantidad
que dan de
acceso a la personas
sala principal que
de servidores. pueden
154
Este activo
contiene las
contraseñas
De los usuarios que acceder a
con las que PASS-
acceden a los un sistema 100
acceden los SERVER
servidores o zona en
administradore
específico,
s a los
reduciendo
servidores.
el número
de
Este activo personas
contiene las que puede
PASS-
contraseñas manipular
SERVER servidor de copias
del servidor de la 100
-BACK de seguridad
copias de informació
UP
seguridad de n.
la institución.
155
paso a
personas
que son o
no
permite la
autorizada
creación de
sa
credenciales
manipular,
para los
visualizar,
diferentes
transportar
información accesos a los
externas ITFIP dependencias entre otros
sistemas,
la
como también
informació
de la
n
información
concernien
que allí se
te a la
alberga.
dependenc
ia de
sistemas u
otro sitio.
[encrypt] claves de Sistema Este activo S-BIO Sensor biométrico Mantener 80
cifra de gestiona a bajo
acceso través de constante
herramientas monitoreo
las personas las
que pueden personas
generar paso a que tienen
otras, por lo acceso a
general es la
administrada informació
por el n, conocer
coordinador qué tipo de
156
informació
n
del área en manipulan
donde esta se y el uso
encuentra. que se le
da a la
misma.
Este activo
Dicho activo
permite
consiste en
controlar
asignar
que
predeterminad
personas
Contrase amente una Código de
[authentic claves de C- tienen
ña de contraseña, confirmación para
ation] autenticación CASERV control de 100
autentica que permite acceso a la sala de
ER usuarios
ción identificar que servidor
por parte
usuario y a
de la
donde tiene
plataforma
permitido el
.
acceso.
Aplicaciones (Software)
[prp] desarrollo Desarroll Este activo S- Sistema de Registro Este activo 100
propio (in o propio contiene todo RYCA1 y Control contiene la
house) (Ryca1 y el código y Académico (RYCA) informació
Ryca2) software que V.1 n
maneja la concernien
plataforma te de la
RYCA V.1 carga
para su académica
desarrollo o , personal
mantenimiento educativo,
157
.
Este activo
contiene todo
el código y
software que docentes,
Sistema de Registro
maneja la administrat
S- y Control
plataforma ivos entre 100
RYCA2 Académico (RYCA)
RYCA V.2.0 otros.
V.2.0
para su
desarrollo o
mantenimiento
.
[www] Servidor de Página de En este activo P-ITFIP Página Oficial del La función 90
presentación la se da conocer ITFIP plena del
institución a la institución portal es
por medio del mantener
portal web, al tanto al
que a su vez personal
da acceso a la de la
información al institución,
personal tenerla
externo de la informada
misma acerca de
los planes
educativos
, fechas de
ingreso,
calendario
académico
, etc.
Además,
158
contiene la
informació
n esencial
publica de
la
institución.
G- La función
CHROM Google Chrome de este 50
E activo es
la de
Los M-F Mozilla Firefox 45
permitir el
navegadores
acceso a
permiten abrir
la
los motores de
informació
búsqueda,
n
como también
navegador Navegad encontrad
[browser] las
web ores a en las
aplicaciones
nubes
locales
SAFI Safari internas y 40
desarrolladas
externas
para ambiente
de la
web.
institución,
abrir
paginas
locales y
demás.
Las M- Microsoft Office Este activo 50
Herramie herramientas OFFICE 2013 es de
[office] Ofimática ntas ofimáticas provecho
ofimáticas permiten editar O- Open Office Linux para la 45
archivos OLINUX 2017 institución,
159
planos. puesto que
permite la
creación
de
documento
s escritos
tales como
cartas;
presentaci
ón de
elementos
Este
Este activo software
protege de permite el
S-
virus que System Center escaneo 80
CENTER
[av] antivirus Antivirus puedan afectar de los
la información. archivos
localizados
en cada
Este activo W- Windows Defender uno de los 80
160
protege de
virus que
DEFEN
puedan afectar component
la información. es del pc,
a su vez,
este
permite
alzar una
W-8 Windows 8 Este 90
Los sistemas
W- Windows Server activo,
operativos, 90
SER09 2009 permite
permiten poner
estructurar
en W- Windows Server
de manera 100
funcionamient SER12 2012
lógica
Sistemas o el hardware C-5 CentOS 5 100
sistema cada una
[os] operativo con el cual se
operativo de las
s cuenta, a su D-7 Debian 7 90
tareas
vez,
U-14 Ubuntu 14 lógicas 80
administrar
otorgadas
cada una de
o en plan
sus funciones M-OSX Mac OS X 100
de
lógicas.
ejecución.
[ts] servidor de Servicio Es un CMD CoMmanD (CMD) Manejar o 75
terminales de componente dar
terminal perteneciente órdenes
161
de manera
CoMmanD line escrita, sin
C-LMAC 100
(Mac) uso de
a cada uno de interfaz
los sistemas gráfica,
operativos, con lo
utilizado para cual,
administrador permite
por medio de agilizar los
comandos los TERM Terminal procesos 90
servicios que disminuye
ofrecen. ndo el
consumo
de
recursos.
Equipamiento Informático (Hardware)
[host] equipos Servidor Este activo es S-DNS Servidor DNS y Distribució 100
grandes que el encargado DHCP ny
contiene distribuir administra
el dinámicament ción de los
dominio e una IP a servicios
de cada cada equipo de DNS y
uno de conectado. DHCP
los
equipos
dentro de
la
institución
, maneja
un DNS y
un DHCP
162
En este
activo se
Este activo
contiene la
Servidor contiene toda
informació
de la el código y
equipos S- Servidor Plataforma n
[host] plataform configuracione 100
grandes RYCA2 RYCA V.2.0 concernien
a RYCA s del software
te a la
V.2.0. de RYCA
plataforma
V.2.0.
de RYCA
V.2.0.
Servidor
En este
que
activo se
contiene
Este activo contiene la
las
contiene toda informació
máquinas
equipos el código y S- Servidor Plataforma n
[host] virtuales 100
grandes configuracione RYCA1 RYCA V.1 concernien
de
s del software te a la
RYCA1 y
de RYCA V.1. plataforma
la
de RYCA
plataform
V.1.
a
[host] equipos Servidor Este activo S-BD Servidor de Base de Para este 100
grandes de base contiene toda Datos ITFIP servicio,
de datos la información se
de la categoriza
institución en toda la
una base de informació
datos. n
contenida
en la
institución
163
y se pone
a
disposición
para los
demás
servicios
internos.
Dicha
función de
este activo
Este activo es
es la de
el encargado
tener en
de toda la
Servidor restricción
seguridad de
equipos de S- Servidor Firewall los
[host] la red, 100
grandes cortafueg FIREW Fortigate accesos
servidores e
os de
información
usuarios
que tiene la
NO
información.
autorizado
s por el
sistema.
En este
servicio,
Este activo se
Servidor
maneja toda la contiene
equipos que Servidor Contable
[host] información S-SIIGO toda la 100
grandes contiene SIIGO
contable de la informació
a SIIGO
institución. n contable
de la
institución.
[host] equipos Servidor Este activo es S- Servidor de Pruebas Sirve para 80
164
hacer
utilizado para pruebas
de pruebas de de los
Pruebas nuevas nuevos
grandes PDESA “Desarrollito”
“Desarroll actualizacione módulos
ito” s a las de las
plataformas. plataforma
s
Este activo
Contiene
Servidor almacén a
las copias
de Copias toda la Servidor de Copias
S- de
equipos de información de de seguridad de la
[host] CSECU seguridad 100
grandes seguridad las información del
RITY de la
de la dependencias ITFIP
informació
institución de la
n del ITFIP
institución.
[mid] equipos Computa Equipos de 0224005 Computador IMAC Debido a 80
medios (hw) dores cómputo 32 APPLE (3 Equipos) su gran
Apple utilizado para AL calidad de
emplear la 0224005 imagen,
digitación de 34 rapidez y
código u otros. demás
component
es que le
permiten
sobresalir
son
empleados
para el
desarrollo
y la
165
edición de
páginas
web como
de
programas
locales.
0224005
Computa Uso para
70 Computadores HP
equipos dores HP Equipo todo en las tareas
[mid] AL all-one Pro (18 80
medios (hw) all-one uno que
0224001 Equipos)
Pro requieran.
92
La
funcionalid
ad de cada
Este equipo uno de
permite llevar 0224005 estos
varias tareas a 40 equipos
informática Portátil Portátil Toshiba (16
[pc] cabo de AL varía 80
personal Toshiba equipos)
manera 0224005 dependien
estructurada y 65 do del
eficiente enfoque a
la que le
aplique su
uso.
[mobile] informática Tablet Este equipo 0224006 Tablet negra 9” (1 La 70
móvil negra 9” permite llevar 75 Equipo) funcionalid
varias tareas a ad de cada
cabo de uno de
manera estos
estructurada y equipos
eficiente. varía
166
dependien
do del
enfoque a
la que le
aplique su
uso.
Son aquellos
Los
equipos 0224005
utilizan
preparados 34
equipamiento para
Equipo de para hacerse AL Computador IMAC
[backup] de respaldar 60
respaldo cargo 0224005 APPLE (3 Equipos)
respaldo(hw) cuando los
inmediato de 37
equipos se
los equipos en
dañan.
producción.
MUSB23 Algunos
Los periféricos Memoria USB de ellos
4
son son
dispositivos de empleados
salida/entrada/ DD234 Discos duros como
[peripheral
periféricos Periférico mixtos, lo que almacén 50
]
permite la adores de
recepción de Discos duros informació
información al DDX334 n,
externos
usuario. backups,
entre otros
[switch] conmutadore Conmuta Este activo 0207000 SWITCH ALCATEL Este 100
s(hw) dores permite la 59 LUCENT 9553 activo,
interconexión 0207001 SWITCH 24 permite a
con las 30 10/100/1000 BASE su vez,
diferentes TC conectar
redes SWITCH 24 varias
167
existentes. 10/100/1000 BASE redes,
TC ampliar el
SWITCH número de
0207001
24/10/100/1000 computado
58
BASE T4S res que se
SWITCH puedan
0207001 conectar a
24/10/100/1000PW
36 una misma
R CORD
0207000 SWITCH ALCATEL red.
67 LUCEN 9561
0207000 SWITCH ALCATEL
62 LUCENT 9556
0207000 SWITCH ALCATEL
63 LUCENT 9557
0207000 SWITCH ALCATEL
64 LUCENT 9558
0207000 SWITCH ALCATEL
65 LUCENT 9559
0207000 SWITCH ALCATEL
49 LUCENT 9543
0207000 SWITCH ALCATEL
50 LUCENT 9544
0207000 SWITCH ALCATEL
51 LUCENT 9545
0207000 SWITCH ALCATEL
54 LUCENT 9548
0207000 SWITCH ALCATEL
56 LUCENT 9550
0207000 SWITCH ALCATEL
57 LUCENT 9551
0207000 SWITCH ALCATEL
168
58 LUCENT 9552
0207000 SWITCH ALCATEL
60 LUCENT 9554
0207000 SWITCH ALCATEL
61 LUCENT 9555
0207000 SWITCH ALCATEL
66 LUCENT 9560
0207000 SWITCH LAYER 3
80 9574
0207000 SWITCH LAYER 3
82 9576
0207000 SWITCH LAYER 3
83 9577
0207000 SWITCH LAYER 3
81 9575
Para este
activo, es
indispensa
Este activo
ble tener
permite la ROUTER CISCO
definidas
encaminador direccionar a MODELO 1800
[router] Router cada uno 100
es(hw) los diferentes 4781
de los
canales de
diferentes
información.
canales de
distribució
n.
[pabx] centralita Central Esta sección Como 80
telefónica(hw telefónica de los activos función
) permite especial,
conectar la central
dependencias telefónica
169
busca
tener
comunicac
ión
instantáne
o instancias de
a con cada
diferentes
una de las
entidades
dependenc
internas.
ias que se
encuentra
n
entrelazad
as.
Redes de comunicación
[PSTN] Red de Red Una red Como 80
telefonía telefónica telefónica, es función
aquella que especial,
entrelaza entre la red
si varias líneas telefónica
telefónicas busca
internas. tener
comunicac
ión
instantáne
a con cada
una de las
dependenc
ias que se
encuentra
n
entrelazad
170
as.
Su función
principal,
Este activo, es
es
un servicio de
conceder
internet
navegació
externo, que
na
[INTERNE como su
Internet Internet internet a
T] nombre lo 100
Movistar cada una
indica concede
de las
el acceso a la
redes
navegación
instanciad
por medio de
as de
sus fibras.
manera
interna.
La red de
navegació
n LAN,
permite la
Es una red
transmisió
que trasmite
n de
paquetes de
[LAN] Red Local archivos
Red LAN datos por 100
de manera
medio de
más ágil y
cableado
privada,
estructurado.
siendo
esta
segmentad
a.
[WIFI] Red Wifi Red WIFI Las redes Wifi, ITFIP La función 100
permiten de principal
171
ITFIP 2 de este
ITFIP_P1 activo en
ITFIP_FUNCIONAR la
IOS_P1 institución
es permitir
igual manera, Salas1y2 que la
la conexión y
comunidad
transmisión de Salas_Sis2 académica
archivos, pero
y
de manera
administrat
inalámbrica.
iva, tenga
Rectoría acceso a
la red de
navegació
n.
Es la Suple la
comunicación misma
[X25] Red de datos Red de de máquinas función
100
datos por medios que la red
cableados y no Wifi y la
cableados. red LAN.
Soportes de información
DSK102 Este activo
DDS 1TB
Este activo es 4 permite
[disk] discos Discos utilizado para DSK102 salvaguard
DDS 1TB 80
duros realizar copias 4 ar cada
de seguridad. DSK102 una de las
DDS 1TB copias de
4
172
DSK102
DDS 1TB
4
seguridad
DSK102 generadas
DDS 1TB
4 ,
principalm
ente en
cada uno
[printed] Materiales Materiale Todo aquel Este activo 80
impresos s físicos dispositivo de en
consistencia especial
física, que permite el
permita respaldo
almacén ar de la
información informació
(DD, n en
Memorias, CD, cualquier
CD/DVD, etc.) momento,
puesto que
es aquel
que se
encuentra
aislado de
demás
funciones
a
excepción,
de
173
almacén
ar.
Equipamiento Auxiliar
La función
de esta
herramient
a es
priorizar
sistemas de cada uno
Un UPS, es un
de los
alimentación sistema de
[ups] servicios
ininterrumpid UPS alimentación 80
que el
a de energía
alimenta
interrumpida,
de manera
indirecta
cada vez
haya un
fallo de
energía
Una planta
eléctrica, es
aquella que
funciona con
Dar
base de
Generadores energía
[gen] planta gasolina y
eléctricos eléctrica 80
eléctrica otras
en caso de
herramientas,
falla.
para poder dar
energía ante
eventuales
emergencias
174
Regular la
energía
del
Un equipo de
entorno
equipos climatización
Equipos de teniendo
[ac] de es aquel que
climatización en cuenta 100
climatizac regula la
los
ión energía del
component
entorno.
es que allí
se
albergan.
Estos
Suplir las
suministros
necesidad
esenciales son
suministr es básicas
Suministros necesarios
[supply] os en cuanto
esenciales para funcionar 70
esenciale infraestruct
la institución
s ura
con su
correspon
totalidad de
de.
comodidades.
Albergar
todo lo
relacionad
Lugar en el
o de la
cual se
[furniture] Mobiliario empresa
mobiliario encuentra el 100
para su
establecimient
cómodo
o.
funcionami
ento y
servicio
Instalaciones
175
El recinto es la sección u/o
recinto
[site] edificio en donde se
0
encuentra albergado y
Cuarto o recinto (Oficina)
amoblado para operar.
Personal
Administrado
Coordina
[adm] res de dor de 100
sistemas sistemas
[des] Desarrollador Programa
100
dor
Ingeniero
[Sub] subcontratas Auxiliar/
100
Soporte
técnico
Fuente: Autoría propia.
En esta sección, se mostrará de manera cuantificada la jerarquía que representa cada uno de los activos según sus
grupos, para dicho acto, se tuvo en cuenta la información recolectada a lo largo de la investigación, como también
se hizo uso del conocimiento adquirido de la misma.
Código Nombre
Jerarquía
Código Nombre de
grupo de grupo de Nombre
Descripción Consecutivo activo Función
activo activo del activo
ITFIP ITFIP
MAGERIT MAGERIT
Esenciales
176
10
En este activo se
almacén a el registro Inventario de
I-DU
de los usuarios de la usuarios
parte administrativa. Poseer el
contenido 10
crucial, en
el cual,
Este activo almacén llegado el
estructura momento
a cada una de las
E-ORG organizaciona de caída 10
dependencias que
l accidental u
Document tiene la institución.
datos Este activo guarda el ocasionada
[vr] os de la Inventario de
vitales registro de los I-DC del sistema, 10
organizaci contratos
contratos. se pueda
ón
Este activo lleva un corregir de
registro de las Registro de manera
R-DA eficiente, 10
actividades que se actividades
realizan. permitiéndo
Este activo lleva el se así
Registro optimizar el
registro de los
R-ME Mantenimient tiempo de 10
mantenimientos
o equipos respuesta.
realizados.
Este activo guarda el
Registro de la
registro de la
arquitectura
arquitectura de los R-AE 10
de los
equipos que
equipos
requieren.
[service] Servicios Servicios Este activo ofrece el Soporte Se encarga
S-EC 10
ofrecidos servicio de soporte equipos de del
177
de equipos de
computo
cómputo. mantenimie
nto
correctivo y
preventivo
de todas
de todos los
las
Este activo ofrece el equipos
dependenc Soporte de
servicio de brindarle administrati
ias del S-PV plataformas 10
soporte a las vos de la
ITFIP virtuales
plataformas virtuales. institución y
a las
plataformas
virtuales.
178
virtual de estudiantes
para poder
estudiantes
comunicarse entre
ellos.
Este activo es la red
virtual de WIFI para
poder brindar V-WIFI Vlan de wifi 10
soporte en caso de
algún daño.
Este activo es la red
virtual de
configuración para Vlan de
VLAN-CONF 10
poder configurar configuración
equipos de manera
remota.
Este activo es la red
virtual de sistemas manera
Vlan de más
para poder VLAN-SIS 10
sistemas cercana
comunicarse entre
ellos. entre sus
Este activo es la red propios
virtual de RYCA para Vlan de núcleos.
poder comunicarse VLAN-RYCA registro y 10
entre ellos. control
179
virtual de Talento
Humano para poder talento
comunicarse entre humano
ellos.
Datos/Información
Este activo registra Salvaguard
cada una de las De cada pc ar la
copias de seguridad BACK UP- de la información
5
que se les hacen a SISTEMAS dependencia que se
los equipos de de sistemas recolecta a
sistemas. diario,
Este activo registra previniendo
de cada pc
cada una de las así la
de las
copias de seguridad BACK UP- perdida de
copias de dependencias 8
[backup] Copias de que se les hacen a ITFIP esta, lo
respaldo de la
seguridad los equipos de la cual, puede
institución
institución. desencaden
ar a la
perdida de
Este activo registra
de las la historia
cada una de las
BACK UP- configuracion de la
copias de seguridad 10
SERVER’S es de los institución si
que se les hacen a
servidores no se
los servidores.
maneja con
cautela,
[password Credenciale Contraseñ Este activo contiene PASS-BIO Biométricas Su función 10
] s as de las contraseñas para acceso es dar un
seguridad biométricas que dan a la sala de filtro a la
acceso a la sala servidor cantidad de
principal de personas
servidores. que pueden
180
Este activo contiene acceder a
De los
las contraseñas con un sistema
PASS- usuarios que
las que acceden los o zona en 10
SERVER acceden a los
administradores a los específico,
servidores
servidores. reduciendo
Este activo contiene el número
las contraseñas del PASS- servidor de de personas
servidor de copias de SERVER- copias de que puede 10
seguridad de la BACK UP seguridad manipular la
institución. información.
Se encarga
Son todos los de tener de
archivos planos que manera
se pueden identificar digital la
[Files] Ficheros Archivos como códigos de información 5
programación, del
archivos en Excel departamen
etc. to de
sistemas.
Claves criptográficas
[info] protección Credencial Para este active, se PASS-PC- Usuarios de Permitir o 5
de la es permite la creación ITFIP los Pc de las restringir el
información externas de credenciales para demás paso a
los diferentes dependencias personas
accesos a los que son o
sistemas, como no
también de la autorizadas
información que allí a manipular,
se alberga. visualizar,
transportar
entre otros
181
la
información
concernient
e a la
dependenci
a de
sistemas u
otro sitio.
Mantener
bajo
constante
Este activo gestiona
monitoreo
a través de
las
herramientas las
personas
personas que
que tienen
claves de pueden generar paso
[encrypt] Sistema Sensor acceso a la
cifra a otras, por lo S-BIO 5
de acceso biométrico información,
general es
conocer qué
administrada por el
tipo de
coordinador del área
información
en donde esta se
manipulan y
encuentra.
el uso que
se le da a la
misma.
[authentic claves de Contraseñ Dicho activo consiste C- Código de Este activo 10
ation] autenticació a de en asignar CASERVER confirmación permite
n autenticaci predeterminadament para acceso controlar
ón e una contraseña, a la sala de que
que permite servidor personas
identificar que tienen
usuario y a donde control de
182
usuarios por
tiene permitido el parte de la
acceso. plataforma.
Aplicaciones (Software)
Este activo contiene Sistema de
Este activo
todo el código y Registro y
contiene la
software que maneja Control
S-RYCA1 información
la plataforma RYCA Académico 10
concernient
V.1 para su (RYCA) V.1
e de la
Desarrollo desarrollo o
desarrollo carga
propio mantenimiento.
[prp] propio (in académica,
(Ryca1 y Este activo contiene Sistema de
house) personal
Ryca2) todo el código y Registro y
educativo,
software que maneja Control
docentes,
la plataforma RYCA S-RYCA2 Académico 10
administrati
V.2.0 para su (RYCA) V.2.0
vos entre
desarrollo o
otros.
mantenimiento.
[www] Servidor de Página de En este activo se da P-ITFIP Página Oficial La función 8
presentació la conocer a la del ITFIP plena del
n institución institución por medio portal es
del portal web, que a mantener al
su vez da acceso a tanto al
la información al personal de
personal externo de la
la misma. institución,
tenerla
informada
acerca de
los planes
183
educativos,
fechas de
ingreso,
calendario
académico,
etc.
Además,
contiene la
información
esencial
publica de
la
institución.
Google La función
G-CHROME 3
Chrome de este
activo es la
Mozilla de permitir
M-F el acceso a 2
Los navegadores Firefox
la
permiten abrir los
información
motores de
encontrada
búsqueda, como
navegador Navegador en las
[browser] también las
web es nubes
aplicaciones locales
internas y
desarrolladas para
externas de
ambiente web. SAFI Safari 3
la
institución,
abrir
paginas
locales y
demás.
184
Microsoft Este activo
M-OFFICE es de 5
Office 2013
provecho
para la
institución,
puesto que
permite la
creación de
documentos
escritos
tales como
Las herramientas cartas;
Herramient
ofimáticas permiten presentació
[office] Ofimática as
editar archivos Open Office n de
ofimáticas O-OLINUX 3
planos. Linux 2017 elementos
en
PowerPoint,
además, del
uso de
cálculos
básicos y
avanzados
a través de
la
herramienta
de Excel.
185
Este
software
Este activo protege permite el
de virus que puedan System escaneo de
S-CENTER 5
afectar la Center los archivos
información. localizados
en cada uno
de los
componente
[av] antivirus Antivirus
s del pc, a
su vez, este
Este activo protege permite
de virus que puedan Windows alzar una
W-DEFEN 5
afectar la Defender emergencia
información. al detectar
archivos
infecciosos
o malware.
W-8 Windows 8 8
Windows Este activo,
Los sistemas W-SER09 permite 8
Server 2009
operativos, permiten Windows estructurar
poner en W-SER12 de manera 10
Server 2012
funcionamiento el lógica cada
sistema Sistemas C-5 CentOS 5 10
[os] hardware con el cual una de las
operativo operativos
se cuenta, a su vez, tareas
D-7 Debian 7 8
administrar cada una lógicas
de sus funciones U-14 Ubuntu 14 otorgadas o 5
lógicas. en plan de
M-OSX Mac OS X ejecución. 10
186
CoMmanD Manejar o
CMD 5
(CMD) dar órdenes
de manera
Es un componente CoMmanD escrita, sin
C-LMAC 10
perteneciente a cada line (Mac) uso de
uno de los sistemas interfaz
operativos, utilizado gráfica, con
servidor de Servicio de
[ts] para administrador lo cual,
terminales terminal
por medio de permite
comandos los agilizar los
servicios que TERM Terminal procesos 8
ofrecen. disminuyen
do el
consumo de
recursos.
Equipamiento Informático (Hardware)
Servidor
que
contiene el
dominio de Distribución
cada uno Este activo es el y
de los encargado distribuir administraci
equipos Servidor DNS
[host] equipos dinámicamente una S-DNS ón de los 10
grandes y DHCP
dentro de IP a cada equipo servicios de
la conectado. DNS y
institución, DHCP
maneja un
DNS y un
DHCP
[host] equipos Servidor Este activo contiene S-RYCA2 Servidor En este 10
grandes de la toda el código y Plataforma activo se
187
contiene la
información
plataforma configuraciones del concernient
RYCA software de RYCA RYCA V.2.0 e a la
V.2.0. V.2.0. plataforma
de RYCA
V.2.0.
Servidor En este
que activo se
contiene Este activo contiene contiene la
las toda el código y Servidor información
equipos
[host] máquinas configuraciones del S-RYCA1 Plataforma concernient 10
grandes
virtuales software de RYCA RYCA V.1 e a la
de RYCA1 V.1. plataforma
y la de RYCA
plataforma V.1.
Para este
servicio, se
categoriza
toda la
información
Este activo contiene contenida
Servidor Servidor de
equipos toda la información en la
[host] de base de S-BD Base de 10
grandes de la institución en institución y
datos Datos ITFIP
una base de datos. se pone a
disposición
para los
demás
servicios
internos.
[host] equipos Servidor Este activo es el S-FIREW Servidor Dicha 10
188
función de
este activo
es la de
encargado de toda la tener en
de seguridad de la red, restricción
Firewall
grandes cortafuego servidores e los accesos
Fortigate
s información que de usuarios
tiene la información. NO
autorizados
por el
sistema.
En este
servicio, se
Servidor Este activo maneja contiene
Servidor
equipos que toda la información toda la
[host] S-SIIGO Contable 10
grandes contiene a contable de la información
SIIGO
SIIGO institución. contable de
la
institución.
Sirve para
Servidor Este activo es hacer
de utilizado para Servidor de pruebas de
equipos
[host] Pruebas pruebas de nuevas S-PDESA Pruebas los nuevos 5
grandes
“Desarrollit actualizaciones a las “Desarrollito” módulos de
o” plataformas. las
plataformas
[host] equipos Servidor Este activo almacén S- Servidor de Contiene 10
grandes de Copias a toda la información CSECURITY Copias de las copias
de de las dependencias seguridad de de
seguridad de la institución. la información seguridad
de la del ITFIP de la
189
información
institución
del ITFIP
Debido a su
gran calidad
de imagen,
rapidez y
demás
componente
s que le
permiten
Equipos de cómputo 022400532
Computador sobresalir
equipos Computad utilizado para AL
[mid] IMAC APPLE son 5
medios (hw) ores Apple emplear la digitación 022400534
(3 Equipos) empleados
de código u otros
para el
desarrollo y
la edición
de páginas
web como
de
programas
locales.
Computadore Uso para
Computad 022400570
equipos s HP all-one las tareas
[mid] ores HP Equipo todo en uno AL 5
medios (hw) Pro (18 que
all-one Pro 022400192
Equipos) requieran.
[pc] informática Portátil Este equipo permite 022400540 Portátil La 5
personal Toshiba llevar varias tareas a AL Toshiba (16 funcionalida
cabo de manera 022400565 equipos) d de cada
estructurada y uno de
eficiente. estos
equipos
190
varía
dependiend
o del
enfoque a la
que le
aplique su
uso.
La
funcionalida
d de cada
uno de
Este equipo permite estos
llevar varias tareas a equipos
informática Tablet Tablet negra
[mobile] cabo de manera 022400675 varía 3
móvil negra 9” 9” (1 Equipo)
estructurada y dependiend
eficiente. o del
enfoque a la
que le
aplique su
uso.
Son aquellos Los utilizan
equipamient equipos preparados 022400534 para
Computador
o de Equipo de para hacerse cargo AL respaldar
[backup] IMAC APPLE 3
respaldo(hw respaldo inmediato de los 022400537 cuando los
(3 Equipos)
) equipos en equipos se
producción. dañan.
Los periféricos son Algunos de
MUSB234 Memoria USB
dispositivos de ellos son
[periphera
periféricos Periférico salida/entrada/mixtos empleados 2
l]
, lo que permite la DD234 Discos duros como
recepción de almacén
191
Discos duros
DDX334
información al externos adores de
usuario información,
[switch] conmutador Conmutad Este activo permite SWITCH Este activo, 10
es(hw) ores la interconexión con ALCATEL permite a su
020700059
las diferentes redes LUCENT vez,
existentes. 9553 conectar
SWITCH 24 varias
10/100/1000 redes,
BASE T C ampliar el
020700130
SWITCH 24 número de
10/100/1000 computador
BASE T C es que se
SWITCH puedan
020700158 24/10/100/10 conectar a
00 BASE T4S una misma
SWITCH red.
24/10/100/10
020700136
00PWR
CORD
SWITCH
020700067 ALCATEL
LUCEN 9561
SWITCH
ALCATEL
020700062
LUCENT
9556
020700063 SWITCH
ALCATEL
LUCENT
192
9557
SWITCH
ALCATEL
020700064
LUCENT
9558
SWITCH
ALCATEL
020700065
LUCENT
9559
SWITCH
ALCATEL
020700049
LUCENT
9543
SWITCH
ALCATEL
020700050
LUCENT
9544
SWITCH
ALCATEL
020700051
LUCENT
9545
SWITCH
ALCATEL
020700054
LUCENT
9548
SWITCH
ALCATEL
020700056
LUCENT
9550
020700057 SWITCH
ALCATEL
193
LUCENT
9551
SWITCH
ALCATEL
020700058
LUCENT
9552
SWITCH
ALCATEL
020700060
LUCENT
9554
SWITCH
ALCATEL
020700061
LUCENT
9555
SWITCH
ALCATEL
020700066
LUCENT
9560
SWITCH
020700080 LAYER 3
9574
SWITCH
020700082 LAYER 3
9576
SWITCH
020700083 LAYER 3
9577
SWITCH
020700081 LAYER 3
9575
[router] encaminado Router Este activo permite ROUTER Para este 10
194
activo, es
indispensab
le tener
CISCO
la direccionar a los definidas
MODELO
res(hw) diferentes canales de cada uno de
1800 4781
información. los
diferentes
canales de
distribución.
Como
función
especial, la
central
telefónica
Esta sección de los
busca tener
activos permite
comunicaci
centralita conectar
Central ón
[pabx] telefónica(h dependencias o 5
telefónica instantánea
w) instancias de
con cada
diferentes entidades
una de las
internas.
dependenci
as que se
encuentran
entrelazada
s.
Redes de comunicación
[PSTN] Red de Red Una red telefónica, Como 5
telefonía telefónica es aquella que función
entrelaza entre si especial, la
varias líneas red
telefónicas internas. telefónica
195
busca tener
comunicaci
ón
instantánea
con cada
una de las
dependenci
as que se
encuentran
entrelazada
s.
Su función
principal, es
Este activo, es un conceder
servicio de internet navegación
[INTERNE externo, que como a internet a
Internet Internet
T] su nombre lo indica cada una de 10
Movistar
concede el acceso a las redes
la navegación por instanciada
medio de sus fibras. s de
manera
interna.
[LAN] Red Local Red LAN Es una red que La red de 10
trasmite paquetes de navegación
datos por medio de LAN,
cableado permite la
estructurado. transmisión
de archivos
de manera
más ágil y
privada,
196
siendo esta
segmentada
.
La función
ITFIP principal de
este activo
ITFIP 2 en la
ITFIP_P1 institución
Las redes Wifi, ITFIP_FUNCI es permitir
permiten de igual ONARIOS_P que la
[WIFI] Red Wifi manera, la conexión 1
Red WIFI comunidad 10
y transmisión de
Salas1y2 académica
archivos, pero de
y
manera inalámbrica.
administrati
Salas_Sis2 va, tenga
acceso a la
Rectoría red de
navegación.
Suple la
Es la comunicación
Red de misma
[X25] Red de de máquinas por
datos función que 10
datos medios cableados y
la red Wifi y
no cableados.
la red LAN.
Soportes de información
Este activo
permite
Un disco duro es un
salvaguarda
[disk] discos Discos dispositivo de
DSK1024 DDS1TB r cada una 5
duros almacén amiento
de las
físico.
copias de
seguridad
197
generadas,
principalme
nte en cada
uno de sus
procesos
más
importantes.
Este activo
en especial
permite el
respaldo de
la
información
Todo aquel
en cualquier
dispositivo de
momento,
Materiales consistencia física,
[printed] Materiales puesto que
impresos que permita almacén 5
físicos es aquel
ar información (DD,
que se
Memorias, CD,
encuentra
CD/DVD, etc.)
aislado de
demás
funciones a
excepción,
de almacén
ar.
Equipamiento Auxiliar
[ups] sistemas de UPS Un UPS, es un La función 5
alimentació sistema de de esta
n alimentación de herramienta
energía interrumpida es priorizar
ininterrumpi
cada uno de
da
198
los servicios
que el
alimenta de
manera
indirecta
cada vez
haya un
fallo de
energía
Una planta eléctrica,
es aquella que
funciona con base de Dar energía
Generadore
[gen] planta gasolina y otras eléctrica en
s eléctricos 5
eléctrica herramientas, para caso de
poder dar energía falla.
ante eventuales
emergencias
Regular la
energía del
Equipos de Un equipo de entorno
equipos de
[ac] climatizació climatización es teniendo en
climatizaci 10
n aquel que regula la cuenta los
ón
energía del entorno. componente
s que allí se
albergan.
Estos suministros Suplir las
esenciales son necesidade
Suministros suministro
[supply] necesarios para s básicas
esenciales s 5
funcionar la en cuanto
esenciales
institución con su infraestructu
totalidad de ra
199
correspond
comodidades.
e.
Albergar
todo lo
relacionado
de la
Lugar en el cual se
[furniture] Mobiliario empresa
mobiliario encuentra el 10
para su
establecimiento.
cómodo
funcionamie
nto y
servicio
Instalaciones
El recinto es la
sección u/o edificio
recinto
[site] en donde se
1
encuentra albergado
Cuarto o recinto (Oficina)
y amoblado para
operar.
Personal
Administrad
Coordinad
[adm] ores de or de 10
sistemas sistemas
Desarrollad
[des] Programad
or 10
or
Ingeniero
subcontrata
[Sub] Auxiliar/
s 10
Soporte
técnico
Fuente: Autoría propia.
200
4.2.5 Estimación de los valores de criterio en sus dimensiones de
aplicabilidad
96
MAGERIT V3, Libro 3: Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información.
201
Nombre del activo (corresponde al nombre del activo para su clasificación
según MAGERIT).
Código consecutivo ITFIP (código único que es asignado a cada activo
dentro de la dependencia).
Nombre del activo ITFIP (nombre con el que se identifica el activo dentro de
la dependencia).
ITFIPNombre de activo
Nombre del activo
Confidencialidad
MAGERIT
Disponibilidad
Autenticidad
Trazabilidad
Integridad
Inventar
I-DU
io de
6 8 8 0 5
usuarios
Documen estructu
datos ra
[vr] tos de la
vitales E-ORG 6 8 8 0 5
organizac organiz
ión acional
Inventar
io de
I-DC 6 8 8 0 5
contrato
s
202
Registro
de
R-DA 6 8 8 0 5
activida
des
Registro
Manteni
R-ME 6 8 8 0 5
miento
equipos
Registro
de la
arquitec
R-AE 6 8 8 0 5
tura de
los
equipos
Soporte
equipos
Servicios S-EC de 1 10 8 10 10
ofrecidos comput
[servi Servicio de todas o
ce] s las
depende Soporte
ncias del de
ITFIP S-PV platafor 1 10 8 10 10
mas
virtuales
Vlan de
VLAN-
administ 4 10 10 5 2
ADMON
ración
Vlan de
VLAN-
punto financier 4 10 10 5 2
FINAN
de a
[ip] VLAN
intercon Vlan de
exión VLAN-
tesorerí 4 10 10 5 2
TESO
a
Vlan de
VLAN-
estudian 4 10 10 5 2
EST
tes
203
Vlan de
V-WIFI 4 10 10 5 2
wifi
Vlan de
VLAN-
configur 4 10 10 5 2
CONF
ación
Vlan de
VLAN-
sistema 4 10 10 5 2
SIS
s
Vlan de
VLAN-
registro 4 10 10 5 2
RYCA
y control
VLAN- Vlan de
4 10 10 5 2
ALMA almacén
Vlan de
VLAN-
talento 4 10 10 5 2
TALEN
humano
De cada
BACK pc de la
UP- depend
8 10 10 10 4
SISTEM encia de
AS sistema
s
de cada
copias pc de
las
[back de Copias
BACK depend
up] respald de 8 10 10 10 4
UP-ITFIP encias
o seguridad
de la
instituci
ón
de las
BACK configur
UP- aciones
8 10 10 10 4
SERVER’ de los
S servidor
es
204
Biométri
cas
para
PASS- acceso
10 8 8 0 0
BIO a la sala
de
servidor
De los
[pass Credenc Contrase usuarios
ñas de que
word] iales PASS-
seguridad acceden 10 8 8 0 0
SERVER
a los
servidor
es
servidor
PASS- de
SERVER copias
10 8 8 0 0
-BACK de
UP segurid
ad
Fichero
[Files] Archivos 8 8 10 10 2
s
Usuario
protecci s de los
ón de la Credenci Pc de
[info] PASS-
informa ales las 10 10 10 2 2
PC-ITFIP
ción externas demás
depend
encias
claves
[encry Sistema Sensor
de de S-BIO biométri 8 8 8 2 2
pt]
cifrado acceso co
Código
de
claves confirm
[authe Contrase
de C- ación
nticati ña de
autentic CASERV para 10 10 8 2 2
on] autentica
ación ER acceso
ción
a la sala
de
servidor
205
Sistema
de
Registro
y
S-RYCA1
Control 8 8 10 5 4
Académ
ico
desarrol
Desarroll (RYCA)
lo
o propio V.1
[prp] propio
(Ryca1 y Sistema
(in
Ryca2) de
house)
Registro
y
S-RYCA2 Control 8 8 10 5 4
Académ
ico
(RYCA)
V.2.0
Servidor Página Página
de de la Oficial
[www] P-ITFIP 2 8 8 10 10
present institució del
ación n ITFIP
G-
Google
CHROM 10 10 2 10 10
Chrome
E
[brow navega Navegad Mozilla
M-F 10 10 2 10 10
ser] dor web ores Firefox
SAFI Safari 10 10 2 10 10
Microsof
M-
t Office 10 8 8 8 0
Herramie OFFICE
2013
[office Ofimátic ntas
] a ofimática Open
s O- Office
10 8 8 8 0
OLINUX Linux
2017
S- System
[av] antivirus Antivirus 10 10 0 10 2
CENTER Center
206
Window
W- s
10 10 0 10 2
DEFEN Defende
r
Window
W-8 10 10 2 10 0
s8
Window
W-
s Server 10 10 2 10 0
SER09
2009
Window
W-
s Server 10 10 2 10 0
SER12
2012
sistema Sistemas
[os] operativ operativo CentOS
o s C-5 10 10 2 10 0
5
Debian
D-7 10 10 2 10 0
7
Ubuntu
U-14 10 10 2 10 0
14
Mac OS
M-OSX 10 10 2 10 0
X
CoMma
CMD nD 10 10 0 10 0
(CMD)
servidor CoMma
Servicio
de C-LMAC nD line 10 10 0 10 0
[ts] de
terminal (Mac)
terminal
es
Termina
TERM 10 10 0 10 0
l
207
Servidor
que
contiene
el
dominio
de cada
uno de Servidor
equipos
[host] los S-DNS DNS y 10 10 10 8 8
grandes
equipos DHCP
dentro de
la
institució
n, maneja
un DNS y
un DHCP
Servidor Servidor
de la Platafor
equipos
[host] plataform S-RYCA2 ma 10 10 10 8 8
grandes
a RYCA RYCA
V.2.0. V.2.0
Servidor
que
contiene
las Servidor
máquinas Platafor
equipos
[host] virtuales S-RYCA1 ma 10 10 10 10 7
grandes
de RYCA
RYCA1 y V.1
la
plataform
a
Servidor
Servidor de Base
equipos
[host] de base S-BD de 10 10 10 8 8
grandes
de datos Datos
ITFIP
Servidor Servidor
equipos de Firewall
[host] S-FIREW 10 10 10 8 8
grandes cortafueg Fortigat
os e
Servidor
Servidor
equipos que
[host] S-SIIGO Contabl 10 10 10 10 7
grandes contiene
e SIIGO
a SIIGO
208
Servidor Servidor
de de
equipos S-
[host] Pruebas Pruebas 10 10 10 8 8
grandes PDESA
“Desarroll “Desarr
ito” ollito”
Servidor
Servidor
de
de
Copias
Copias
S- de
equipos de
[host] CSECUR segurid 10 10 8 10 8
grandes seguridad
ITY ad de la
de la
informa
institució
ción del
n
ITFIP
Comput
0224005
ador
32
equipos Computa IMAC
AL
[mid] medios dores APPLE 7 8 8 5 0
0224005
(hw) Apple (3
34
Equipos
)
Comput
0224005 adores
Computa
equipos 70 HP all-
dores HP
[mid] medios AL one Pro 7 8 8 5 0
all-one
(hw) 0224001 (18
Pro
92 Equipos
)
0224005 Portátil
informát
40 Toshiba
ica Portátil
[pc] AL (16 0 8 6 8 0
persona Toshiba
0224005 equipos
l
65 )
Tablet
informát
[mobil Tablet 0224006 negra 9”
ica 0 7 7 9 0
e] negra 9” 75 (1
móvil
Equipo)
Comput
0224005
equipa ador
34
miento Equipo IMAC
[back AL
de de APPLE 0 8 7 10 0
up] 0224005
respald respaldo (3
37
o(hw) Equipos
)
209
MUSB23 Memori
2 5 5 5 5
4 a USB
Discos
[perip periféric DD234 2 5 5 5 5
Periférico duros
heral] os
Discos
duros
DDX334 2 5 5 5 5
externo
s
[switc conmut Conmuta SWITC
h] adores( dores H
hw) 0207000 ALCAT
8 8 5 10 0
59 EL
LUCEN
T 9553
SWITC
H 24
10/100/
1000
BASE T
0207001 C
8 8 5 10 0
30 SWITC
H 24
10/100/
1000
BASE T
C
SWITC
H
0207001 24/10/1
8 8 5 10 0
58 00/1000
BASE
T4S
0207001 SWITC 8 8 5 10 0
36 H
24/10/1
00/1000
PWR
CORD
210
SWITC
H
0207000 ALCAT
8 8 5 10 0
67 EL
LUCEN
9561
SWITC
H
0207000 ALCAT
8 8 5 10 0
62 EL
LUCEN
T 9556
SWITC
H
0207000 ALCAT
8 8 5 10 0
63 EL
LUCEN
T 9557
SWITC
H
0207000 ALCAT
8 8 5 10 0
64 EL
LUCEN
T 9558
SWITC
H
0207000 ALCAT
8 8 5 10 0
65 EL
LUCEN
T 9559
SWITC
H
0207000 ALCAT
8 8 5 10 0
49 EL
LUCEN
T 9543
0207000 SWITC 8 8 5 10 0
50 H
ALCAT
EL
LUCEN
T 9544
211
SWITC
H
0207000 ALCAT
8 8 5 10 0
51 EL
LUCEN
T 9545
SWITC
H
0207000 ALCAT
8 8 5 10 0
54 EL
LUCEN
T 9548
SWITC
H
0207000 ALCAT
8 8 5 10 0
56 EL
LUCEN
T 9550
SWITC
H
0207000 ALCAT
8 8 5 10 0
57 EL
LUCEN
T 9551
SWITC
H
0207000 ALCAT
8 8 5 10 0
58 EL
LUCEN
T 9552
SWITC
H
0207000 ALCAT
8 8 5 10 0
60 EL
LUCEN
T 9554
0207000 SWITC 8 8 5 10 0
61 H
ALCAT
EL
LUCEN
T 9555
212
SWITC
H
0207000 ALCAT
8 8 5 10 0
66 EL
LUCEN
T 9560
SWITC
0207000 H
8 8 5 10 0
80 LAYER
3 9574
SWITC
0207000 H
8 8 5 10 0
82 LAYER
3 9576
SWITC
0207000 H
8 8 5 10 0
83 LAYER
3 9577
SWITC
0207000 H
8 8 5 10 0
81 LAYER
3 9575
ROUTE
R
encamin CISCO
[route
adores( Router MODEL 5 5 5 8 0
r]
hw) O 1800
4781
centralit
a Central
[pabx] 5 5 2 10 0
telefónic telefónica
a(hw)
Red de
[PSTN
telefoní Red
] 5 5 2 10 0
a telefónica
[INTE
Internet Internet
RNET] 8 8 8 5 0
Movistar
Red
[LAN] Red LAN 5 8 8 10 6
Local
213
ITFIP 5 5 8 10 8
ITFIP 2 5 5 8 10 8
ITFIP_P
5 5 8 10 8
1
ITFIP_F
[WIFI] Red Wifi UNCIO
Red WIFI 5 5 8 2 8
NARIO
S_P1
Salas1y
5 5 8 10 8
2
Salas_S
5 5 8 10 8
is2
Rectoría 5 5 8 2 8
Red de
[X25] Red de
datos 10 5 8 10 8
datos
UPS 10
0224005
sistema KVA 5 5 5 10 0
26
s de 9578
alimenta UPS 10
[ups] 0224005
ción UPS KVA 5 5 5 10 0
27
ininterru 9579
mpida UPS 10
0224005
KVA 5 5 5 10 0
28
9580
Suminis
suministr
[suppl tros os
y] esencial 0 5 5 10 10
esenciale
es s
214
[furnit Mobiliari
ure] o mobiliario 0 10 5 10 0
recinto
[site] 0 8 5 10 0
Cuarto o recinto
(Oficina)
Adminis
tradores
Coordina
[adm] de dor de 10 8 8 10 0
sistema sistemas
s
Desarrol Programa
[des] 10 8 8 10 0
lador dor
Ingeniero
subcont
[Sub] Auxiliar/
ratas 10 8 8 10 0
Soporte
técnico
Fuente: Autoría propia.
Las amenazas son todos aquellos factores externos de que alguna manera
pueden causar daños en los activos informáticos o también hace referencia a
personas que aprovechan las vulnerabilidades de seguridad existentes para
cometer ataques a los sistemas o a los activos informáticos.
215
Tabla 27. Escala de rango de frecuencia de amenazas.
Tabla 28. Dimensiones de seguridad según MAGERIT, además de la escala de rango porcentual de impactos
en los activos para cada dimensión de seguridad.
Dimensiones de Seguridad Identificación Impacto Valor
cuantitativo
216
217
Tabla 29. Impacto para cada dimensión.
RELACIÓN DE AMENAZAS POR ACTIVO IDENTIFICANDO SU FRECUENCIA E IMPACTO
IMPACTO PARA CADA DIMENSIÓN %
FRECUENCIA
ID AMENAZA ACTIVO
[A] [C] [I] [D] [T]
218
[HW] Servidor de Copias
de seguridad de la 10 100%
información del ITFIP
[HW] Computadores HP
10 20%
all-one Pro (18 Equipos)
219
[HW] SWITCH 24
10 100%
10/100/1000 BASE T C
[HW] SWITCH
24/10/100/1000 BASE 10 100%
T4S
[HW] SWITCH
24/10/100/1000PWR 10 100%
CORD
220
[HW] SWITCH ALCATEL
10 100%
LUCENT 9543
221
[HW] SWITCH ALCATEL
10 100%
LUCENT 9555
222
[AUX] UPS 10 KVA 9580 10 50%
223
[HW] Servidor de Copias
de seguridad de la 5 100%
información del ITFIP
[HW] Computadores HP
10 20%
all-one Pro (18 Equipos)
224
[HW] SWITCH ALCATEL
10 100%
LUCENT 9553
[HW] SWITCH 24
10 100%
10/100/1000 BASE T C
[HW] SWITCH
24/10/100/1000 BASE 10 100%
T4S
[HW] SWITCH
24/10/100/1000PWR 10 100%
CORD
225
[HW] SWITCH ALCATEL
10 100%
LUCENT 9559
226
[HW] SWITCH ALCATEL
10 100%
LUCENT 9554
227
[AUX] UPS 10 KVA 9579 10 50%
Desastres
N.* [HW] Servidor de Base de
naturales 10 100%
Datos ITFIP
228
[HW] Servidor de Copias
de seguridad de la 10 100%
información del ITFIP
[HW] Computadores HP
10 20%
all-one Pro (18 Equipos)
229
[HW] SWITCH ALCATEL
10 100%
LUCENT 9553
[HW] SWITCH 24
10 100%
10/100/1000 BASE T C
[HW] SWITCH
24/10/100/1000 BASE 10 100%
T4S
[HW] SWITCH
24/10/100/1000PWR 10 100%
CORD
230
[HW] SWITCH ALCATEL
10 100%
LUCEN 9559
231
[HW] SWITCH ALCATEL
10 100%
LUCEN 9554
232
[AUX] UPS 10 KVA 9578 10 50%
233
[HW] Servidor de Pruebas
10 100%
“Desarrollito”
[HW] Computadores HP
10 20%
all-one Pro (18 Equipos)
234
[HW] Discos duros 10 100%
[HW] SWITCH 24
10 100%
10/100/1000 BASE T C
[HW] SWITCH
24/10/100/1000 BASE 10 100%
T4S
[HW] SWITCH
24/10/100/1000PWR 10 100%
CORD
235
[HW] SWITCH ALCATEL
10 100%
LUCEN 9558
236
[HW] SWITCH ALCATEL
10 100%
LUCEN 9552
237
[MEDIA] Materiales físicos 10 100%
238
[HW] Servidor de Pruebas
10 100%
“Desarrollito”
[HW] Computadores HP
10 20%
all-one Pro (18 Equipos)
239
[HW] Discos duros
10 100%
externos
[HW] SWITCH 24
10 100%
10/100/1000 BASE T C
[HW] SWITCH
24/10/100/1000 BASE 10 100%
T4S
[HW] SWITCH
24/10/100/1000PWR 10 100%
CORD
240
[HW] SWITCH ALCATEL
10 100%
LUCEN 9559
241
[HW] SWITCH ALCATEL
10 100%
LUCEN 9554
242
[AUX] UPS 10 KVA 9579 10 50%
Desastres
I.* [HW] Servidor de Base de
industriales 50 100%
Datos ITFIP
243
[HW] Servidor de Copias
de seguridad de la 50 100%
información del ITFIP
[HW] Computadores HP
50 20%
all-one Pro (18 Equipos)
244
[HW] SWITCH ALCATEL
50 100%
LUCEN 9553
[HW] SWITCH 24
50 100%
10/100/1000 BASE T C
[HW] SWITCH
24/10/100/1000 BASE 50 100%
T4S
[HW] SWITCH
24/10/100/1000PWR 50 100%
CORD
245
[HW] SWITCH ALCATEL
50 100%
LUCEN 9559
246
[HW] SWITCH ALCATEL
50 100%
LUCEN 9554
247
[AUX] UPS 10 KVA 9579 50 50%
Contaminación
l.3 [HW] Servidor de Base de
mecánica 50 50%
Datos ITFIP
248
[HW] Servidor de Copias
de seguridad de la 50 50%
información del ITFIP
[HW] Computadores HP
50 50%
all-one Pro (18 Equipos)
249
[HW] SWITCH ALCATEL
50 20%
LUCEN 9553
[HW] SWITCH 24
50 20%
10/100/1000 BASE T C
[HW] SWITCH
24/10/100/1000 BASE 50 20%
T4S
[HW] SWITCH
24/10/100/1000PWR 50 20%
CORD
250
[HW] SWITCH ALCATEL
50 20%
LUCEN 9559
251
[HW] SWITCH ALCATEL
50 20%
LUCEN 9554
252
[AUX] UPS 10 KVA 9578 50 20%
Contaminación
l.4 [HW] Servidor de Base de
electromagnética 10 100%
Datos ITFIP
253
[HW] Servidor de Copias
de seguridad de la 10 100%
información del ITFIP
[HW] Computadores HP
10 100%
all-one Pro (18 Equipos)
254
[HW] SWITCH ALCATEL
10 100%
LUCEN 9553
[HW] SWITCH 24
10 100%
10/100/1000 BASE T C
[HW] SWITCH
24/10/100/1000 BASE 10 100%
T4S
[HW] SWITCH
24/10/100/1000PWR 10 100%
CORD
255
[HW] SWITCH ALCATEL
10 100%
LUCEN 9559
256
[HW] SWITCH ALCATEL
10 100%
LUCEN 9554
257
[AUX] UPS 10 KVA 9578 10 50%
258
[SW] System Center 10 50%
259
[HW] Servidor Plataforma
10 100%
RYCA V.1
[HW] Computadores HP
10 100%
all-one Pro (18 Equipos)
260
[HW] Portátil Toshiba (16
10 100%
equipos)
[HW] SWITCH 24
10 100%
10/100/1000 BASE T C
[HW] SWITCH
24/10/100/1000 BASE 10 100%
T4S
[HW] SWITCH
24/10/100/1000PWR 10 100%
CORD
261
[HW] SWITCH ALCATEL
10 100%
LUCEN 9561
262
[HW] SWITCH ALCATEL
10 100%
LUCEN 9548
263
[HW] SWITCH LAYER 3
10 100%
9577
264
[HW] Servidor Plataforma
50 100%
RYCA V.1
[HW] Computadores HP
50 100%
all-one Pro (18 Equipos)
265
[HW] Portátil Toshiba (16
50 100%
equipos)
[HW] SWITCH 24
50 100%
10/100/1000 BASE T C
[HW] SWITCH
24/10/100/1000 BASE 50 100%
T4S
[HW] SWITCH
24/10/100/1000PWR 50 100%
CORD
266
[HW] SWITCH ALCATEL
50 100%
LUCEN 9561
267
[HW] SWITCH ALCATEL
50 100%
LUCEN 9548
268
[HW] SWITCH LAYER 3
50 100%
9577
[HW] SWITCH LAYER 3
50 100%
9575
269
[HW] Servidor de Base de
50 100%
Datos ITFIP
[HW] Computadores HP
50 50%
all-one Pro (18 Equipos)
270
[HW] Tablet negra 9” (1
50 50%
Equipo)
[HW] SWITCH 24
50 50%
10/100/1000 BASE T C
[HW] SWITCH
24/10/100/1000 BASE 50 50%
T4S
[HW] SWITCH
24/10/100/1000PWR 50 50%
CORD
271
[HW] SWITCH ALCATEL
50 50%
LUCEN 9556
272
[HW] SWITCH ALCATEL
50 50%
LUCEN 9550
273
[HW] ROUTER CISCO
50 50%
MODELO 1800 4781
274
[AUX] UPS 10 KVA 9579 50 5%
Emanaciones
l.11 [HW] Servidor de Base de
electromagnéticas 10 20%
Datos ITFIP
275
[HW] Servidor de Copias
de seguridad de la 10 20%
información del ITFIP
[HW] Computadores HP
10 20%
all-one Pro (18 Equipos)
276
[HW] SWITCH ALCATEL
10 20%
LUCEN 9553
[HW] SWITCH 24
10 20%
10/100/1000 BASE T C
[HW] SWITCH
24/10/100/1000 BASE 10 20%
T4S
[HW] SWITCH
24/10/100/1000PWR 10 20%
CORD
277
[HW] SWITCH ALCATEL
10 20%
LUCEN 9559
278
[HW] SWITCH ALCATEL
10 20%
LUCEN 9554
279
[AUX] UPS 10 KVA 9579 10 5%
[D] De cada pc de la
70 50% 75% 50%
dependencia de sistemas
280
[keys] Usuarios de los Pc
de las demás 70 75% 75% 50%
dependencias
[keys] Código de
confirmación para acceso 70 100% 100% 75%
a la sala de servidor
281
[SW] Microsoft Office 2013 70 5% 50% 20%
282
[MEDIA] Materiales físicos 70 100% 100% 75%
[D] De cada pc de la
50 50% 75% 50%
dependencia de sistemas
283
[keys] Sensor biométrico 50 20% 20% 20%
[keys] Código de
confirmación para acceso 50 100% 100% 75%
a la sala de servidor
284
[SW] System Center 50 20% 20% 20%
285
[HW] Servidor Plataforma
50 75% 100% 75%
RYCA V.2.0
286
[HW] Computadores HP
50 20% 20% 20%
all-one Pro (18 Equipos)
[HW] SWITCH 24
50 20% 20% 20%
10/100/1000 BASE T C
287
[HW] SWITCH
24/10/100/1000 BASE 50 20% 20% 20%
T4S
[HW] SWITCH
24/10/100/1000PWR 50 20% 20% 20%
CORD
288
[HW] SWITCH ALCATEL
50 20% 20% 20%
LUCEN 9544
289
[HW] SWITCH ALCATEL
50 20% 20% 20%
LUCEN 9560
290
[MEDIA] Materiales físicos 50 50% 50% 50%
[P] Coordinador de
10 50%
sistemas
291
[SW] Microsoft Office 2013 10 100% 75% 100%
292
[SW] Terminal 10 5% 100% 75%
[SW] Safari 10 5%
293
[SW] Windows 8 10 5%
[SW] Terminal 10 5%
294
[COM] Red de datos 10 75%
295
[SW] Windows Defender 50 20%
296
[COM] Red LAN 50 50%
[D] De cada pc de la
10 50%
dependencia de sistemas
297
[keys] Usuarios de los Pc
de las demás 10 75%
dependencias
[keys] Código de
confirmación para acceso 10 100%
a la sala de servidor
298
[SW] Microsoft Office 2013 10 75%
299
[SW] CoMmanD line (Mac) 10 20%
300
[D] de cada pc de las
dependencias de la 10 100%
institución
[keys] Código de
confirmación para acceso 10 100%
a la sala de servidor
301
[SW] Sistema de Registro
y Control Académico 10 100%
(RYCA) V.1
302
[SW] Windows Server
10 100%
2009
[SW] Windows Server
10 100%
2012
[SW] Terminal 10 5%
303
[COM] Red de datos 10 20%
[D] De cada pc de la
10 100%
dependencia de sistemas
304
[D] servidor de copias de
10 100%
seguridad
[keys] Código de
confirmación para acceso 10 100%
a la sala de servidor
305
[SW] Mozilla Firefox 10 75%
306
[SW] CoMmanD (CMD) 10 5%
[SW] Terminal 10 5%
307
[P] Programador 10 50%
308
[SW] System Center 10 20% 50% 50%
309
[SW] Sistema de Registro
y Control Académico 10 75% 50%
(RYCA) V.1
310
[SW] Windows 8 10 75% 75%
311
[HW] Servidor Plataforma
10 100%
RYCA V.1
[HW] Computadores HP
10 100%
all-one Pro (18 Equipos)
312
[HW] Portátil Toshiba (16
10 100%
equipos)
[HW] SWITCH 24
10 50%
10/100/1000 BASE T C
[HW] SWITCH
24/10/100/1000 BASE 10 50%
T4S
[HW] SWITCH
24/10/100/1000PWR 10 50%
CORD
313
[HW] SWITCH ALCATEL
10 50%
LUCEN 9561
314
[HW] SWITCH ALCATEL
10 50%
LUCEN 9548
315
[HW] SWITCH LAYER 3
10 50%
9577
[HW] SWITCH LAYER 3
10 50%
9575
316
[HW] Servidor de Base de
10 100%
Datos ITFIP
[HW] Computadores HP
10 100%
all-one Pro (18 Equipos)
317
[HW] Tablet negra 9” (1
10 100%
Equipo)
[HW] SWITCH 24
10 100%
10/100/1000 BASE T C
[HW] SWITCH
24/10/100/1000 BASE 10 100%
T4S
[HW] SWITCH
24/10/100/1000PWR 10 100%
CORD
318
[HW] SWITCH ALCATEL
10 100%
LUCEN 9556
319
[HW] SWITCH ALCATEL
10 100%
LUCEN 9550
320
[HW] SWITCH LAYER 3
10 100%
9575
321
[HW] Servidor Firewall
10 100% 100%
Fortigate
[HW] Servidor Contable
10 100% 100%
SIIGO
[HW] Computadores HP
10 75% 100%
all-one Pro (18 Equipos)
322
[HW] Computador IMAC
10 75% 100%
APPLE (3 Equipos)
[HW] SWITCH 24
10 20% 100%
10/100/1000 BASE T C
[HW] SWITCH
24/10/100/1000 BASE 10 20% 100%
T4S
[HW] SWITCH
24/10/100/1000PWR 10 20% 100%
CORD
323
[HW] SWITCH ALCATEL
10 20% 100%
LUCEN 9556
324
[HW] SWITCH ALCATEL
10 20% 100%
LUCEN 9550
325
[HW] ROUTER CISCO
10 20% 100%
MODELO 1800 4781
[P] Coordinador de
10 100%
sistemas
[D] De cada pc de la
10 100% 75% 50%
Suplantación de la dependencia de sistemas
A.5 identidad del
usuario [D] de cada pc de las
dependencias de la 10 100% 100% 75%
institución
326
[D] de las configuraciones
10 100% 100% 100%
de los servidores
[keys] Código de
confirmación para acceso 10 100% 100% 100%
a la sala de servidor
327
[SW] Sistema de Registro
y Control Académico 10 100% 100% 100%
(RYCA) V.2.0
[SW] Safari 10 5% 5% 5%
328
[SW] CentOS 5 10 100% 100% 100%
[SW] Terminal 10 5% 5% 5%
329
[D] de cada pc de las
dependencias de la 10 75% 50% 20%
institución
[keys] Código de
confirmación para acceso 10 75% 50% 75%
a la sala de servidor
330
[SW] Sistema de Registro
y Control Académico 10 50% 75% 100%
(RYCA) V.1
331
[SW] Windows 8 10 100% 50% 20%
332
[HW] Servidor Plataforma
10 100% 75% 100%
RYCA V.1
[HW] Computadores HP
10 20% 50% 20%
all-one Pro (18 Equipos)
333
[HW] Portátil Toshiba (16
10 20% 50% 20%
equipos)
[HW] SWITCH 24
10 20% 50% 20%
10/100/1000 BASE T C
[HW] SWITCH
24/10/100/1000 BASE 10 20% 50% 20%
T4S
334
[HW] SWITCH
24/10/100/1000PWR 10 20% 50% 20%
CORD
335
[HW] SWITCH ALCATEL
10 20% 50% 20%
LUCEN 9545
336
[HW] SWITCH LAYER 3
10 20% 50% 20%
9576
[HW] SWITCH LAYER 3
10 20% 50% 20%
9577
[HW] SWITCH LAYER 3
10 100% 50% 20%
9575
337
[SW] Sistema de Registro
y Control Académico 10 20% 50% 20%
(RYCA) V.2.0
338
[SW] Windows Server
10 100% 50% 20%
2012
339
[HW] Servidor de Base de
10 100% 50% 20%
Datos ITFIP
[HW] Computadores HP
10 20% 50% 20%
all-one Pro (18 Equipos)
340
[HW] Tablet negra 9” (1
10 75% 50% 20%
Equipo)
[HW] SWITCH 24
10 20% 50% 20%
10/100/1000 BASE T C
[HW] SWITCH
24/10/100/1000 BASE 10 20% 50% 20%
T4S
[HW] SWITCH
24/10/100/1000PWR 10 100% 50% 20%
CORD
341
[HW] SWITCH ALCATEL
10 100% 50% 20%
LUCEN 9556
342
[HW] SWITCH ALCATEL
10 75% 50% 20%
LUCEN 9550
343
[HW] SWITCH LAYER 3
10 75% 50% 20%
9575
344
[L] Cuarto o recinto
10 75% 50% 20%
(Oficina)
345
[SW] Windows Defender 10 100% 75% 100%
346
[SW] Sistema de Registro
y Control Académico 50 75%
(RYCA) V.2.0
347
[SW] Windows Server
50 50%
2012
348
[SW] Sistema de Registro
y Control Académico 10 75%
(RYCA) V.1
349
[SW] Windows Server
10 75%
2009
[SW] Windows Server
10 75%
2012
350
[COM] Red de datos 10 20%
[D] De cada pc de la
10 100% 75%
dependencia de sistemas
351
[keys] Sensor biométrico 10 100% 100%
[keys] Código de
confirmación para acceso 10 100% 75%
a la sala de servidor
352
[SW] System Center 10 100% 100%
353
[HW] Servidor DNS y
10 100% 100%
DHCP
354
[HW] Computadores HP
10 100% 100%
all-one Pro (18 Equipos)
[HW] SWITCH 24
10 100% 100%
10/100/1000 BASE T C
355
[HW] SWITCH
24/10/100/1000 BASE 10 100% 100%
T4S
[HW] SWITCH
24/10/100/1000PWR 10 100% 100%
CORD
356
[HW] SWITCH ALCATEL
10 100% 100%
LUCEN 9544
357
[HW] SWITCH ALCATEL
10 100% 75%
LUCEN 9560
358
[MEDIA] DDS 1TB 10 100% 100%
359
[COM] Red LAN 10 75%
[D] De cada pc de la
10 75%
dependencia de sistemas
360
[keys] Usuarios de los Pc
de las demás 10 75%
dependencias
[keys] Código de
confirmación para acceso 10 75%
a la sala de servidor
361
[SW] Microsoft Office 2013 10 75%
362
[SW] CoMmanD line (Mac) 10 50%
[D] De cada pc de la
10 100%
dependencia de sistemas
Destrucción de
A.18
información [D] de cada pc de las
dependencias de la 10 100%
institución
363
[D] de las configuraciones
10 100%
de los servidores
[keys] Código de
confirmación para acceso 10 100%
a la sala de servidor
364
[SW] Sistema de Registro
y Control Académico 10 100%
(RYCA) V.2.0
[SW] Safari 10 5%
365
[SW] CentOS 5 10 100%
[SW] Terminal 10 5%
[D] De cada pc de la
10 100%
dependencia de sistemas
Divulgación de
A.19
información [D] de cada pc de las
dependencias de la 10 100%
institución
366
[D] de las configuraciones
10 100%
de los servidores
[keys] Código de
confirmación para acceso 10 100%
a la sala de servidor
367
[SW] Sistema de Registro
y Control Académico 10 100%
(RYCA) V.2.0
368
[SW] CentOS 5 10 100%
[SW] Terminal 10 5%
369
[MEDIA] Materiales físicos 10 100%
370
[SW] System Center 10 5% 5% 20%
[SW] Terminal 10 5% 5% 5%
371
[HW] Servidor Plataforma
10 100% 100%
RYCA V.2.0
372
[HW] Computadores HP
10 20% 100%
all-one Pro (18 Equipos)
[HW] SWITCH 24
10 20% 100%
10/100/1000 BASE T C
373
[HW] SWITCH
24/10/100/1000 BASE 10 20% 100%
T4S
[HW] SWITCH
24/10/100/1000PWR 10 20% 100%
CORD
374
[HW] SWITCH ALCATEL
10 20% 100%
LUCEN 9544
375
[HW] SWITCH ALCATEL
10 20% 100%
LUCEN 9560
376
[HW] Servidor DNS y
50 100%
DHCP
377
[HW] Computadores HP
50 50%
all-one Pro (18 Equipos)
[HW] SWITCH 24
50 50%
10/100/1000 BASE T C
378
[HW] SWITCH
24/10/100/1000 BASE 50 50%
T4S
[HW] SWITCH
24/10/100/1000PWR 50 50%
CORD
379
[HW] SWITCH ALCATEL
50 50%
LUCEN 9544
380
[HW] SWITCH ALCATEL
50 50%
LUCEN 9560
381
[HW] Servidor Plataforma
10 100% 100%
RYCA V.2.0
382
[HW] Computadores HP
10 100% 100%
all-one Pro (18 Equipos)
[HW] SWITCH 24
10 20% 100%
10/100/1000 BASE T C
383
[HW] SWITCH
24/10/100/1000 BASE 10 20% 100%
T4S
[HW] SWITCH
24/10/100/1000PWR 10 20% 100%
CORD
384
[HW] SWITCH ALCATEL
10 20% 100%
LUCEN 9544
385
[HW] SWITCH ALCATEL
10 20% 100%
LUCEN 9560
386
[HW] Servidor Plataforma
10 100%
RYCA V.2.0
387
[HW] Computadores HP
10 100%
all-one Pro (18 Equipos)
[HW] SWITCH 24
10 20%
10/100/1000 BASE T C
388
[HW] SWITCH
24/10/100/1000 BASE 10 20%
T4S
[HW] SWITCH
24/10/100/1000PWR 10 20%
CORD
389
[HW] SWITCH ALCATEL
10 20%
LUCEN 9544
390
[HW] SWITCH ALCATEL
10 20%
LUCEN 9560
391
[L] Cuarto o recinto
10 100%
(Oficina)
[P] Coordinador de
10 100%
sistemas
[P] Coordinador de
10 20% 100% 20%
sistemas
[P] Coordinador de
10 20% 100% 20%
sistemas
392
4.2.7 Identificación de vulnerabilidades de los activos de
información ante las amenazas potenciales
393
Fuente: Autoría propia
Ilustración 35. Puerta de entrada al DataCenter
tercer piso
394
395
Como se observa el DataCenter cuenta con un control de acceso a personas
autorizadas por medio de sensor biométrico y clave el cual solo tienen acceso los
administradores, la puerta de vidrio de la entrada cuenta con dos cerraduras a
llave una en medio y la en la parte inferior izquierda, las cuales en caso tal de que
el sensor biométrico no funcione pueden acceder allí por medio de las llaves.
Ilustración 36. Extintor tipo A contra incendios ubicado en el DataCenter tercer piso
396
397
Ilustración 37. Cableado de red y eléctrico de los servidores y switch
398
399
Como se observa el estado actual del cableado de datos y cableado eléctrico en el
DataCenter son muy desordenados, debido a que no se utilizan paneles de
obturación para el cableado en la sala de servidores.
400
Ilustración 39. Canaletas para el cableado de red y eléctrico de las instalaciones del DataCenter
El DataCenter cuenta con canaletas para las conexiones eléctricas y los puertos
de red que se encuentran en buen estado, pero no se manejan canaletas para el
cableado entre servidores y switch.
Ilustración 40. Servidores y switch del DataCenter tercer piso
401
Ilustración 41. Entradas a los puntos DataCenter segundo piso
402
Fuente: Autoría propia.
Como se observa las entradas a los puntos DataCenter no cuenta con una cámara
de vigilancia.
Ilustración 42. Switch y Cableado de datos de los puntos DataCenter segundo piso
Ilustración 43. Extintor tipo A contra incendios ubicados en los puntos DataCenter del segundo piso
403
Se observa que los puntos también cuentan con extintores tipo A contra incendios,
pero no se visualizan correctamente y además no tienen la señalización debida.
Ilustración 45. Sistema de refrigeración dentro de los puntos DataCenter del segundo piso
404
DataCenter Primer piso
Ilustración 47. Extintor tipo A contra incendios del DataCenter primer piso
405
Se observa que los puntos también cuentan con extintores tipo A contra incendios,
pero no se visualizan correctamente y además no tienen la señalización debida.
Ilustración 48. Switch y cableado de datos del DataCenter primer piso
406
Fuente: Autoría propia
407
ocasionaría la perdida de información, equipos y herramientas necesarias para el
adecuado desempeño de esta área.
408
NO INTENCIONADOS
accidental de la cifrado y verificación (puerto – puerto)
información para el manejo de la movilidad de la
información.
409
RES Y FALLOS NO INTENCIONADOS
dependiendo de la gravedad del asunto.
410
Tipo ID Amenaza Exposición/Vulnerabilidad
411
Tabla 33. Estimación de la vulnerabilidad activo biométricas para acceso a la sala de servidor
ACTIVO TI BIOMÉTRICAS PARA ACCESO A LA SALA DE
SERVIDOR
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
TIPO DE ACTIVO DATOS/INFORMACIÓN
Tipo ID Amenaza Exposición/Vulnerabilidad
ERRORES Y FALLOS NO INTENCIONADOS
412
A.19 Divulgación de Información filtrada abiertamente a
información personas no correspondientes.
Fuente: Autoría propia
Tabla 34. Estimación de la vulnerabilidad activo de los usuarios que acceden a los servidores
ACTIVO TI DE LOS USUARIOS QUE ACCEDEN A LOS
SERVIDORES
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
TIPO DE ACTIVO DATOS/INFORMACIÓN
Tipo ID Amenaza Exposición/Vulnerabilidad
ERRORES Y FALLOS NO INTENCIONADOS
413
información movilización de la información.
414
A.15 Modificación Datos erróneos en el momento de la
deliberada de la movilización de la información.
información
Tabla 36. Estimación de la vulnerabilidad activo usuarios de los pc de las demás dependencias
ACTIVO TI USUARIOS DE LOS PC DE LAS DEMÁS
DEPENDENCIAS
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
TIPO DE ACTIVO CLAVES CRIPTOGRÁFICAS
Tipo ID Amenaza Exposición/Vulnerabilidad
ERRORES Y FALLOS NO INTENCIONADOS
415
INTENCIONAD
privilegios de otorgados.
acceso
416
ES INTENCIONAD
A.6 Abuso de Abuso de cada uno de los derechos
privilegios de otorgados.
acceso
417
AQUES INTENCIONAD
identidad del los permisos necesarios o con las
usuario credenciales necesarias.
418
FALLOS NO INTENCIONADOS
dependiendo de la gravedad del asunto.
419
INTENCIONAD
acceso
420
ERRORES Y FALLOS NO INTENCIONADOS INDUSTRIAL
421
mantenimiento /
actualización de
programas
(software)
ATAQUES INTENCIONAD
422
Tabla 41. Estimación de la vulnerabilidad activo página oficial del ITFIP
ACTIVO TI PÁGINA OFICIAL DEL ITFIP
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
TIPO DE ACTIVO SOFTWARE
Tipo ID Amenaza Exposición/Vulnerabilidad
ERRORES Y FALLOS NO INTENCIONADOS DE ORIGEN INDUSTRIAL
423
información copias de seguridad periódicas
424
A.15 Modificación Datos erróneos en el momento de la
deliberada de la movilización de la información.
información
425
INTENCIONADOS
encaminamiento de cifrado y verificación (puerto –
puerto) para el manejo de la movilidad
de la información.
426
A.8 Difusión de Afectación en los sistemas de
software dañino información y los procesos que ello
conlleva.
427
ERRORES Y FALLOS NO INTENCIONADOS
E.1 Errores de los Pérdida total o parcial del tiempo de
usuarios ejecución de sus actividades,
dependiendo de la gravedad del asunto.
428
ATAQUES INTENCIONAD
A.5 Suplantación de Acceso a personas que no cuenten con
la identidad del los permisos necesarios o con las
usuario credenciales necesarias.
429
Tipo ID Amenaza Exposición/Vulnerabilidad
INDUSTRIAL
l.5 Avería de origen La manipulación por parte de cada uno
ERRORES Y FALLOS NO INTENCIONADOS DE ORIGEN
físico o lógico de los componentes encontrados en la
dependencia, como también por defectos
de los componentes desde fabrica
430
E.21 Errores de Falla de funcionamiento del software.
mantenimiento /
actualización de
programas
(software)
ATAQUES INTENCIONAD
431
programas uno de los programas de la dependencia.
Fuente: Autoría propia
432
E.19 Fugas de Las personas contratadas están atadas a
información cláusulas de confidencialidad.
433
A.18 Destrucción de Perdida de la información.
información
434
accidental de la cifrado y verificación (puerto – puerto)
información para el manejo de la movilidad de la
información.
435
A.10 Alteración de Alteración de datos.
secuencia
436
E.9 Errores de [re-] La dependencia cuenta con sistemas de
encaminamiento cifrado y verificación (puerto – puerto)
para el manejo de la movilidad de la
información.
437
no relacionadas.
438
ORES Y FALLOS NO INTENCIONADOS
dependiendo de la gravedad del asunto.
439
QUES INTENCIONAD
usuario credenciales necesarias.
440
l.5 Avería de origen La manipulación por parte de cada uno
ORIGEN
físico o lógico de los componentes encontrados en la
DE
dependencia, como también por defectos
de los componentes desde fabrica
ERRORES Y FALLOS NO INTENCIONADOS
E.1 Errores de los Pérdida total o parcial del tiempo de
INDUSTR
441
actualización de
programas
(software)
ATAQUES INTENCIONAD
A.5 Suplantación de Acceso a personas que no cuenten con
la identidad del los permisos necesarios o con las
usuario credenciales necesarias.
442
Tabla 50. Estimación de la vulnerabilidad activo Windows server 2009
ACTIVO TI WINDOWS SERVER 2009
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
TIPO DE ACTIVO SOFTWARE
Tipo ID Amenaza Exposición/Vulnerabilidad
l.5 Avería de origen La manipulación por parte de cada uno
ORIGEN
443
(software) las aplicaciones instaladas en los
computadores de esta.
444
información personas no correspondientes.
445
información copias de seguridad periódicas
446
información movilización de la información.
447
accidental de la cifrado y verificación (puerto – puerto)
información para el manejo de la movilidad de la
información.
448
A.10 Alteración de Alteración de datos.
secuencia
449
información.
450
conlleva.
451
software dañino capaces de controlar software malicioso
452
(económicos y de tiempo) en actividades
no relacionadas.
453
FALLOS NO INTENCIONADOS
E.2 Errores del Pérdida total o parcial del tiempo de
administrador ejecución de sus actividades,
dependiendo de la gravedad del asunto.
454
INTENCIONAD
A.6 Abuso de Abuso de cada uno de los derechos
privilegios de otorgados.
acceso
455
l.5 Avería de origen La manipulación por parte de cada uno
ORIGEN
físico o lógico de los componentes encontrados en la
DE
dependencia, como también por defectos
de los componentes desde fabrica
ERRORES Y FALLOS NO INTENCIONADOS
E.1 Errores de los Pérdida total o parcial del tiempo de
INDUSTR
456
actualización de
programas
(software)
ATAQUES INTENCIONAD
A.5 Suplantación de Acceso a personas que no cuenten con
la identidad del los permisos necesarios o con las
usuario credenciales necesarias.
457
Tabla 57. Estimación de la vulnerabilidad activo CoMmanD line (Mac)
ACTIVO TI COMMAND LINE (MAC)
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
TIPO DE ACTIVO SOFTWARE
Tipo ID Amenaza Exposición/Vulnerabilidad
l.5 Avería de origen La manipulación por parte de cada uno
ORIGEN
458
(software) las aplicaciones instaladas en los
computadores de esta.
459
información personas no correspondientes.
460
información copias de seguridad periódicas
461
información movilización de la información.
462
I.* Desastres No hay exposición o vulnerabilidad, por
industriales parte de esta amenaza.
463
TAQUES INTENCIONADOS
privilegios de otorgados.
acceso
464
volcán nevado del Tolima.
DE ORIGEN INDUSTRIAL
l.1 Fuego No existe sistema de alarma contra
incendios. Se posee un solo extintor de
solkaflam (clase c) recomendados para
incendios en lugares donde se
encuentren equipos eléctricos.
465
INTENCIONADOS
mantenimiento / de información.
actualización de
equipos(hardware)
466
NATURALES
solkaflam (clase c) recomendados para
incendios en lugares donde se
encuentren equipos eléctricos.
467
l.7 Condiciones No se cuenta con una infraestructura
inadecuadas de adecuada para soportar los defectos del
temperatura o sistema de refrigeración.
humedad
468
A.26 Ataque destructivo Destrucción de los contenedores de la
información, en recipientes físicos y
lógicos.
Fuente: Autoría propia
469
l.4 Contaminación No hay exposición o vulnerabilidad, por
electromagnética parte de esta amenaza.
privilegios de otorgados.
acceso
470
INTENCIONADOS
no relacionadas.
471
DE ORIGEN INDUSTRIAL
l.1 Fuego No existe sistema de alarma contra
incendios. Se posee un solo extintor de
solkaflam (clase c) recomendados para
incendios en lugares donde se
encuentren equipos eléctricos.
472
INTENCIONADOS
actualización de
equipos(hardware)
473
NATURALES
incendios en lugares donde se
encuentren equipos eléctricos.
474
inadecuadas de adecuada para soportar los defectos del
temperatura o sistema de refrigeración.
humedad
475
información, en recipientes físicos y
lógicos.
Fuente: Autoría propia
476
electromagnética parte de esta amenaza.
acceso
477
A.11 Acceso no Uso ilícito del hardware
autorizado
Tabla 66. Estimación de la vulnerabilidad activo servidor de copias de seguridad de la información del ITFIP
ACTIVO TI SERVIDOR DE COPIAS DE SEGURIDAD DE LA
INFORMACIÓN DEL ITFIP
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad
DESASTRES NATURALES
478
DE ORIGEN INDUSTRIAL
l.1 Fuego No existe sistema de alarma contra
incendios. Se posee un solo extintor de
solkaflam (clase c) recomendados para
incendios en lugares donde se
encuentren equipos eléctricos.
479
INTENCIONADOS
actualización de
equipos(hardware)
480
NATURALES
incendios en lugares donde se
encuentren equipos eléctricos.
481
inadecuadas de adecuada para soportar los defectos del
temperatura o sistema de refrigeración.
humedad
482
información, en recipientes físicos y
lógicos.
Fuente: Autoría propia
Tabla 68. Estimación de la vulnerabilidad activo computadores hp all-one pro (18 equipos)
ACTIVO TI COMPUTADORES HP ALL-ONE PRO (18 EQUIPOS)
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad
DESASTRES NATURALES
483
electromagnética parte de esta amenaza.
acceso
484
A.11 Acceso no Uso ilícito del hardware
autorizado
485
INDUSTRIAL
encuentren equipos eléctricos.
486
de recursos
487
en donde el agua de las lluvias
488
electromagnéticas parte de esta amenaza.
489
Tabla 71. Estimación de la vulnerabilidad activo computador iMac Apple (3 equipos)
ACTIVO TI COMPUTADOR IMAC APPLE (3 EQUIPOS)
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad
DESASTRES NATURALES
490
defectos de los componentes desde
fabrica
491
los equipos
492
causaría daños en los equipos.
493
equipos (Robo) desechados.
ATAQUES INTENCIONADOS
A.6 Abuso de Abuso de cada uno de los derechos
privilegios de otorgados.
acceso
494
naturales sistemas se encuentra en zona baja de
riesgo de desastre natural de origen
volcánico debido a su cercanía con el
volcán nevado del Tolima.
DE ORIGEN INDUSTRIAL
495
E.2 Errores del Pérdida total o parcial del tiempo de
ERRORES Y FALLOS NO
administrador ejecución de sus actividades,
INTENCIONADOS
dependiendo de la gravedad del asunto.
496
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad
DESASTRES NATURALES
N.1 Fuego No existe sistema de alarma contra
incendios. Se posee un solo extintor de
solkaflam (clase c) recomendados para
incendios en lugares donde se
encuentren equipos eléctricos.
497
l.6 Corte del Amenaza debida a factores externos, a
suministro eléctrico clemencias de tipo naturales como
lluvias u otros.
498
servicio
499
industriales parte de esta amenaza.
500
QUES INTENCIONADOS
acceso
501
DE ORIGEN INDUSTRIAL
l.1 Fuego No existe sistema de alarma contra
incendios. Se posee un solo extintor de
solkaflam (clase c) recomendados para
incendios en lugares donde se
encuentren equipos eléctricos.
502
INTENCIONADOS
actualización de
equipos(hardware)
503
NATURALES
incendios en lugares donde se
encuentren equipos eléctricos.
504
inadecuadas de adecuada para soportar los defectos del
temperatura o sistema de refrigeración.
humedad
505
información, en recipientes físicos y
lógicos.
Fuente: Autoría propia
506
electromagnética parte de esta amenaza.
acceso
507
A.11 Acceso no Uso ilícito del hardware
autorizado
508
INDUSTRIAL
encuentren equipos eléctricos.
509
de recursos
510
en donde el agua de las lluvias
511
electromagnéticas parte de esta amenaza.
512
Tabla 81. Estimación de la vulnerabilidad activo switch ALCATEL LUCEN 9557
ACTIVO TI SWITCH ALCATEL LUCEN 9557
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad
DESASTRES NATURALES
513
defectos de los componentes desde
fabrica
514
los equipos
515
causaría daños en los equipos.
516
equipos (Robo) desechados.
ATAQUES INTENCIONADOS
A.6 Abuso de Abuso de cada uno de los derechos
privilegios de otorgados.
acceso
517
naturales sistemas se encuentra en zona baja de
riesgo de desastre natural de origen
volcánico debido a su cercanía con el
volcán nevado del Tolima.
DE ORIGEN INDUSTRIAL
518
E.2 Errores del Pérdida total o parcial del tiempo de
ERRORES Y FALLOS NO
administrador ejecución de sus actividades,
INTENCIONADOS
dependiendo de la gravedad del asunto.
519
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad
DESASTRES NATURALES
N.1 Fuego No existe sistema de alarma contra
incendios. Se posee un solo extintor de
solkaflam (clase c) recomendados para
incendios en lugares donde se
encuentren equipos eléctricos.
520
fabrica
521
A.24 Denegación de Saturación del sistema de información.
servicio
522
I.* Desastres No hay exposición o vulnerabilidad, por
industriales parte de esta amenaza.
523
TAQUES INTENCIONADOS
privilegios de otorgados.
acceso
524
volcán nevado del Tolima.
DE ORIGEN INDUSTRIAL
l.1 Fuego No existe sistema de alarma contra
incendios. Se posee un solo extintor de
solkaflam (clase c) recomendados para
incendios en lugares donde se
encuentren equipos eléctricos.
525
INTENCIONADOS
mantenimiento / de información.
actualización de
equipos(hardware)
526
NATURALES
solkaflam (clase c) recomendados para
incendios en lugares donde se
encuentren equipos eléctricos.
527
l.7 Condiciones No se cuenta con una infraestructura
inadecuadas de adecuada para soportar los defectos del
temperatura o sistema de refrigeración.
humedad
528
A.26 Ataque destructivo Destrucción de los contenedores de la
información, en recipientes físicos y
lógicos.
Fuente: Autoría propia
529
l.4 Contaminación No hay exposición o vulnerabilidad, por
electromagnética parte de esta amenaza.
privilegios de otorgados.
acceso
530
INTENCIONADOS
no relacionadas.
531
INDUSTRIAL
incendios en lugares donde se
encuentren equipos eléctricos.
532
por agotamiento
de recursos
533
goteras, cuenta con averías en el techo
en donde el agua de las lluvias
534
l.11 Emanaciones No hay exposición o vulnerabilidad, por
electromagnéticas parte de esta amenaza.
ERRORES Y FALLOS NO E.2 Errores del Pérdida total o parcial del tiempo de
INTENCIONADOS administrador ejecución de sus actividades,
dependiendo de la gravedad del asunto.
535
Tabla 91. Estimación de la vulnerabilidad activo switch ALCATEL LUCEN 9554
ACTIVO TI SWITCH ALCATEL LUCEN 9554
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad
DESASTRES NATURALES
536
defectos de los componentes desde
fabrica
537
los equipos
538
causaría daños en los equipos.
539
equipos (Robo) desechados.
ATAQUES INTENCIONADOS
A.6 Abuso de Abuso de cada uno de los derechos
privilegios de otorgados.
acceso
540
naturales sistemas se encuentra en zona baja de
riesgo de desastre natural de origen
volcánico debido a su cercanía con el
volcán nevado del Tolima.
DE ORIGEN INDUSTRIAL
541
E.2 Errores del Pérdida total o parcial del tiempo de
ERRORES Y FALLOS NO
administrador ejecución de sus actividades,
INTENCIONADOS
dependiendo de la gravedad del asunto.
542
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad
DESASTRES NATURALES
N.1 Fuego No existe sistema de alarma contra
incendios. Se posee un solo extintor de
solkaflam (clase c) recomendados para
incendios en lugares donde se
encuentren equipos eléctricos.
543
fabrica
544
A.24 Denegación de Saturación del sistema de información.
servicio
545
I.* Desastres No hay exposición o vulnerabilidad, por
industriales parte de esta amenaza.
546
TAQUES INTENCIONADOS
privilegios de otorgados.
acceso
547
volcán nevado del Tolima.
DE ORIGEN INDUSTRIAL
l.1 Fuego No existe sistema de alarma contra
incendios. Se posee un solo extintor de
solkaflam (clase c) recomendados para
incendios en lugares donde se
encuentren equipos eléctricos.
548
INTENCIONADOS
mantenimiento / de información.
actualización de
equipos(hardware)
549
NATURALES
solkaflam (clase c) recomendados para
incendios en lugares donde se
encuentren equipos eléctricos.
550
l.7 Condiciones No se cuenta con una infraestructura
inadecuadas de adecuada para soportar los defectos del
temperatura o sistema de refrigeración.
humedad
551
A.26 Ataque destructivo Destrucción de los contenedores de la
información, en recipientes físicos y
lógicos.
Fuente: Autoría propia
Tabla 98. Estimación de la vulnerabilidad activo router cisco modelo 1800 4781
ACTIVO TI ROUTER CISCO MODELO 1800 4781
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad
DESASTRES NATURALES
552
l.4 Contaminación No hay exposición o vulnerabilidad, por
electromagnética parte de esta amenaza.
privilegios de otorgados.
acceso
553
INTENCIONADOS
no relacionadas.
554
información.
555
A.14 Interceptación de Escucha pasiva.
información
(escucha)
556
información para el manejo de la movilidad de la
información.
557
A.15 Modificación Datos erróneos en el momento de la
deliberada de la movilización de la información.
información
558
información copias de seguridad periódicas
559
A.19 Divulgación de Información filtrada abiertamente a
información personas no correspondientes.
560
E.24 Caída del Saturación del sistema informático.
sistema por
agotamiento de
recursos
ATAQUES INTENCIONADOS
561
servicio
Fuente: Autoría propia
562
recursos
ATAQUES INTENCIONADOS
A.5 Suplantación de Acceso a personas que no cuenten con
la identidad del los permisos necesarios o con las
usuario credenciales necesarias.
563
Tabla 104. Estimación de la vulnerabilidad activo DDS 1TB
ACTIVO TI DDS 1TB
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
TIPO DE ACTIVO SOPORTES DE INFORMACIÓN
Tipo ID Amenaza Exposición/Vulnerabilidad
DESASTRES NATURALES
564
defectos de los componentes desde
fabrica
565
E.25 Perdida de Recuperación de soportes reciclados o
equipos (Robo) desechados.
ATAQUES INTENCIONADOS A.7 Uso no previsto Implementación de recursos
(económicos y de tiempo) en actividades
no relacionadas.
566
goteras, cuenta con averías en el techo
en donde el agua de las lluvias
567
l.10 Degradación de Pérdida gradual de cada uno de los
los soportes de registros históricos de la dependencia.
almacén amiento
de la información
no relacionadas.
568
información movilización de la información.
569
INDUSTRIAL
incendios en lugares donde se
encuentren equipos eléctricos.
mantenimiento / de información.
actualización de
equipos(hardware)
570
ATAQUES INTENCIONADOS INTENCIONADOS
E.25 Perdida de Recuperación de soportes reciclados o
equipos (Robo) desechados.
571
naturales riesgo de desastre natural de origen
volcánico debido a su cercanía con el
volcán nevado del Tolima.
DE ORIGEN INDUSTRIAL
l.1 Fuego No existe sistema de alarma contra
incendios. Se posee un solo extintor de
solkaflam (clase c) recomendados para
incendios en lugares donde se
encuentren equipos eléctricos.
572
l.11 Emanaciones No hay exposición o vulnerabilidad, por
electromagnéticas parte de esta amenaza.
ATAQUES INTENCIONADOS ERRORES Y FALLOS NO E.23 Errores de Perjuicio a la mantenibilidad del sistema
INTENCIONADOS mantenimiento / de información.
actualización de
equipos(hardware)
573
N.2 Daños por agua La infraestructura está expuesta a
goteras, cuenta con averías en el techo
en donde el agua de las lluvias
574
l.9 Interrupción de No hay exposición o vulnerabilidad, por
otros servicios y parte de esta amenaza.
suministros
esenciales
mantenimiento / de información.
INTENCIONADOS
actualización de
equipos(hardware)
575
SASTRES NATURALES
incendios. Se posee un solo extintor de
solkaflam (clase c) recomendados para
incendios en lugares donde se
encuentren equipos eléctricos.
576
AQUES INTENCIONADOS
(económicos y de tiempo) en actividades
no relacionadas.
577
INTENCIONADOS
A.30 Ingeniería social Intervención de personas con fines no
(picaresca) éticas.
578
INTENCIONADOS INTENCIONADOS
información cláusulas de confidencialidad.
1) Según la Degradación donde nos indica que tan perjudicado resulta el valor
del activo de información (1%, 50%, 100%), como resultado de la
materialización de las amenazas.
579
Tabla 113. Explicación de los valores de impacto, degradación y su escala.
IMPACTO DEGRADACIÓN
1% 50% 100%
VALOR DEL MUY ALTO 3 5 8
ACTIVO
ALTO 2 3 5
MEDIO 1 2 3
BAJO 1 1 2
MUY BAJO 1 1 1
Fuente: Autoría propia
580
Según lo anterior, se concluyó lo siguiente:
581
Tabla 114. Estimación del impacto en cada uno de los activos.
CONFIDENCIALIDAD
DISPONIBILIDAD
Valoración del
INTEGRIDAD
CANTIDAD
activo
ID ACTIVO
NIVEL VALOR
582
alto alto
VLAN-EST 1 Muy Muy
Vlan de estudiantes Alto Bajo 5
alto alto
V-WIFI 1 Muy Muy
Vlan de wifi Alto Bajo 5
alto alto
VLAN-CONF 1 Muy Muy
Vlan de configuración Alto Bajo 5
alto alto
VLAN-SIS 1 Muy Muy
Vlan de sistemas Alto Bajo 5
alto alto
VLAN-RYCA 1 Muy Muy
Vlan de registro y control Alto Bajo 5
alto alto
VLAN-ALMA 1 Muy Muy
Vlan de almacén Alto Bajo 5
alto alto
VLAN-TALEN 1 Muy Muy
Vlan de talento humano Alto Bajo 5
alto alto
BACK UP- N Copias de seguridad de cada pc de la Muy Muy Muy
Alto 5
SISTEMAS dependencia de sistemas alto alto alto
BACK UP-ITFIP N Copias de seguridad de cada pc de las Muy Muy Muy
Alto 5
dependencias de la institución alto alto alto
BACK UP- N Copia de seguridad de las configuraciones Muy Muy Muy
Alto 5
SERVER’S de los servidores alto alto alto
PASS-BIO N Contraseña biométrica para acceso a la Muy Muy Muy
Alto 5
sala del servidor bajo alto alto
PASS-SERVER N Contraseña de los usuarios que acceden a Muy Muy Muy
Alto 5
los servidores bajo alto alto
PASS-SERVER- N Contraseña del servidor de copias de Muy Muy Muy
Alto 5
BACK UP seguridad bajo alto alto
PASS-PC-ITFIP N Contraseña de usuarios de los Pc de las Muy Muy Muy
bajo 5
demás dependencias alto alto alto
PASS-S-BIO N Contraseña sensor biométrico bajo Alto Alto Alto 5
C-CASERVER N Código de acceso a la sala de servidor bajo Muy Muy Muy 5
583
alto alto alto
S-RYCA1 1 Sistema de Registro y Control Académico
alto Alto Alto Alto 5
(RYCA) V.1
S-RYCA2 1 Sistema de Registro y Control Académico
alto Alto Alto Alto 5
(RYCA) V.2.0
P-ITFIP 1 Muy
Página Oficial del ITFIP Alto Bajo Alto 3
alto
G-CHROME N Muy Muy Muy Muy
Navegador Google Chrome 1
alto alto alto alto
M-F N Muy Muy Muy Muy
Navegador Mozilla Firefox 1
alto alto alto alto
SAFI N Muy Muy Muy Muy
Navegador Safari 1
alto alto alto alto
M-OFFICE N Muy
Microsoft Office 2013 Alto Alto Alto 3
alto
O-OLINUX N Muy
Open Office Linux 2017 Alto Alto Alto 2
alto
S-CENTER N Muy Muy Muy Muy
Antivirus System Center 2
alto alto alto alto
W-DEFEN N Muy Muy Muy Muy
Antivirus Windows Defender 2
alto alto alto alto
W-8 N Muy Muy Muy Muy
Sistema Operativo Windows 8 3
alto alto alto alto
W-SER09 N Muy Muy Muy Muy
Sistema Operativo Windows Server 2009 5
alto alto alto alto
W-SER12 N Muy Muy Muy Muy
Sistema Operativo Windows Server 2012 5
alto alto alto alto
C-5 N Muy Muy Muy Muy
Sistema Operativo CentOS 5 5
alto alto alto alto
D-7 N Muy Muy Muy Muy
Sistema Operativo Debian 7 5
alto alto alto alto
584
U-14 N Muy Muy Muy Muy
Sistema Operativo Ubuntu 14 2
alto alto alto alto
M-OSX N Muy Muy Muy Muy
Sistema Operativo Mac OS X 5
alto alto alto alto
CMD N Muy Muy Muy Muy
Terminal CoMmanD (CMD) 2
alto alto alto alto
C-LMAC N Muy Muy Muy Muy
Terminal CoMmanD line (Mac) 3
alto alto alto alto
TERM N Muy Muy Muy Muy
Terminal Linux 2
alto alto alto alto
S-DNS N Muy Muy Muy
Servidor DNS y DHCP Alto 8
alto alto alto
S-RYCA2 N Muy Muy Muy
Servidor Plataforma RYCA V.2.0 Alto 8
alto alto alto
S-RYCA1 N Muy Muy Muy Muy
Servidor Plataforma RYCA V.1 8
alto alto alto alto
S-BD N Muy Muy Muy
Servidor de Base de Datos ITFIP Alto 8
alto alto alto
S-FIREW N Muy Muy Muy
Servidor Firewall Fortigate alto 8
alto alto alto
S-SIIGO N Muy Muy Muy Muy
Servidor Contable SIIGO 8
alto alto alto alto
S-PDESA N Muy Muy Muy
Servidor de Pruebas “Desarrollito” Alto 3
alto alto alto
S-CSECURITY N Servidor de Copias de seguridad de la Muy Muy Muy Muy
8
información del ITFIP alto alto alto alto
022400532 3
AL
Computador IMAC APPLE Medio Alto Medio Medio 5
022400534
585
AL 8
022400192
022400540 1
Muy
AL 6 Portátil Toshiba Alto Alto Alto 3
bajo
022400565
022400675 1 Muy Medi Muy Muy
Tablet negra 9” 2
alto o bajo bajo
022400534 3
Muy Muy Muy
AL Computador IMAC APPLE Alto 5
alto bajo bajo
022400537
MUSB234 N Memoria USB Medio Bajo Bajo Bajo 2
DD234 N Discos duros Medio Bajo Bajo Bajo 3
DDX334 N Discos duros externos Medio Bajo Bajo Bajo 3
020700059 1 Muy Muy
SWITCH ALCATEL LUCEN 9553 Alto bajo 5
alto alto
020700130 1 SWITCH 24 10/100/1000 BASE T C Muy 5
Alto Alto Alto
SWITCH 24 10/100/1000 BASE T C alto
020700158 1 Muy 5
SWITCH 24/10/100/1000 BASE T4S Alto Alto Alto
alto
020700136 1 Muy 5
SWITCH 24/10/100/1000PWR CORD Alto Alto Alto
alto
020700067 1 Muy 5
SWITCH ALCATEL LUCEN 9561 Alto Alto Alto
alto
020700062 1 Muy 5
SWITCH ALCATEL LUCEN 9556 Alto Alto Alto
alto
020700063 1 Muy 5
SWITCH ALCATEL LUCEN 9557 Alto Alto Alto
alto
020700064 1 Muy 5
SWITCH ALCATEL LUCEN 9558 Alto Alto Alto
alto
020700065 1 Muy 5
SWITCH ALCATEL LUCEN 9559 Alto Alto Alto
alto
586
020700049 1 Muy 5
SWITCH ALCATEL LUCEN 9543 Alto Alto Alto
alto
020700050 1 Muy 5
SWITCH ALCATEL LUCEN 9544 Alto Alto Alto
alto
020700051 1 Muy 5
SWITCH ALCATEL LUCEN 9545 Alto Alto Alto
alto
020700054 1 Muy 5
SWITCH ALCATEL LUCEN 9548 Alto Alto Alto
alto
020700056 1 Muy 5
SWITCH ALCATEL LUCEN 9550 Alto Alto Alto
alto
020700057 1 Muy 5
SWITCH ALCATEL LUCEN 9551 Alto Alto Alto
alto
020700058 1 Muy 5
SWITCH ALCATEL LUCEN 9552 Alto Alto Alto
alto
020700060 1 Muy 5
SWITCH ALCATEL LUCEN 9554 Alto Alto Alto
alto
020700061 1 Muy 5
SWITCH ALCATEL LUCEN 9555 Alto Alto Alto
alto
020700066 1 Muy 5
SWITCH ALCATEL LUCEN 9560 Alto Alto Alto
alto
020700080 1 Muy 5
SWITCH LAYER 3 9574 Alto Alto Alto
alto
020700082 1 Muy 5
SWITCH LAYER 3 9576 Alto Alto Alto
alto
020700083 1 Muy 5
SWITCH LAYER 3 9577 Alto Alto Alto
alto
020700081 1 Muy 5
SWITCH LAYER 3 9575 Alto Alto Alto
alto
1 Medi
ROUTER CISCO MODELO 1800 4781 Alto Medio Medio 5
o
1 Red Wi-fi ITFIP Muy Medi Medio Medio 2
587
alto o
1 Muy Medi
Red Wi-fi ITFIP 2 Medio Medio 2
alto o
1 Muy Medi
Red Wi-fi ITFIP_P1 Medio Medio 2
alto o
1 Medi
Red Wi-fi ITFIP_FUNCIONARIOS_P1 Bajo Medio Medio 2
o
1 Muy Medi
Red Wi-fi Salas1y2 Medio Medio 2
alto o
1 Muy Medi
Red Wi-fi Salas_Sis2 Medio Medio 2
alto o
1 Medi
Red Wi-fi Rectoría Bajo Medio Medio 2
o
DSK1024 5 Muy Muy Muy Muy
DDS 1TB 3
bajo alto alto alto
022400526 1 Muy Medi
UPS 10 KVA 9578 Medio Medio 5
alto o
022400527 1 Muy Medi
UPS 10 KVA 9579 Medio Medio 5
alto o
022400528 1 Muy Medi
UPS 10 KVA 9580 Medio Medio 5
alto o
Fuente: Autoría propia
588
4.2.10 Estimación de la probabilidad de que ocurra perdida del activo
3 Baja En 6 meses
4 Media Al mes
5 Alta A la semana
Fuente: Autoría propia
Filas
Columnas
589
DEPENDENCIA DE SISTEMAS
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 80%
IMPACTO 5
TIPO DE ACTIVO DATOS/INFORMACIÓN
Tipo ID Amenaza Exposición/Vulnerabilidad Frecuencia
(F)
ERRORES Y FALLOS NO INTENCIONADOS
590
A.15 Modificación Datos erróneos en el Media 4
deliberada de la momento de la movilización
información de la información.
591
E.19 Fugas de Las personas contratadas Media 4
información están atadas a cláusulas de
confidencialidad.
ATAQUES INTENCIONAD
A.5 Suplantación de Acceso a personas que no Media 4
la identidad del cuenten con los permisos
usuario necesarios o con las
credenciales necesarias.
592
FALLOS NO INTENCIONADOS
administrador tiempo de ejecución de sus
actividades, dependiendo
de la gravedad del asunto.
593
SALA DE SERVIDOR
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRACIÓN 100%
IMPACTO 5
TIPO DE ACTIVO DATOS/INFORMACIÓN
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
ERRORES Y FALLOS NO INTENCIONADOS
594
autorizado
595
E.19 Fugas de Las personas contratadas Media 4
información están atadas a cláusulas de
confidencialidad.
ATAQUES INTENCIONAD
A.5 Suplantación de Acceso a personas que no Media 4
la identidad del cuenten con los permisos
usuario necesarios o con las
credenciales necesarias.
596
FALLOS NO INTENCIONADOS
administrador tiempo de ejecución de sus
actividades, dependiendo
de la gravedad del asunto.
597
Tabla 122. Estimación de la probabilidad activo usuarios de los pc de las demás dependencias
ACTIVO TI CONTRASEÑAS DE LOS USUARIOS DE LOS PC DE
LAS DEMÁS DEPENDENCIAS
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRACIÓN 85%
IMPACTO 5
TIPO DE ACTIVO CLAVES CRIPTOGRÁFICAS
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
ERRORES Y FALLOS NO INTENCIONADOS
598
INTENCIONAD
autorizado
599
E.19 Fugas de Las personas contratadas Media 4
información están atadas a cláusulas de
confidencialidad.
ATAQUES INTENCIONAD
600
FALLOS NO INTENCIONADOS
actividades, dependiendo baja
de la gravedad del asunto.
601
(RYCA) V.1
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 90%
IMPACTO 5
TIPO DE ACTIVO SOFTWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
ORIGEN DE
602
movilidad de la información.
603
puerto) para el manejo de la
movilidad de la información.
A.10 Alteración de Alteración de datos. Baja 3
secuencia
componentes encontrados
en la dependencia, como
Y
604
FALLOS NO INTENCIONADOS
administrador tiempo de ejecución de sus
actividades, dependiendo
de la gravedad del asunto.
605
programas
(software)
ATAQUES INTENCIONAD A.5 Suplantación de la Acceso a personas que no Baja 3
identidad del cuenten con los permisos
usuario necesarios o con las
credenciales necesarias.
606
programas funcionamiento de cada
uno de los programas de la
dependencia.
Fuente: Autoría propia
Tabla 127. Estimación de la probabilidad activo página oficial del ITFIP
ACTIVO TI PÁGINA OFICIAL DEL ITFIP
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 50%
IMPACTO 3
TIPO DE ACTIVO SOFTWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
ORIGEN DE
607
E.15 Alteración La dependencia cuenta con Baja 3
accidental de la sistemas de cifrado y
información verificación (puerto –
puerto) para el manejo de la
movilidad de la información.
608
procesos que ello conlleva.
609
RORES Y FALLOS NO INTENCIONADOS
usuarios tiempo de ejecución de sus
actividades, dependiendo
de la gravedad del asunto.
610
para la institución.
611
A.19 Divulgación de Información filtrada Baja 3
información abiertamente a personas no
correspondientes.
612
secuencia sistemas de cifrado y
verificación (puerto –
puerto) para el manejo de la
movilidad de la información.
613
relacionadas.
614
ORIGEN DE
l.5 Avería de origen La manipulación por parte Baja 3
físico o lógico de cada uno de los
componentes encontrados
en la dependencia, como
ERRORES Y FALLOS NO INTENCIONADOS
E.1 Errores de los Pérdida total o parcial del Baja 3
usuarios tiempo de ejecución de sus
actividades, dependiendo
de la gravedad del asunto.
615
confidencialidad.
616
A.15 Modificación Datos erróneos en el Baja 3
deliberada de la momento de la movilización
información de la información.
617
INTENCIONADOS
E.9 Errores de [re-] La dependencia cuenta con Baja 3
encaminamiento sistemas de cifrado y
verificación (puerto –
puerto) para el manejo de la
movilidad de la información.
618
S INTENCIONAD
credenciales necesarias.
619
Tabla 132. Estimación de la probabilidad activo open office Linux 2017
ACTIVO TI OPEN OFFICE LINUX 2017
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 15%
IMPACTO 2
TIPO DE ACTIVO SOFTWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
ORIGEN DE
620
movilidad de la información.
621
puerto) para el manejo de la
movilidad de la información.
A.10 Alteración de Alteración de datos. Baja 3
secuencia
componentes encontrados
en la dependencia, como
Y
622
FALLOS NO INTENCIONADOS
administrador tiempo de ejecución de sus
actividades, dependiendo
de la gravedad del asunto.
623
programas
(software)
ATAQUES INTENCIONAD A.5 Suplantación de la Acceso a personas que no Baja 3
identidad del cuenten con los permisos
usuario necesarios o con las
credenciales necesarias.
624
programas funcionamiento de cada
uno de los programas de la
dependencia.
Fuente: Autoría propia
625
movilidad de la información.
626
software dañino de información y los
procesos que ello conlleva.
627
ERRORES Y FALLOS NO INTENCIONADOS
E.1 Errores de los Pérdida total o parcial del Baja 3
usuarios tiempo de ejecución de sus
actividades, dependiendo
de la gravedad del asunto.
628
los softwares empleados
para la institución.
629
información
630
movilidad de la información.
631
INTENCIONAD
A.7 Uso no previsto Implementación de Baja 3
recursos (económicos y de
tiempo) en actividades no
relacionadas.
632
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
ORIGEN DE
l.5 Avería de origen La manipulación por parte Baja 3
físico o lógico de cada uno de los
componentes encontrados
en la dependencia, como
ERRORES Y FALLOS NO INTENCIONADOS
633
información están atadas a cláusulas de
confidencialidad.
634
autorizado
635
INTENCIONADOS
controlar software malicioso
636
ES INTENCIONAD
credenciales necesarias.
637
Tabla 139. Estimación de la probabilidad activo Debian 7
ACTIVO TI SISTEMA OPERATIVO DEBIAN 7
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO SOFTWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
ORIGEN DE
638
movilidad de la información.
639
puerto) para el manejo de la
movilidad de la información.
A.10 Alteración de Alteración de datos. Baja 3
secuencia
componentes encontrados
en la dependencia, como
Y
640
FALLOS NO INTENCIONADOS
administrador tiempo de ejecución de sus
actividades, dependiendo
de la gravedad del asunto.
641
programas
(software)
ATAQUES INTENCIONAD A.5 Suplantación de la Acceso a personas que no Baja 3
identidad del cuenten con los permisos
usuario necesarios o con las
credenciales necesarias.
642
programas funcionamiento de cada
uno de los programas de la
dependencia.
Fuente: Autoría propia
643
movilidad de la información.
644
software dañino de información y los
procesos que ello conlleva.
645
ERRORES Y FALLOS NO INTENCIONADOS
E.1 Errores de los Pérdida total o parcial del Baja 3
usuarios tiempo de ejecución de sus
actividades, dependiendo
de la gravedad del asunto.
646
los softwares empleados
para la institución.
647
información
648
movilidad de la información.
649
INTENCIONAD
A.7 Uso no previsto Implementación de Baja 3
recursos (económicos y de
tiempo) en actividades no
relacionadas.
650
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
ORIGEN DE
l.5 Avería de origen La manipulación por parte Baja 3
físico o lógico de cada uno de los
componentes encontrados
en la dependencia, como
ERRORES Y FALLOS NO INTENCIONADOS
651
información están atadas a cláusulas de
confidencialidad.
652
autorizado
653
naturales dependencia de sistemas
se encuentra en zona baja
de riesgo de desastre
natural de origen volcánico
debido a su cercanía con el
volcán nevado del Tolima.
DE ORIGEN INDUSTRIAL
654
tipo naturales como lluvias baja
u otros.
655
A.23 Manipulación de Sabotaje del hardware y Muy 2
los equipos software conteniente. baja
656
natural de origen volcánico
debido a su cercanía con el
volcán nevado del Tolima.
DE ORIGEN INDUSTRIAL
l.1 Fuego No existe sistema de Muy 2
alarma contra incendios. Se baja
posee un solo extintor de
solkaflam (clase c)
recomendados para
incendios en lugares donde
se encuentren equipos
eléctricos.
657
inadecuadas de infraestructura adecuada baja
temperatura o para soportar los defectos
humedad del sistema de
refrigeración.
658
servicio información. baja
659
DE ORIGEN INDUSTRIAL
l.1 Fuego No existe sistema de Muy 2
alarma contra incendios. Se baja
posee un solo extintor de
solkaflam (clase c)
recomendados para
incendios en lugares donde
se encuentren equipos
eléctricos.
660
refrigeración.
661
física o digital. baja
662
ORIGEN INDUSTRIAL
solkaflam (clase c)
recomendados para
incendios en lugares donde
se encuentren equipos
eléctricos.
663
esta amenaza. baja
664
información, en recipientes baja
físicos y lógicos.
Fuente: Autoría propia
665
INDUSTRIAL
eléctricos.
666
ATAQUES INTENCIONADOS RES Y FALLOS NO INTENCIONADOS
actividades, dependiendo
de la gravedad del asunto.
667
Tabla 150. Estimación de la probabilidad activo servidor contable SIIGO
ACTIVO TI SERVIDOR CONTABLE SIIGO
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 90%
IMPACTO 8
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
668
acondicionado causaría baja
daños en los equipos.
669
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
E.23 Errores de Perjuicio a la mantenibilidad Muy 2
mantenimiento / del sistema de información. baja
actualización de
equipos(hardware)
670
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 45%
IMPACTO 3
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
671
daños en los equipos.
672
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
Tabla 152. Estimación de la probabilidad activo servidor de copias de seguridad de la información del ITFIP
ACTIVO TI SERVIDOR DE COPIAS DE SEGURIDAD DE LA
673
INFORMACIÓN DEL ITFIP
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 90%
IMPACTO 8
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
674
daños en los equipos.
675
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de
equipos(hardware)
676
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 50%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
677
daños en los equipos.
678
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
Tabla 154. Estimación de la probabilidad activo computadores hp all-one pro (18 equipos)
ACTIVO TI COMPUTADORES HP ALL-ONE PRO (18 EQUIPOS)
679
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 30%
IMPACTO 3
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
680
daños en los equipos.
681
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
682
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 30%
IMPACTO 3
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
683
daños en los equipos.
684
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
685
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 20%
IMPACTO 2
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
686
daños en los equipos.
687
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
688
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 50%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
689
daños en los equipos.
690
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
691
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 20%
IMPACTO 2
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
692
daños en los equipos.
693
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
694
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 35%
IMPACTO 3
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
695
daños en los equipos.
696
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
697
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 45%
IMPACTO 3
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
698
daños en los equipos.
699
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
700
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
701
daños en los equipos.
702
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
703
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
704
daños en los equipos.
705
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
706
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
707
daños en los equipos.
708
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
709
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
710
daños en los equipos.
711
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
712
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
713
daños en los equipos.
714
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
715
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
716
daños en los equipos.
717
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
718
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
719
daños en los equipos.
720
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
721
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
722
daños en los equipos.
723
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
724
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
725
daños en los equipos.
726
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
727
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
728
daños en los equipos.
729
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
730
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
731
daños en los equipos.
732
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
733
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
734
daños en los equipos.
735
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
736
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
737
daños en los equipos.
738
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
739
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
740
daños en los equipos.
741
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
742
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
743
daños en los equipos.
744
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
745
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
746
daños en los equipos.
747
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
748
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
749
daños en los equipos.
750
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
751
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
752
daños en los equipos.
753
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
754
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
755
daños en los equipos.
756
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
757
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
758
daños en los equipos.
759
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
760
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
761
daños en los equipos.
762
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
763
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
764
daños en los equipos.
765
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
766
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
767
daños en los equipos.
768
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
Tabla 184. Estimación de la probabilidad activo router cisco modelo 1800 4781
ACTIVO TI ROUTER CISCO MODELO 1800 4781
769
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 70%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES
770
daños en los equipos.
771
ATAQUES INTENCIONADOS FALLOS NO INTENCIONADOS
actualización de del sistema de información. baja
equipos(hardware)
772
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO REDES DE COMUNICACIÓN
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
ERRORES Y FALLOS NO INTENCIONADOS DE ORIGEN INDUSTRIAL
773
de seguridad periódicas
774
deliberada de la momento de la movilización
información de la información.
775
INTENCIONADOS
verificación (puerto –
puerto) para el manejo de la
movilidad de la información.
776
A.11 Acceso no Uso ilícito del hardware Media 4
autorizado
777
RRORES Y FALLOS NO INTENCIONADOS
administrador tiempo de ejecución de sus
actividades, dependiendo
de la gravedad del asunto.
778
INTENCIONADOS
A.7 Uso no previsto Implementación de Media 4
recursos (económicos y de
tiempo) en actividades no
relacionadas.
779
(F)
780
E.24 Caída del sistema Saturación del sistema Media 4
por agotamiento informático.
de recursos
ATAQUES INTENCIONADOS
A.5 Suplantación de Acceso a personas que no Media 4
la identidad del cuenten con los permisos
usuario necesarios o con las
credenciales necesarias.
781
correspondientes.
782
accidental de la sistemas de cifrado y
información verificación (puerto –
puerto) para el manejo de la
movilidad de la información.
783
interna de la institución.
784
se encuentra en zona baja
de riesgo de desastre
natural de origen volcánico
debido a su cercanía con el
volcán nevado del Tolima.
DE ORIGEN INDUSTRIAL
785
u otros.
786
actualización de del sistema de información.
equipos(hardware)
787
TIPO DE ACTIVO SOPORTES DE INFORMACIÓN
Frecuencia
Tipo ID Amenaza Exposición/Vulnerabilidad
(F)
DESASTRES NATURALES N.1 Fuego No existe sistema de Baja 3
alarma contra incendios. Se
posee un solo extintor de
solkaflam (clase c)
recomendados para
incendios en lugares donde
se encuentren equipos
eléctricos.
788
esta amenaza.
789
FALLOS NO INTENCIONADOS
E.2 Errores del Pérdida total o parcial del Baja 3
administrador tiempo de ejecución de sus
actividades, dependiendo
de la gravedad del asunto.
790
información abiertamente a personas no
correspondientes.
791
natural de origen volcánico
debido a su cercanía con el
volcán nevado del Tolima.
DE ORIGEN INDUSTRIAL
l.1 Fuego No existe sistema de Muy 2
alarma contra incendios. Se baja
posee un solo extintor de
solkaflam (clase c)
recomendados para
incendios en lugares donde
se encuentren equipos
eléctricos.
792
inadecuadas de infraestructura adecuada baja
temperatura o para soportar los defectos
humedad del sistema de
refrigeración.
793
INTENCIONADOS
A.25 Robo Robo de porte de la Baja 3
información, puede esta ser
física o digital.
794
DE ORIGEN INDUSTRIAL
l.1 Fuego No existe sistema de Muy 2
alarma contra incendios. Se baja
posee un solo extintor de
solkaflam (clase c)
recomendados para
incendios en lugares donde
se encuentren equipos
eléctricos.
795
refrigeración.
796
A.26 Ataque destructivo Destrucción de los Baja 3
contenedores de la
información, en recipientes
físicos y lógicos.
Fuente: Autoría propia
797
INDUSTRIAL
incendios en lugares donde
se encuentren equipos
eléctricos.
798
l.9 Interrupción de No hay exposición o Muy 2
otros servicios y vulnerabilidad, por parte de baja
suministros esta amenaza.
esenciales
799
contenedores de la
información, en recipientes
físicos y lógicos.
Fuente: Autoría propia
800
INDUSTRIAL
se encuentren equipos
eléctricos.
801
INTENCIONADOS
deliberada de la momento de la movilización bajo
información de la información.
802
ATAQUES INTENCIONADOS INTENCIONADOS
803
ATAQUES INTENCIONADOS INTENCIONADOS
804
ATAQUES INTENCIONADOS INTENCIONADOS
805
Ilustración 53. Estimación del Riesgo según Magerit.
Filas
Columnas
806
R (valor correspondiente al riesgo calculado de la probabilidad por el
impacto).
NR (corresponde a la clasificación de nivel de riesgo donde pertenece el
riesgo calculado según MAGERIT).
807
Tabla 199. Nivel de aceptación / tolerancia según MAGERIT
Aceptable Retenido.
Tolerable Para activos no críticos, y tratado como intolerable en caso de críticos.
Intolerable Atención inmediata y monitoreo permanente.
Extremo Tratado en forma similar al intolerable, pero a nivel de Gerencia General.
Fuente: Magerit V3.0
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
808
E.19 Fugas de Las personas contratadas están atadas a Media 4 2 4 Extremo
privilegios de otorgados. 0
acceso
autorizado 0
información 0
809
Tabla 200. Estimación del riesgo activo copias de seguridad de cada pc de las dependencias de la institución
ACTIVO TI COPIAS DE SEGURIDAD DE CADA PC DE LAS DEPENDENCIAS DE LA INSTITUCIÓN
ADMINISTRADO PIMIENTO CARDENAS WILSON MAURICIO
R
DEGRADACIÓN 80%
IMPACTO 5
TIPO DE ACTIVO DATOS/INFORMACIÓN
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
4 Extremo
Frecuencia R NR
(F)
ERRORES Y FALLOS NO INTENCIONADOS
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
usuarios ejecución de sus actividades, dependiendo 5
de la gravedad del asunto.
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
administrador ejecución de sus actividades, dependiendo 5
de la gravedad del asunto.
A.5 Suplantación de Acceso a personas que no cuenten con los Media 4 2 4 Extremo
810
TAQUES INTENCIONAD
la identidad del permisos necesarios o con las 0
usuario credenciales necesarias.
811
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
ERRORES Y FALLOS NO
usuarios ejecución de sus actividades, dependiendo 5
INTENCIONADOS
de la gravedad del asunto.
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
administrador ejecución de sus actividades, dependiendo 5
de la gravedad del asunto.
E.15 Alteración La dependencia cuenta con sistemas de Baja 3 1 4 Extremo
accidental de la cifrado y verificación (puerto – puerto) para 5
información el manejo de la movilidad de la
información.
E.18 Destrucción de El departamento de sistemas cuenta con Media 4 2 4 Extremo
información copias de seguridad periódicas 0
A.5 Suplantación de la Acceso a personas que no cuenten con los Media 4 2 4 Extremo
identidad del permisos necesarios o con las 0
usuario credenciales necesarias.
A.6 Abuso de Abuso de cada uno de los derechos Media 4 2 4 Extremo
privilegios de otorgados. 0
acceso
A.11 Acceso no Uso ilícito del hardware Media 4 2 4 Extremo
autorizado 0
812
información personas no correspondientes. 0
Fuente: Autoría propia
Tabla 202. Estimación del riesgo activo contraseñas biométricas para acceso a la sala de servidor
ACTIVO TI CONTRASEÑAS BIOMÉTRICAS PARA ACCESO A LA SALA DE SERVIDOR
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRACIÓN 100%
IMPACTO 5
TIPO DE ACTIVO DATOS/INFORMACIÓN
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
4 Extremo
Frecuencia R NR
(F)
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
ERRORES Y FALLOS NO
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
administrador ejecución de sus actividades, dependiendo 5
de la gravedad del asunto.
813
E.19 Fugas de Las personas contratadas están atadas a Media 4 2 4 Extremo
información cláusulas de confidencialidad. 0
ATAQUES INTENCIONAD A.5 Suplantación de Acceso a personas que no cuenten con los Media 4 2 4 Extremo
la identidad del permisos necesarios o con las 0
usuario credenciales necesarias.
814
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
4 Extremo
Frecuencia R NR
ERRORES Y FALLOS NO INTENCIONADOS (F)
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
usuarios ejecución de sus actividades, dependiendo 5
de la gravedad del asunto.
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
administrador ejecución de sus actividades, dependiendo 5
de la gravedad del asunto.
A.5 Suplantación de Acceso a personas que no cuenten con los Media 4 2 4 Extremo
la identidad del permisos necesarios o con las 0
S
815
INTENCIONAD
A.6 Abuso de Abuso de cada uno de los derechos Media 4 2 4 Extremo
privilegios de otorgados. 0
acceso
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
usuarios ejecución de sus actividades, dependiendo 5
SY
816
FALLOS NO INTENCIONADOS
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
administrador ejecución de sus actividades, dependiendo 5
de la gravedad del asunto.
A.5 Suplantación de Acceso a personas que no cuenten con los Media 4 2 4 Extremo
la identidad del permisos necesarios o con las 0
usuario credenciales necesarias.
817
información 0
Tabla 205. Estimación del riesgo activo contraseñas del usuario de los pc de las demás dependencias
ACTIVO TI CONTRASEÑAS DE LOS USUARIOS DE LOS PC DE LAS DEMÁS
DEPENDENCIAS
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRACIÓN 85%
IMPACTO 5
TIPO DE ACTIVO CLAVES CRIPTOGRÁFICAS
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.81 Intolerable
Frecuencia R NR
(F)
E.1 Errores de los Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y FALLOS NO
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
administrador ejecución de sus actividades, baja
dependiendo de la gravedad del
asunto.
818
información puerto) para el manejo de la movilidad
de la información.
819
Tabla 206. Estimación del riesgo activo contraseña sensor biométrico
ACTIVO TI CONTRASEÑA SENSOR BIOMÉTRICO
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 100%
IMPACTO 5
TIPO DE ACTIVO CLAVES CRIPTOGRÁFICAS
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.81 Intolerable
Frecuencia R NR
(F)
ERRORES Y FALLOS NO INTENCIONADOS
E.1 Errores de los Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
usuarios ejecución de sus actividades, baja
dependiendo de la gravedad del
asunto.
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
administrador ejecución de sus actividades, baja
dependiendo de la gravedad del
asunto.
820
E.19 Fugas de Las personas contratadas están atadas Media 4 20 4 Extremo
información a cláusulas de confidencialidad.
ATAQUES INTENCIONAD
821
IMPACTO 5
TIPO DE ACTIVO CLAVES CRIPTOGRÁFICAS
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.81 Intolerable
Frecuencia R NR
(F)
ERRORES Y FALLOS NO INTENCIONADOS
E.1 Errores de los Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
usuarios ejecución de sus actividades, baja
dependiendo de la gravedad del
asunto.
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
administrador ejecución de sus actividades, baja
dependiendo de la gravedad del
asunto.
822
QUES INTENCIONAD
usuario credenciales necesarias.
823
INDUSTRIAL
o lógico de los componentes encontrados en la 5
ORIGEN
dependencia, como también por
defectos de los componentes desde
fabrica
ERRORES Y FALLOS NO INTENCIONADOS
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
824
de la información de cifrado y verificación (puerto – 5
puerto) para el manejo de la movilidad
de la información.
mantenimiento / 5
actualización de
programas (software)
ATAQUES INTENCIONAD
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 1 4 Extremo
de acceso otorgados. 5
(económicos y de tiempo) en 5
actividades no relacionadas.
825
A.8 Difusión de software Afectación en los sistemas de Baja 3 1 4 Extremo
secuencia 5
autorizado 5
información 5
826
DEGRADACIÓN 90%
IMPACTO 5
TIPO DE ACTIVO SOFTWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
4 Extremo
Frecuencia R NR
(F)
INDUSTRIAL
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 1 4 Extremo
DE ORIGEN
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
ERRORES Y FALLOS NO
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
827
de la información.
mantenimiento / 5
actualización de
programas (software)
ATAQ
828
INTENCIONAD
credenciales necesarias.
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 1 4 Extremo
de acceso otorgados. 5
(económicos y de tiempo) en 5
actividades no relacionadas.
secuencia 5
autorizado 5
información 5
829
información personas no correspondientes. 5
Frecuencia R NR
(F)
INDUSTRIAL
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 9 3 Intolerable
DE ORIGEN
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 9 3 Intolerable
ERRORES Y
FALLOS NO
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 9 3 Intolerable
830
INTENCIONADOS
administrador ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
831
(software) cada uno de los softwares empleados
para la institución.
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 9 3 Intolerable
de acceso otorgados.
832
A.11 Acceso no Uso ilícito del hardware Baja 3 9 3 Intolerable
autorizado
Frecuencia R NR
(F)
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 3 2 Tolerable
DE
833
INDUSTRIAL
dependencia, como también por
ORIGEN
defectos de los componentes desde
fabrica
ERRORES Y FALLOS NO INTENCIONADOS
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 3 2 Tolerable
usuarios ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 3 2 Tolerable
administrador ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
834
de la información de cifrado y verificación (puerto –
puerto) para el manejo de la movilidad
de la información.
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 3 2 Tolerable
de acceso otorgados.
835
A.8 Difusión de software Afectación en los sistemas de Baja 3 3 2 Tolerable
dañino información y los procesos que ello
conlleva.
836
DEGRADACIÓN 15%
IMPACTO 1
TIPO DE ACTIVO SOFTWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
2 Tolerable
Frecuencia R NR
(F)
INDUSTRIAL
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 3 2 Tolerable
DE ORIGEN
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 3 2 Tolerable
ERRORES Y FALLOS NO
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 3 2 Tolerable
administrador ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
837
puerto) para el manejo de la movilidad
de la información.
838
QUES INTENCIONAD
credenciales necesarias.
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 3 2 Tolerable
de acceso otorgados.
839
información personas no correspondientes.
Frecuencia R NR
(F)
INDUSTRIAL
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 3 2 Tolerable
DE ORIGEN
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 3 2 Tolerable
ERRORES Y
FALLOS NO
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 3 2 Tolerable
840
INTENCIONADOS
administrador ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
841
(software) de los softwares empleados para la
institución.
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 3 2 Tolerable
de acceso otorgados.
842
autorizado
Frecuencia R NR
(F)
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 9 3 Intolerable
ORIGEN
843
ERRORES Y FALLOS NO INTENCIONADOS INDUSTRIAL
defectos de los componentes desde
fabrica
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 9 3 Intolerable
usuarios ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 9 3 Intolerable
administrador ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
844
de la información de cifrado y verificación (puerto –
puerto) para el manejo de la movilidad
de la información.
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 9 3 Intolerable
de acceso otorgados.
845
actividades no relacionadas.
846
Tabla 215. Estimación del riesgo activo open office Linux 2017
ACTIVO TI OPEN OFFICE LINUX 2017
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 15%
IMPACTO 2
TIPO DE ACTIVO SOFTWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
2 Tolerable
Frecuencia R NR
(F)
INDUSTRIAL
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 6 2 Tolerable
DE ORIGEN
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 6 2 Tolerable
ERRORES Y FALLOS NO
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 6 2 Tolerable
administrador ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
847
E.9 Errores de [re-] La dependencia cuenta con sistemas Baja 3 6 2 Tolerable
encaminamiento de cifrado y verificación (puerto –
puerto) para el manejo de la movilidad
de la información.
848
ATAQUES INTENCIONAD
A.5 Suplantación de la Acceso a personas que no cuenten con Baja 3 6 2 Tolerable
identidad del usuario los permisos necesarios o con las
credenciales necesarias.
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 6 2 Tolerable
de acceso otorgados.
849
A.19 Divulgación de Información filtrada abiertamente a Baja 3 6 2 Tolerable
información personas no correspondientes.
Frecuencia R NR
(F)
INDUSTRIAL
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 6 2 Tolerable
DE ORIGEN
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 6 2 Tolerable
FALLOS NO
850
INTENCIONADOS
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 6 2 Tolerable
administrador ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
851
los programas (personal) para llevar a cabo cada uno
(software) de los softwares empleados para la
institución.
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 6 2 Tolerable
de acceso otorgados.
852
A.11 Acceso no Uso ilícito del hardware Baja 3 6 2 Tolerable
autorizado
Frecuencia R NR
(F)
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 6 2 Tolerable
DE
853
INDUSTRIAL
o lógico de los componentes encontrados en la
ORIGEN
dependencia, como también por
defectos de los componentes desde
fabrica
ERRORES Y FALLOS NO INTENCIONADOS
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 6 2 Tolerable
usuarios ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 6 2 Tolerable
administrador ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
854
de la información de cifrado y verificación (puerto –
puerto) para el manejo de la movilidad
de la información.
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 6 2 Tolerable
de acceso otorgados.
855
A.8 Difusión de software Afectación en los sistemas de Baja 3 6 2 Tolerable
dañino información y los procesos que ello
conlleva.
856
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 35%
IMPACTO 3
TIPO DE ACTIVO SOFTWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3 Intolerable
Frecuencia R NR
(F)
INDUSTRIAL
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 9 3 Intolerable
DE ORIGEN
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 9 3 Intolerable
ERRORES Y FALLOS NO
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 9 3 Intolerable
administrador ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
857
puerto) para el manejo de la movilidad
de la información.
858
TAQUES INTENCIONAD
identidad del usuario con los permisos necesarios o con las
credenciales necesarias.
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 9 3 Intolerable
de acceso otorgados.
859
información personas no correspondientes.
Frecuencia R NR
(F)
INDUSTRIAL
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 1 4 Extremo
DE ORIGEN
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
ERRORES Y
FALLOS NO
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
860
INTENCIONADOS
administrador ejecución de sus actividades, 5
dependiendo de la gravedad del
asunto.
861
(software) de los softwares empleados para la 5
institución.
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 1 4 Extremo
de acceso otorgados. 5
862
autorizado 5
Frecuencia R NR
(F)
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 1 4 Extremo
ORIGEN
863
ERRORES Y FALLOS NO INTENCIONADOS INDUSTRIAL
defectos de los componentes desde
fabrica
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
usuarios ejecución de sus actividades, 5
dependiendo de la gravedad del
asunto.
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
administrador ejecución de sus actividades, 5
dependiendo de la gravedad del
asunto.
864
de la información de cifrado y verificación (puerto – 5
puerto) para el manejo de la movilidad
de la información.
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 1 4 Extremo
de acceso otorgados. 5
865
A.8 Difusión de software Afectación en los sistemas de Baja 3 1 4 Extremo
dañino información y los procesos que ello 5
conlleva.
866
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO SOFTWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
4 Extremo
Frecuencia R NR
(F)
INDUSTRIAL
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 1 4 Extremo
DE ORIGEN
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
ERRORES Y FALLOS NO
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
administrador ejecución de sus actividades, 5
dependiendo de la gravedad del
asunto.
867
puerto) para el manejo de la movilidad 5
de la información.
868
QUES INTENCIONAD
credenciales necesarias. 5
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 1 4 Extremo
de acceso otorgados. 5
869
información personas no correspondientes. 5
Frecuencia R NR
(F)
INDUSTRIAL
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 1 4 Extremo
DE ORIGEN
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
ERRORES Y
FALLOS NO
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
870
INTENCIONADOS
administrador ejecución de sus actividades, 5
dependiendo de la gravedad del
asunto.
871
(software) de los softwares empleados para la 5
institución.
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 1 4 Extremo
de acceso otorgados. 5
872
autorizado 5
Frecuencia R NR
(F)
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 6 2 Tolerable
ORIGEN
873
ERRORES Y FALLOS NO INTENCIONADOS INDUSTRIAL
defectos de los componentes desde
fabrica
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 6 2 Tolerable
usuarios ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 6 2 Tolerable
administrador ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
874
de la información de cifrado y verificación (puerto –
puerto) para el manejo de la movilidad
de la información.
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 6 2 Tolerable
de acceso otorgados.
875
A.8 Difusión de software Afectación en los sistemas de Baja 3 6 2 Tolerable
dañino información y los procesos que ello
conlleva.
876
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO SOFTWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
4 Extremo
Frecuencia R NR
(F)
INDUSTRIAL
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 1 4 Extremo
DE ORIGEN
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
ERRORES Y FALLOS NO
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
administrador ejecución de sus actividades, 5
dependiendo de la gravedad del
asunto.
877
puerto) para el manejo de la movilidad 5
de la información.
878
QUES INTENCIONAD
credenciales necesarias. 5
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 1 4 Extremo
de acceso otorgados. 5
879
información personas no correspondientes. 5
Frecuencia R NR
(F)
INDUSTRIAL
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 6 2 Tolerable
DE ORIGEN
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 6 2 Tolerable
ERRORES Y
FALLOS NO
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 6 2 Tolerable
880
INTENCIONADOS
administrador ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
881
(software) de los softwares empleados para la
institución.
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 6 2 Tolerable
de acceso otorgados.
882
autorizado
Frecuencia R NR
(F)
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 9 3 Intolerable
ORIGEN
883
ERRORES Y FALLOS NO INTENCIONADOS INDUSTRIAL
defectos de los componentes desde
fabrica
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 9 3 Intolerable
usuarios ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 9 3 Intolerable
administrador ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
884
de la información de cifrado y verificación (puerto –
puerto) para el manejo de la movilidad
de la información.
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 9 3 Intolerable
de acceso otorgados.
885
actividades no relacionadas.
886
Tabla 227. Estimación del riesgo activo terminal
ACTIVO TI TERMINAL LINUX
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 30%
IMPACTO 2
TIPO DE ACTIVO SOFTWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
2 Tolerable
Frecuencia R NR
(F)
INDUSTRIAL
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 6 2 Tolerable
DE ORIGEN
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 6 2 Tolerable
ERRORES Y FALLOS NO
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 6 2 Tolerable
administrador ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
887
E.9 Errores de [re-] La dependencia cuenta con sistemas Baja 3 6 2 Tolerable
encaminamiento de cifrado y verificación (puerto –
puerto) para el manejo de la movilidad
de la información.
888
ATAQUES INTENCIONAD
A.5 Suplantación de la Acceso a personas que no cuenten con Baja 3 6 2 Tolerable
identidad del usuario los permisos necesarios o con las
credenciales necesarias.
A.6 Abuso de privilegios Abuso de cada uno de los derechos Baja 3 6 2 Tolerable
de acceso otorgados.
889
A.19 Divulgación de Información filtrada abiertamente a Baja 3 6 2 Tolerable
información personas no correspondientes.
890
N.* Desastres naturales La oficina de la dependencia de Raro 1 8 3 Intolerable
sistemas se encuentra en zona baja
de riesgo de desastre natural de
origen volcánico debido a su
cercanía con el volcán nevado del
Tolima.
DE ORIGEN INDUSTRIAL
891
encontrados en la dependencia,
como también por defectos de los
componentes desde fabrica
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 16 4 Extremo
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 16 4 Extremo
por agotamiento de baja
recursos
892
(Robo) reciclados o desechados. baja
ATAQUES INTENCIONADOS
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 16 4 Extremo
de acceso otorgados. baja
Tabla 229. Estimación del riesgo activo servidor plataforma RYCA V.2.0
ACTIVO TI SERVIDOR PLATAFORMA RYCA V.2.0
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 90%
IMPACTO 8
893
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
4 Extremo
Frecuencia R NR
(F)
DESASTRES NATURALES
894
l.2 Daños por agua La concentración del líquido sobrante Muy 2 1 4 Extremo
por parte del aire acondicionado baja 6
causaría daños en los equipos.
l.5 Avería de origen físico La manipulación por parte de cada uno Muy 2 1 4 Extremo
o lógico de los componentes encontrados en la baja 6
dependencia, como también por
defectos de los componentes desde
fabrica
l.6 Corte del suministro Amenaza debida a factores externos, a Muy 2 1 4 Extremo
eléctrico clemencias de tipo naturales como baja 6
lluvias u otros.
895
ATAQUES INTENCIONADOS ERRORES Y FALLOS NO INTENCIONADOS
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 1 4 Extremo
administrador ejecución de sus actividades, baja 6
dependiendo de la gravedad del
asunto.
E.24 Caída del sistema por Saturación del sistema informático. Muy 2 1 4 Extremo
agotamiento de baja 6
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 1 4 Extremo
de acceso otorgados. baja 6
896
A.24 Denegación de Saturación del sistema de información. Muy 2 1 4 Extremo
servicio baja 6
Tabla 230. Estimación del riesgo activo servidor plataforma RYCA V.1
ACTIVO TI SERVIDOR PLATAFORMA RYCA V.1
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 90%
IMPACTO 8
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.96 Intolerable
Frecuencia R NR
(F)
N.1 Fuego No existe sistema de alarma contra Muy 2 16 4 Extremo
NATURALES
DESASTRES
897
techo en donde el agua de las baja
lluvias
898
l.5 Avería de origen La manipulación por parte de cada Muy 2 16 4 Extremo
físico o lógico uno de los componentes baja
encontrados en la dependencia,
como también por defectos de los
componentes desde fabrica
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 16 4 Extremo
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 16 4 Extremo
por agotamiento de baja
899
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 16 4 Extremo
de acceso otorgados. baja
Tabla 231. Estimación del riesgo activo servidor de base de datos ITFIP
ACTIVO TI SERVIDOR DE BASE DE DATOS ITFIP
900
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 90%
IMPACTO 8
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.96 Intolerable
Frecuencia R NR
(F)
DESASTRES NATURALES
901
INDUSTRIAL
recomendados para incendios en
lugares donde se encuentren
equipos eléctricos.
902
humedad refrigeración.
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 16 4 Extremo
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 16 4 Extremo
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 16 4 Extremo
de acceso otorgados. baja
ATAQUES
903
A.23 Manipulación de los Sabotaje del hardware y software Muy 2 16 4 Extremo
equipos conteniente. baja
904
equipos eléctricos.
905
mecánica por parte de esta amenaza. baja
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 16 4 Extremo
ERRORES Y
FALLOS NO
906
INTENCIONADOS
equipos(hardware)
E.24 Caída del sistema Saturación del sistema informático. Muy 2 16 4 Extremo
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 16 4 Extremo
de acceso otorgados. baja
907
Fuente: Autoría propia
908
Tolima.
DE ORIGEN INDUSTRIAL
l.1 Fuego No existe sistema de alarma contra Muy 2 16 4 Extremo
incendios. Se posee un solo baja
extintor de solkaflam (clase c)
recomendados para incendios en
lugares donde se encuentren
equipos eléctricos.
909
naturales como lluvias u otros. baja
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 16 4 Extremo
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 16 4 Extremo
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 16 4 Extremo
ATAQUES
910
INTENCIONADOS
(económicos y de tiempo) en baja
actividades no relacionadas.
Frecuencia R NR
(F)
911
DESASTRES NATURALES
N.1 Fuego No existe sistema de alarma contra Muy 2 6 2 Tolerable
incendios. Se posee un solo extintor de baja
solkaflam (clase c) recomendados para
incendios en lugares donde se
encuentren equipos eléctricos.
l.2 Daños por agua La concentración del líquido sobrante Muy 2 6 2 Tolerable
por parte del aire acondicionado baja
causaría daños en los equipos.
912
mecánica parte de esta amenaza. baja
l.5 Avería de origen físico La manipulación por parte de cada uno Muy 2 6 2 Tolerable
o lógico de los componentes encontrados en la baja
dependencia, como también por
defectos de los componentes desde
fabrica
l.6 Corte del suministro Amenaza debida a factores externos, a Muy 2 6 2 Tolerable
eléctrico clemencias de tipo naturales como baja
lluvias u otros.
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 6 2 Tolerable
ERRORES Y
FALLOS NO
913
INTENCIONADOS
equipos(hardware)
E.24 Caída del sistema por Saturación del sistema informático. Muy 2 6 2 Tolerable
agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 6 2 Tolerable
de acceso otorgados. baja
914
Fuente: Autoría propia
Tabla 235. Estimación del riesgo activo servidor de copias de seguridad de la información del ITFIP
ACTIVO TI SERVIDOR DE COPIAS DE SEGURIDAD DE LA INFORMACIÓN DEL ITFIP
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 90%
IMPACTO 8
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
4 Extremo
Frecuencia R NR
(F)
DESASTRES NATURALES
915
INDUSTRIAL
para incendios en lugares donde se
encuentren equipos eléctricos.
l.2 Daños por agua La concentración del líquido sobrante Muy 2 1 4 Extremo
por parte del aire acondicionado baja 6
causaría daños en los equipos.
l.5 Avería de origen físico La manipulación por parte de cada uno Muy 2 1 4 Extremo
o lógico de los componentes encontrados en la baja 6
dependencia, como también por
defectos de los componentes desde
fabrica
l.6 Corte del suministro Amenaza debida a factores externos, a Muy 2 1 4 Extremo
eléctrico clemencias de tipo naturales como baja 6
lluvias u otros.
916
l.11 Emanaciones No hay exposición o vulnerabilidad, Muy 2 1 4 Extremo
electromagnéticas por parte de esta amenaza. baja 6
ERRORES Y FALLOS NO E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 1 4 Extremo
INTENCIONADOS administrador ejecución de sus actividades, baja 6
dependiendo de la gravedad del
asunto.
E.24 Caída del sistema por Saturación del sistema informático. Muy 2 1 4 Extremo
agotamiento de baja 6
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 1 4 Extremo
de acceso otorgados. baja 6
ATAQUES
917
equipos conteniente. baja 6
Tabla 236. Estimación del riesgo activo computador iMac Apple (3 equipos)
ACTIVO TI COMPUTADOR IMAC APPLE (3 EQUIPOS)
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 50%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
2.95 Tolerable
Frecuencia R NR
(F)
N.1 Fuego No existe sistema de alarma contra Muy 2 10 3 Intolerable
NATURALES
DESASTRES
918
goteras, cuenta con averías en el baja
techo en donde el agua de las
lluvias
919
electromagnética por parte de esta amenaza. baja
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
920
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
921
Tabla 237. Estimación del riesgo activo computadores hp all-one pro (18 equipos)
ACTIVO TI COMPUTADORES HP ALL-ONE PRO (18 EQUIPOS)
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 30%
IMPACTO 3
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
2 Tolerable
Frecuencia R NR
(F)
DESASTRES NATURALES
922
INDUSTRIAL
encuentren equipos eléctricos.
l.2 Daños por agua La concentración del líquido sobrante Muy 2 6 2 Tolerable
por parte del aire acondicionado baja
causaría daños en los equipos.
l.5 Avería de origen físico La manipulación por parte de cada uno Muy 2 6 2 Tolerable
o lógico de los componentes encontrados en la baja
dependencia, como también por
defectos de los componentes desde
fabrica
l.6 Corte del suministro Amenaza debida a factores externos, a Muy 2 6 2 Tolerable
eléctrico clemencias de tipo naturales como baja
lluvias u otros.
923
electromagnéticas parte de esta amenaza. baja
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 6 2 Tolerable
ERRORES Y FALLOS NO administrador ejecución de sus actividades, baja
INTENCIONADOS dependiendo de la gravedad del
asunto.
E.24 Caída del sistema por Saturación del sistema informático. Muy 2 6 2 Tolerable
agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 6 2 Tolerable
de acceso otorgados. baja
924
A.24 Denegación de Saturación del sistema de información. Muy 2 6 2 Tolerable
servicio baja
Tabla 238. Estimación del riesgo activo portátil Toshiba (16 equipos)
ACTIVO TI PORTÁTIL TOSHIBA (16 EQUIPOS)
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 30%
IMPACTO 3
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
2 Tolerable
Frecuencia R NR
(F)
N.1 Fuego No existe sistema de alarma contra Muy 2 6 2 Tolerable
NATURALES
DESASTRES
925
en donde el agua de las lluvias
l.2 Daños por agua La concentración del líquido sobrante Muy 2 6 2 Tolerable
por parte del aire acondicionado baja
causaría daños en los equipos.
l.5 Avería de origen físico La manipulación por parte de cada uno Muy 2 6 2 Tolerable
o lógico de los componentes encontrados en la baja
dependencia, como también por
defectos de los componentes desde
926
fabrica
l.6 Corte del suministro Amenaza debida a factores externos, a Muy 2 6 2 Tolerable
eléctrico clemencias de tipo naturales como baja
lluvias u otros.
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 6 2 Tolerable
ERRORES Y FALLOS NO
E.24 Caída del sistema por Saturación del sistema informático. Muy 2 6 2 Tolerable
agotamiento de baja
recursos
927
ATAQUES INTENCIONADOS
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 6 2 Tolerable
de acceso otorgados. baja
928
1.95 Aceptable
Frecuencia R NR
(F)
DESASTRES NATURALES N.1 Fuego No existe sistema de alarma contra Muy 2 4 2 Tolerable
incendios. Se posee un solo extintor baja
de solkaflam (clase c)
recomendados para incendios en
lugares donde se encuentren
equipos eléctricos.
929
acondicionado causaría daños en los baja
equipos.
l.5 Avería de origen físico La manipulación por parte de cada Muy 2 4 2 Tolerable
o lógico uno de los componentes baja
encontrados en la dependencia,
como también por defectos de los
componentes desde fabrica
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 4 2 Tolerable
930
administrador ejecución de sus actividades, baja
RORES Y FALLOS NO
INTENCIONADOS
dependiendo de la gravedad del
asunto.
E.24 Caída del sistema Saturación del sistema informático. Muy 2 4 2 Tolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 4 2 Tolerable
de acceso otorgados. baja
931
A.25 Robo Robo de porte de la información, Muy 2 4 2 Tolerable
puede esta ser física o digital. baja
Tabla 240. Estimación del riesgo activo computador iMac Apple (3 equipos)
ACTIVO TI COMPUTADOR IMAC APPLE (3 EQUIPOS)
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 50%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
2.95 Tolerable
Frecuencia R NR
(F)
DESASTRES NATURALES
932
N.* Desastres naturales La oficina de la dependencia de Raro 1 5 2 Tolerable
sistemas se encuentra en zona baja
de riesgo de desastre natural de
origen volcánico debido a su
cercanía con el volcán nevado del
Tolima.
DE ORIGEN INDUSTRIAL
933
encontrados en la dependencia,
como también por defectos de los
componentes desde fabrica
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
934
(Robo) reciclados o desechados. baja
ATAQUES INTENCIONADOS
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
935
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
1.95 Aceptable
Frecuencia R NR
(F)
DESASTRES NATURALES
936
l.2 Daños por agua La concentración del líquido Muy 2 4 2 Tolerable
sobrante por parte del aire baja
acondicionado causaría daños en los
equipos.
l.5 Avería de origen físico La manipulación por parte de cada Muy 2 4 2 Tolerable
o lógico uno de los componentes baja
encontrados en la dependencia,
como también por defectos de los
componentes desde fabrica
937
electromagnéticas por parte de esta amenaza. baja
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 4 2 Tolerable
ERRORES Y FALLOS NO administrador ejecución de sus actividades, baja
INTENCIONADOS dependiendo de la gravedad del
asunto.
E.24 Caída del sistema Saturación del sistema informático. Muy 2 4 2 Tolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 4 2 Tolerable
de acceso otorgados. baja
938
A.24 Denegación de Saturación del sistema de Muy 2 4 2 Tolerable
servicio información. baja
939
N.* Desastres naturales La oficina de la dependencia de Raro 1 3 2 Tolerable
sistemas se encuentra en zona baja de
riesgo de desastre natural de origen
volcánico debido a su cercanía con el
volcán nevado del Tolima.
DE ORIGEN INDUSTRIAL
l.2 Daños por agua La concentración del líquido sobrante Muy 2 6 2 Tolerable
por parte del aire acondicionado baja
causaría daños en los equipos.
l.5 Avería de origen físico La manipulación por parte de cada uno Muy 2 6 2 Tolerable
o lógico de los componentes encontrados en la baja
dependencia, como también por
defectos de los componentes desde
fabrica
940
l.6 Corte del suministro Amenaza debida a factores externos, a Muy 2 6 2 Tolerable
eléctrico clemencias de tipo naturales como baja
lluvias u otros.
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 6 2 Tolerable
ERRORES Y FALLOS NO
E.24 Caída del sistema por Saturación del sistema informático. Muy 2 6 2 Tolerable
agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 6 2 Tolerable
941
AQUES INTENCIONADOS
de acceso otorgados. baja
942
2 Tolerable
Frecuencia R NR
(F)
DESASTRES NATURALES
N.1 Fuego No existe sistema de alarma contra Muy 2 6 2 Tolerable
incendios. Se posee un solo extintor de baja
solkaflam (clase c) recomendados para
incendios en lugares donde se
encuentren equipos eléctricos.
l.2 Daños por agua La concentración del líquido sobrante Muy 2 6 2 Tolerable
por parte del aire acondicionado baja
causaría daños en los equipos.
943
parte de esta amenaza. baja
l.5 Avería de origen físico La manipulación por parte de cada uno Muy 2 6 2 Tolerable
o lógico de los componentes encontrados en la baja
dependencia, como también por
defectos de los componentes desde
fabrica
l.6 Corte del suministro Amenaza debida a factores externos, a Muy 2 6 2 Tolerable
eléctrico clemencias de tipo naturales como baja
lluvias u otros.
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 6 2 Tolerable
FALLOS NO
944
INTENCIONADOS
E.23 Errores de Perjuicio a la mantenibilidad del Muy 2 6 2 Tolerable
mantenimiento / sistema de información. baja
actualización de
equipos(hardware)
E.24 Caída del sistema por Saturación del sistema informático. Muy 2 6 2 Tolerable
agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 6 2 Tolerable
de acceso otorgados. baja
945
información, en recipientes físicos y baja
lógicos.
Fuente: Autoría propia
Tabla 244. Estimación del riesgo activo switch ALCATEL LUCEN 9553
ACTIVO TI SWITCH ALCATEL LUCEN 9553
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.04 Intolerable
Frecuencia R NR
(F)
DESASTRES NATURALES
946
cercanía con el volcán nevado del
Tolima.
DE ORIGEN INDUSTRIAL l.1 Fuego No existe sistema de alarma contra Muy 2 10 3 Intolerable
incendios. Se posee un solo baja
extintor de solkaflam (clase c)
recomendados para incendios en
lugares donde se encuentren
equipos eléctricos.
947
eléctrico externos, a clemencias de tipo baja
naturales como lluvias u otros.
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
UES
948
INTENCIONADOS
A.7 Uso no previsto Implementación de recursos Muy 2 10 3 Intolerable
(económicos y de tiempo) en baja
actividades no relacionadas.
949
DESASTRES NATURALES
N.1 Fuego No existe sistema de alarma contra Muy 2 10 3 Intolerable
incendios. Se posee un solo baja
extintor de solkaflam (clase c)
recomendados para incendios en
lugares donde se encuentren
equipos eléctricos.
950
los equipos.
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRO
RES Y
951
FALLOS NO INTENCIONADOS
dependiendo de la gravedad del
asunto.
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
952
puede esta ser física o digital. baja
Tabla 246. Estimación del riesgo activo switch 24/10/100/1000 base t4s
ACTIVO TI SWITCH 24/10/100/1000 BASE T4S
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.04 Intolerable
Frecuencia R NR
(F)
DESASTRES NATURALES
953
sistemas se encuentra en zona baja
de riesgo de desastre natural de
origen volcánico debido a su
cercanía con el volcán nevado del
Tolima.
DE ORIGEN INDUSTRIAL
954
como también por defectos de los
componentes desde fabrica
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
955
(Robo) reciclados o desechados. baja
ATAQUES INTENCIONADOS
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
956
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.04 Intolerable
Frecuencia R NR
(F)
DESASTRES NATURALES
957
equipos eléctricos.
958
l.11 Emanaciones No hay exposición o vulnerabilidad, Muy 2 10 3 Intolerable
electromagnéticas por parte de esta amenaza. baja
ERRORES Y FALLOS NO E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
INTENCIONADOS administrador ejecución de sus actividades, baja
dependiendo de la gravedad del
asunto.
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
ATAQUES
959
equipos conteniente. baja
Tabla 248. Estimación del riesgo activo switch ALCATEL LUCEN 9561
ACTIVO TI SWITCH ALCATEL LUCEN 9561
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.04 Intolerable
Frecuencia R NR
(F)
N.1 Fuego No existe sistema de alarma contra Muy 2 10 3 Intolerable
NATURALES
DESASTRES
960
goteras, cuenta con averías en el baja
techo en donde el agua de las
lluvias
961
electromagnética por parte de esta amenaza. baja
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
962
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
963
Tabla 249. Estimación del riesgo activo switch ALCATEL LUCEN 9556
ACTIVO TI SWITCH ALCATEL LUCEN 9556
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.04 Intolerable
Frecuencia R NR
(F)
DESASTRES NATURALES
964
ORIGEN INDUSTRIAL
incendios. Se posee un solo baja
extintor de solkaflam (clase c)
recomendados para incendios en
lugares donde se encuentren
equipos eléctricos.
965
inadecuadas de infraestructura adecuada para baja
temperatura o soportar los defectos del sistema de
humedad refrigeración.
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
ATAQUES
966
INTENCIONADOS
A.11 Acceso no Uso ilícito del hardware Muy 2 10 3 Intolerable
autorizado baja
Tabla 250. Estimación del riesgo activo switch Alcatel lucent 9557
ACTIVO TI SWITCH ALCATEL LUCENT 9557
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.04 Intolerable
Frecuencia R NR
(F)
DESASTR
967
NATURALES
lugares donde se encuentren
equipos eléctricos.
968
l.3 Contaminación No hay exposición o vulnerabilidad, Muy 2 10 3 Intolerable
mecánica por parte de esta amenaza. baja
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y
FALLOS NO
969
INTENCIONADOS
actualización de sistema de información. baja
equipos(hardware)
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
970
A.26 Ataque destructivo Destrucción de los contenedores de Muy 2 10 3 Intolerable
la información, en recipientes baja
físicos y lógicos.
Fuente: Autoría propia
Tabla 251. Estimación del riesgo activo switch Alcatel lucent 9558
ACTIVO TI SWITCH ALCATEL LUCENT 9558
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.04 Intolerable
Frecuencia R NR
(F)
DESASTRES NATURALES
971
de riesgo de desastre natural de
origen volcánico debido a su
cercanía con el volcán nevado del
Tolima.
DE ORIGEN INDUSTRIAL
972
componentes desde fabrica
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
973
ATAQUES INTENCIONADOS
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
Tabla 252. Estimación del riesgo activo switch Alcatel lucent 9559
ACTIVO TI SWITCH ALCATEL LUCENT 9559
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
974
3.04 Intolerable
Frecuencia R NR
(F)
DESASTRES NATURALES N.1 Fuego No existe sistema de alarma contra Muy 2 10 3 Intolerable
incendios. Se posee un solo baja
extintor de solkaflam (clase c)
recomendados para incendios en
lugares donde se encuentren
equipos eléctricos.
975
sobrante por parte del aire baja
acondicionado causaría daños en
los equipos.
976
ATAQUES INTENCIONADOS ERRORES Y FALLOS NO INTENCIONADOS
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
administrador ejecución de sus actividades, baja
dependiendo de la gravedad del
asunto.
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
977
A.24 Denegación de Saturación del sistema de Muy 2 10 3 Intolerable
servicio información. baja
Tabla 253. Estimación del riesgo activo switch Alcatel lucent 9543
ACTIVO TI SWITCH ALCATEL LUCENT 9543
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.04 Intolerable
Frecuencia R NR
(F)
N.1 Fuego No existe sistema de alarma contra Muy 2 10 3 Intolerable
NATURALES
DESASTRES
978
techo en donde el agua de las baja
lluvias
979
l.5 Avería de origen La manipulación por parte de cada Muy 2 10 3 Intolerable
físico o lógico uno de los componentes baja
encontrados en la dependencia,
como también por defectos de los
componentes desde fabrica
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
980
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
Tabla 254. Estimación del riesgo activo switch Alcatel lucent 9544
ACTIVO TI SWITCH ALCATEL LUCENT 9544
981
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.04 Intolerable
Frecuencia R NR
(F)
DESASTRES NATURALES
982
INDUSTRIAL
recomendados para incendios en
lugares donde se encuentren
equipos eléctricos.
983
humedad refrigeración.
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
ATAQUES
984
A.23 Manipulación de los Sabotaje del hardware y software Muy 2 10 3 Intolerable
equipos conteniente. baja
Tabla 255. Estimación del riesgo activo switch Alcatel lucent 9545
ACTIVO TI SWITCH ALCATEL LUCENT 9545
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.04 Intolerable
Frecuencia R NR
(F)
N.1 Fuego No existe sistema de alarma contra Muy 2 10 3 Intolerable
NATURALES
DESASTRES
985
equipos eléctricos.
986
mecánica por parte de esta amenaza. baja
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y
FALLOS NO
987
INTENCIONADOS
equipos(hardware)
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
988
Fuente: Autoría propia
Tabla 256. Estimación del riesgo activo switch Alcatel lucent 9548
ACTIVO TI SWITCH ALCATEL LUCENT 9548
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.04 Intolerable
Frecuencia R NR
(F)
DESASTRES NATURALES
989
DE ORIGEN INDUSTRIAL
l.1 Fuego No existe sistema de alarma contra Muy 2 10 3 Intolerable
incendios. Se posee un solo baja
extintor de solkaflam (clase c)
recomendados para incendios en
lugares donde se encuentren
equipos eléctricos.
990
l.7 Condiciones No se cuenta con una Muy 2 10 3 Intolerable
inadecuadas de infraestructura adecuada para baja
temperatura o soportar los defectos del sistema de
humedad refrigeración.
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
ATAQUES
991
INTENCIONADOS
A.11 Acceso no Uso ilícito del hardware Muy 2 10 3 Intolerable
autorizado baja
Tabla 257. Estimación del riesgo activo switch Alcatel lucent 9550
ACTIVO TI SWITCH ALCATEL LUCENT 9550
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.04 Intolerable
Frecuencia R NR
(F)
DESASTR
992
NATURALES
lugares donde se encuentren
equipos eléctricos.
993
l.3 Contaminación No hay exposición o vulnerabilidad, Muy 2 10 3 Intolerable
mecánica por parte de esta amenaza. baja
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y
FALLOS NO
994
INTENCIONADOS
actualización de sistema de información. baja
equipos(hardware)
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
995
A.26 Ataque destructivo Destrucción de los contenedores de Muy 2 10 3 Intolerable
la información, en recipientes baja
físicos y lógicos.
Fuente: Autoría propia
Tabla 258. Estimación del riesgo activo switch Alcatel lucent 9551
ACTIVO TI SWITCH ALCATEL LUCENT 9551
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.04 Intolerable
Frecuencia R NR
(F)
DESASTRES NATURALES
996
origen volcánico debido a su
cercanía con el volcán nevado del
Tolima.
DE ORIGEN INDUSTRIAL
l.1 Fuego No existe sistema de alarma contra Muy 2 10 3 Intolerable
incendios. Se posee un solo baja
extintor de solkaflam (clase c)
recomendados para incendios en
lugares donde se encuentren
equipos eléctricos.
997
l.6 Corte del suministro Amenaza debida a factores Muy 2 10 3 Intolerable
eléctrico externos, a clemencias de tipo baja
naturales como lluvias u otros.
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
998
QUES INTENCIONADOS
A.7 Uso no previsto Implementación de recursos Muy 2 10 3 Intolerable
(económicos y de tiempo) en baja
actividades no relacionadas.
Tabla 259. Estimación del riesgo activo switch Alcatel lucent 9552
ACTIVO TI SWITCH ALCATEL LUCENT 9552
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.04 Intolerable
Frecuencia R NR
(F)
999
DESASTRES NATURALES
N.1 Fuego No existe sistema de alarma contra Muy 2 10 3 Intolerable
incendios. Se posee un solo baja
extintor de solkaflam (clase c)
recomendados para incendios en
lugares donde se encuentren
equipos eléctricos.
1000
los equipos.
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRO
RES Y
1001
FALLOS NO INTENCIONADOS
dependiendo de la gravedad del
asunto.
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
1002
puede esta ser física o digital. baja
Tabla 260. Estimación del riesgo activo switch Alcatel lucent 9554
ACTIVO TI SWITCH ALCATEL LUCENT 9554
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.04 Intolerable
Frecuencia R NR
(F)
DESASTRES NATURALES
1003
sistemas se encuentra en zona baja
de riesgo de desastre natural de
origen volcánico debido a su
cercanía con el volcán nevado del
Tolima.
DE ORIGEN INDUSTRIAL
1004
como también por defectos de los
componentes desde fabrica
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
1005
ATAQUES INTENCIONADOS
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
Tabla 261. Estimación del riesgo activo switch Alcatel lucent 9555
ACTIVO TI SWITCH ALCATEL LUCENT 9555
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
1006
3.04 Intolerable
Frecuencia R NR
(F)
DESASTRES NATURALES N.1 Fuego No existe sistema de alarma contra Muy 2 10 3 Intolerable
incendios. Se posee un solo baja
extintor de solkaflam (clase c)
recomendados para incendios en
lugares donde se encuentren
equipos eléctricos.
1007
sobrante por parte del aire baja
acondicionado causaría daños en
los equipos.
1008
ATAQUES INTENCIONADOS ERRORES Y FALLOS NO INTENCIONADOS
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
administrador ejecución de sus actividades, baja
dependiendo de la gravedad del
asunto.
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
1009
A.24 Denegación de Saturación del sistema de Muy 2 10 3 Intolerable
servicio información. baja
Tabla 262. Estimación del riesgo activo switch Alcatel lucent 9560
ACTIVO TI SWITCH ALCATEL LUCENT 9560
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.04 Intolerable
Frecuencia R NR
(F)
N.1 Fuego No existe sistema de alarma contra Muy 2 10 3 Intolerable
NATURALES
DESASTRES
1010
techo en donde el agua de las baja
lluvias
1011
l.5 Avería de origen La manipulación por parte de cada Muy 2 10 3 Intolerable
físico o lógico uno de los componentes baja
encontrados en la dependencia,
como también por defectos de los
componentes desde fabrica
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
1012
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
1013
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 60%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.04 Intolerable
Frecuencia R NR
(F)
DESASTRES NATURALES
1014
INDUSTRIAL
recomendados para incendios en
lugares donde se encuentren
equipos eléctricos.
1015
humedad refrigeración.
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
ATAQUES
1016
A.23 Manipulación de los Sabotaje del hardware y software Muy 2 10 3 Intolerable
equipos conteniente. baja
1017
equipos eléctricos.
1018
mecánica por parte de esta amenaza. baja
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y
FALLOS NO
1019
INTENCIONADOS
equipos(hardware)
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
1020
Fuente: Autoría propia
1021
DE ORIGEN INDUSTRIAL
l.1 Fuego No existe sistema de alarma contra Muy 2 10 3 Intolerable
incendios. Se posee un solo baja
extintor de solkaflam (clase c)
recomendados para incendios en
lugares donde se encuentren
equipos eléctricos.
1022
l.7 Condiciones No se cuenta con una Muy 2 10 3 Intolerable
inadecuadas de infraestructura adecuada para baja
temperatura o soportar los defectos del sistema de
humedad refrigeración.
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
ATAQUES
1023
INTENCIONADOS
A.11 Acceso no Uso ilícito del hardware Muy 2 10 3 Intolerable
autorizado baja
1024
NATURALES
lugares donde se encuentren
equipos eléctricos.
1025
l.3 Contaminación No hay exposición o vulnerabilidad, Muy 2 10 3 Intolerable
mecánica por parte de esta amenaza. baja
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y
FALLOS NO
1026
INTENCIONADOS
actualización de sistema de información. baja
equipos(hardware)
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
1027
A.26 Ataque destructivo Destrucción de los contenedores de Muy 2 10 3 Intolerable
la información, en recipientes baja
físicos y lógicos.
Fuente: Autoría propia
Tabla 267. Estimación del riesgo activo router cisco modelo 1800 4781
ACTIVO TI ROUTER CISCO MODELO 1800 4781
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 70%
IMPACTO 5
TIPO DE ACTIVO HARDWARE
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.04 Intolerable
Frecuencia R NR
(F)
DESASTRES NATURALES
1028
origen volcánico debido a su
cercanía con el volcán nevado del
Tolima.
DE ORIGEN INDUSTRIAL
l.1 Fuego No existe sistema de alarma contra Muy 2 10 3 Intolerable
incendios. Se posee un solo baja
extintor de solkaflam (clase c)
recomendados para incendios en
lugares donde se encuentren
equipos eléctricos.
1029
l.6 Corte del suministro Amenaza debida a factores Muy 2 10 3 Intolerable
eléctrico externos, a clemencias de tipo baja
naturales como lluvias u otros.
E.2 Errores del Pérdida total o parcial del tiempo de Muy 2 10 3 Intolerable
ERRORES Y FALLOS NO
E.24 Caída del sistema Saturación del sistema informático. Muy 2 10 3 Intolerable
por agotamiento de baja
recursos
A.6 Abuso de privilegios Abuso de cada uno de los derechos Muy 2 10 3 Intolerable
de acceso otorgados. baja
1030
QUES INTENCIONADOS
A.7 Uso no previsto Implementación de recursos Muy 2 10 3 Intolerable
(económicos y de tiempo) en baja
actividades no relacionadas.
1031
Frecuencia R NR
(F)
INDUSTRIAL
l.8 Fallo de servicios de Atentados externos por parte de grupos Media 4 2 4 Extremo
ERRORES Y FALLOS NO INTENCIONADOS DE ORIGEN comunicaciones ha margen de la ley que puedan atentar 0
contra la infraestructura que trasmite
cada uno de los servicios.
E.2 Errores del Pérdida total o parcial del tiempo de Media 4 2 4 Extremo
administrador ejecución de sus actividades, 0
dependiendo de la gravedad del asunto.
1032
información a cláusulas de confidencialidad. 0
E.24 Caída del sistema Saturación del sistema informático. Media 4 2 4 Extremo
por agotamiento de 0
recursos
ATAQUES INTENCIONADOS
A.6 Abuso de privilegios Abuso de cada uno de los derechos Media 4 2 4 Extremo
de acceso otorgados. 0
A.12 Análisis de trafico Análisis de cada uno de los datos Media 4 2 4 Extremo
transitados por la red interna de la 0
institución.
1033
información 0
(escucha)
Frecuencia R NR
(F)
INDUSTRIAL
l.8 Fallo de servicios de Atentados externos por parte de grupos Media 4 2 4 Extremo
DE ORIGEN
1034
ERRORES Y FALLOS NO INTENCIONADOS
E.2 Errores del Pérdida total o parcial del tiempo de Media 4 2 4 Extremo
administrador ejecución de sus actividades, 0
dependiendo de la gravedad del asunto.
E.24 Caída del sistema Saturación del sistema informático. Media 4 2 4 Extremo
por agotamiento de 0
recursos
ATA
1035
QUES INTENCIONADOS
usuario credenciales necesarias. 0
A.6 Abuso de privilegios Abuso de cada uno de los derechos Media 4 2 4 Extremo
de acceso otorgados. 0
A.12 Análisis de trafico Análisis de cada uno de los datos Media 4 2 4 Extremo
transitados por la red interna de la 0
institución.
1036
información personas no correspondientes. 0
Frecuencia R NR
(F)
INDUSTRIAL
l.8 Fallo de servicios de Atentados externos por parte de grupos Media 4 2 4 Extremo
DE ORIGEN
E.2 Errores del Pérdida total o parcial del tiempo de Media 4 2 4 Extremo
ERRORES Y
FALLOS NO
1037
INTENCIONADOS
información.
E.24 Caída del sistema Saturación del sistema informático. Media 4 2 4 Extremo
por agotamiento de 0
recursos
INTENCIONADOS
A.6 Abuso de privilegios Abuso de cada uno de los derechos Media 4 2 4 Extremo
de acceso otorgados. 0
1038
actividades no relacionadas.
A.12 Análisis de trafico Análisis de cada uno de los datos Media 4 2 4 Extremo
transitados por la red interna de la 0
institución.
1039
Tabla 271. Estimación de la probabilidad activo red WIFI
ACTIVO TI RED WIFI
ADMINISTRADOR PIMIENTO CARDENAS WILSON MAURICIO
DEGRADACIÓN 70%
IMPACTO 5
TIPO DE ACTIVO REDES DE COMUNICACIÓN
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
4 Extremo
Frecuencia R NR
(F)
INDUSTRIAL
l.8 Fallo de servicios de Atentados externos por parte de grupos Media 4 2 4 Extremo
DE ORIGEN
E.2 Errores del Pérdida total o parcial del tiempo de Media 4 2 4 Extremo
ERRORES Y FALLOS NO
1040
E.15 Alteración La dependencia cuenta con sistemas de Media 4 2 4 Extremo
accidental de la cifrado y verificación (puerto – puerto) 0
información para el manejo de la movilidad de la
información.
E.24 Caída del sistema Saturación del sistema informático. Media 4 2 4 Extremo
por agotamiento de 0
recursos
ATAQUES INTENCIONADOS
A.6 Abuso de privilegios Abuso de cada uno de los derechos Media 4 2 4 Extremo
de acceso otorgados. 0
1041
secuencia 0
A.12 Análisis de trafico Análisis de cada uno de los datos Media 4 2 4 Extremo
transitados por la red interna de la 0
institución.
1042
4 Extremo
Frecuencia R NR
(F)
INDUSTRIAL l.8 Fallo de servicios de Atentados externos por parte de grupos Media 4 2 4 Extremo
DE ORIGEN
E.2 Errores del Pérdida total o parcial del tiempo de Media 4 2 4 Extremo
administrador ejecución de sus actividades, 0
dependiendo de la gravedad del asunto.
1043
información con copias de seguridad periódicas 0
E.24 Caída del sistema Saturación del sistema informático. Media 4 2 4 Extremo
por agotamiento de 0
recursos
ATAQUES INTENCIONADOS
A.6 Abuso de privilegios Abuso de cada uno de los derechos Media 4 2 4 Extremo
de acceso otorgados. 0
A.12 Análisis de trafico Análisis de cada uno de los datos Media 4 2 4 Extremo
transitados por la red interna de la
1044
institución. 0
Frecuencia R NR
(F)
DESAS
1045
NATURALES
para incendios en lugares donde se
encuentren equipos eléctricos.
l.2 Daños por agua La concentración del líquido sobrante Baja 3 1 4 Extremo
por parte del aire acondicionado 5
causaría daños en los equipos.
1046
electromagnética 5
l.5 Avería de origen físico La manipulación por parte de cada Baja 3 1 4 Extremo
o lógico uno de los componentes encontrados 5
en la dependencia, como también por
defectos de los componentes desde
fabrica
l.6 Corte del suministro Amenaza debida a factores externos, Baja 3 1 4 Extremo
eléctrico a clemencias de tipo naturales como 5
lluvias u otros.
l.10 Degradación de los Pérdida gradual de cada uno de los Baja 3 1 4 Extremo
soportes de almacén registros históricos de la dependencia. 5
amiento de la
información
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
ERRORES Y
FALLOS NO
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 1 4 Extremo
1047
INTENCIONADOS
administrador ejecución de sus actividades, 5
dependiendo de la gravedad del
asunto.
(económicos y de tiempo) en 5
actividades no relacionadas.
1048
INTENCIONADOS
A.15 Modificación Datos erróneos en el momento de la Baja 3 1 4 Extremo
deliberada de la movilización de la información. 5
información
Frecuencia R NR
1049
(F)
DESASTRES NATURALES
N.1 Fuego No existe sistema de alarma contra Baja 3 6 2 Tolerable
incendios. Se posee un solo extintor
de solkaflam (clase c) recomendados
para incendios en lugares donde se
encuentren equipos eléctricos.
l.2 Daños por agua La concentración del líquido sobrante Baja 3 6 2 Tolerable
por parte del aire acondicionado
causaría daños en los equipos.
1050
l.3 Contaminación No hay exposición o vulnerabilidad, Baja 3 6 2 Tolerable
mecánica por parte de esta amenaza.
l.5 Avería de origen físico La manipulación por parte de cada uno Baja 3 6 2 Tolerable
o lógico de los componentes encontrados en la
dependencia, como también por
defectos de los componentes desde
fabrica
l.6 Corte del suministro Amenaza debida a factores externos, a Baja 3 6 2 Tolerable
eléctrico clemencias de tipo naturales como
lluvias u otros.
l.10 Degradación de los Pérdida gradual de cada uno de los Baja 3 6 2 Tolerable
soportes de almacén registros históricos de la dependencia.
amiento de la
información
E.1 Errores de los Pérdida total o parcial del tiempo de Baja 3 6 2 Tolerable
ejecución de sus actividades,
1051
ORES Y FALLOS NO INTENCIONADOS
usuarios dependiendo de la gravedad del
asunto.
E.2 Errores del Pérdida total o parcial del tiempo de Baja 3 6 2 Tolerable
administrador ejecución de sus actividades,
dependiendo de la gravedad del
asunto.
actividades no relacionadas.
1052
INTENCIONADOS
A.11 Acceso no autorizado Uso ilícito del hardware Baja 3 6 2 Tolerable
1053
Frecuencia R NR
(F)
DESASTRES NATURALES
N.1 Fuego No existe sistema de alarma contra Muy 2 10 3 Intolerable
incendios. Se posee un solo baja
extintor de solkaflam (clase c)
recomendados para incendios en
lugares donde se encuentren
equipos eléctricos.
1054
acondicionado causaría daños en baja
los equipos.
1055
esenciales
actualización de
equipos(hardware)
1056
físicos y lógicos.
Fuente: Autoría propia
1057
Tolima.
DE ORIGEN INDUSTRIAL
l.1 Fuego No existe sistema de alarma contra Muy 2 10 3 Intolerable
incendios. Se posee un solo baja
extintor de solkaflam (clase c)
recomendados para incendios en
lugares donde se encuentren
equipos eléctricos.
1058
naturales como lluvias u otros. baja
actualización de
equipos(hardware)
(económicos y de tiempo) en
actividades no relacionadas.
1059
INTENCIONADOS
autorizado
1060
N.2 Daños por agua La infraestructura está expuesta a Muy 2 10 3 Intolerable
goteras, cuenta con averías en el baja
techo en donde el agua de las
lluvias
1061
l.4 Contaminación No hay exposición o vulnerabilidad, Muy 2 10 3 Intolerable
electromagnética por parte de esta amenaza. baja
1062
ATAQUES INTENCIONADOS INTENCIONADO
E.25 Perdida de equipos Recuperación de soportes Baja 3 15 4 Extremo
(Robo) reciclados o desechados.
1063
TIPO DE ACTIVO INSTALACIONES
Tipo ID Amenaza Exposición/Vulnerabilidad RIESGO ACTUAL
3.58 Intolerable
Frecuencia R NR
(F)
DESASTRES NATURALES
l.2 Daños por agua La concentración del líquido sobrante Raro 1 8 3 Intolerable
por parte del aire acondicionado
1064
causaría daños en los equipos.
1065
información bajo 6
Frecuencia R NR
(F)
E.7 Deficiencias en la No hay exposición o vulnerabilidad, por Baja 3 1 4 Extremo
ERRORES Y
FALLOS NO
1066
INTENCIONADOS
personal las personas influyentes en la 5
dependencia.
INTENCIONADOS
Frecuencia R NR
(F)
ER
1067
organización parte de esta amenaza. 5
RORES Y FALLOS NO
INTENCIONADOS
E.19 Fugas de Las personas contratadas están atadas a Baja 3 1 4 Extremo
información cláusulas de confidencialidad. 5
Frecuencia R NR
(F)
1068
E.7 Deficiencias en la No hay exposición o vulnerabilidad, por Baja 3 9 2 Intolerable
ERRORES Y FALLOS NO
organización parte de esta amenaza.
INTENCIONADOS
E.19 Fugas de Las personas contratadas están atadas Baja 3 9 2 Intolerable
información a cláusulas de confidencialidad.
1069
4.2.12 Aplicación de las salvaguardas a cada tipo de activo
Llevar a cabo este ítem, es fundamental conocer como primera medida en que
sector se encuentra el riesgo, además, de cómo tratarlo.
1070
De manera que se puede atacar un activo con una vulnerabilidad latente, se
requiere de manera urgente aplicar los diferentes controles ubicados en la
respectiva capa, analizar los datos y estructura, como también sus
controles administrativos, esto se realiza con el fin de suprimir de la manera
en la que estos se verían afectados.
Según los ítems mencionados, se define de manera clara y concisa las estrategias
para el tratamiento de los riesgos.
Probabilidad
Estrategias para tratamiento de los riesgos
Bajo Moderado
bajo.
Tratamiento: Tratamiento:
Tratamiento:
Reducir la Reducir la
Asumir el riesgo
probabilidad de probabilidad de
Impacto
1071
simplificadora, pues es habitual hablar de diferentes tipos de protección prestados
por las salvaguardas:
[PR] Prevención: Se aclara que una salvaguarda de tipo preventivo es aquel que
optimiza la posibilidad de que una incidencia ocurra, por otra parte, llegado el caso
este llegara ocurrir los contratiempos son mínimos.
[DR] Disuasión: Se aclara que una salvaguarda de tipo disuasorio es aquel que
logra llegar a los posibles atacantes alertándolos de los contratiempos que pueden
tener, de este modo se logra replantear el modo de ataque o desistir del mismo,
exceptuando que si logra atacar los daños son claros y no contaría con
disminución alguna.
[EL] Eliminación: Se aclara que una salvaguarda tipo eliminación, es aquel que
logra por completo la ocurrencia de este incidente, por lo general son medidas
más drásticas a tomar, puesto que no permite que el activo se vea afectado.
1072
administradores de los sistemas manejar adecuadamente la manipulación de cada
uno de los activos, aumentar la posibilidad de prevenir ataques o daños, entre
otros.
La siguiente tabla relaciona cada uno de estos tipos de protección con el modelo
anterior de reducción de la degradación y de la probabilidad:
1073
1074
Clasificación de las salvaguardas
A continuación, se podrá apreciar los tipos de salvaguardas especificados en cada uno de los activos.
ITFIPNombre de activo
Nombre grupo de
Código grupo de
activo MAGERIT
activo MAGERIT
Desarrollo de
Consecutivo
salvaguarda
protección
Tipo de
Código
ITFIP
Políticas de
seguridad,
que, a su
vez,
mantengan
controlados
a cada una
Documen
I-DU Inventario de de las
tos de la Preventivas
[vr] datos vitales usuarios personas
organizac (PR)
que tienen
ión
acceso a
dicha
información
, control de
horas,
control de
dispositivos
1075
, entre
otros.
Copias de
Seguridad
que
respalden
la
información
almacenad
a, esta se
puede
Recuperaci
establecer
ón (RC)
en periodos
adecuados
para su
correcto
almacén
amiento y
así, evitar
redundanci
a de datos.
Capacitació
n al
personal
que tiene
acceso al
Conciencia
manejo del
ción (AW)
sistema,
como el
añadimient
o de
1076
contramedi
das
(laborales y
económica
s) por una
posible
filtración de
información
por su
parte.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Administrati
información
vas (AD)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Gestión de
Eliminación cambio
(EL) periódico
de cada
1077
una de las
credenciale
s
necesarias
para el
acceso a la
información
, en donde
el usuario
se vea a la
necesidad
de
comunicars
e con el
administrad
or de
sistema.
estructura
E-ORG
organizacional
Políticas de
seguridad,
que, a su
vez,
mantengan
Inventario de controlados
I-DC
contratos Preventivas a cada una
(PR) de las
personas
que tienen
acceso a
dicha
1078
información
, control de
horas,
control de
dispositivos
, entre
otros.
Copias de
Seguridad
que
respalden
la
información
almacenad
a, esta se
puede
Recuperaci
establecer
ón (RC)
en periodos
adecuados
para su
correcto
almacén
amiento y
así, evitar
redundanci
a de datos.
Capacitació
n al
Conciencia personal
ción (AW) que tiene
acceso al
1079
manejo del
sistema,
como el
añadimient
o de
contramedi
das
(laborales y
económica
s) por una
posible
filtración de
información
por su
parte.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
Administrati de la
vas (AD) información
, control a
las
personas
involucrada
s de
manera
directa e
1080
indirecta.
Gestión de
cambio
periódico
de cada
una de las
credenciale
s
necesarias
para el
acceso a la
Eliminación
información
(EL)
, en donde
el usuario
se vea a la
necesidad
de
comunicars
e con el
administrad
or de
sistema.
Políticas de
seguridad,
que, a su
vez,
Registro de
R-DA mantengan
actividades Preventivas
controlados
(PR)
a cada una
de las
personas
1081
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Copias de
Seguridad
que
respalden
la
información
almacenad
a, esta se
puede
Recuperaci
establecer
ón (RC)
en periodos
adecuados
para su
correcto
almacén
amiento y
así, evitar
redundanci
a de datos.
Capacitació
Conciencia n al
1082
personal
que tiene
acceso al
manejo del
sistema,
como el
añadimient
o de
contramedi
ción (AW)
das
(laborales y
económica
s) por una
posible
filtración de
información
por su
parte.
Establecimi
ento de
controles
en cada
una de las
capas de
Administrati
trazabilidad
vas (AD)
de la
información
, control a
las
personas
involucrada
1083
s de
manera
directa e
indirecta.
Gestión de
cambio
periódico
de cada
una de las
credenciale
s
necesarias
para el
acceso a la
Eliminación
información
(EL)
, en donde
el usuario
se vea a la
necesidad
de
comunicars
e con el
administrad
or de
sistema.
Políticas de
seguridad,
Registro
que, a su
R-ME Mantenimiento
Preventivas vez,
equipos
(PR) mantengan
controlados
1084
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Copias de
Seguridad
que
respalden
la
información
almacenad
a, esta se
Recuperaci puede
ón (RC) establecer
en periodos
adecuados
para su
correcto
almacén
amiento y
así, evitar
redundanci
1085
a de datos.
Capacitació
n al
personal
que tiene
acceso al
manejo del
sistema,
como el
añadimient
Conciencia o de
ción (AW) contramedi
das
(laborales y
económica
s) por una
posible
filtración de
información
por su
parte.
Establecimi
ento de
controles
en cada
Administrati una de las
vas (AD) capas de
trazabilidad
de la
información
, control a
1086
las
personas
involucrada
s de
manera
directa e
indirecta.
Gestión de
cambio
periódico
de cada
una de las
credenciale
s
necesarias
para el
acceso a la
Eliminación
información
(EL)
, en donde
el usuario
se vea a la
necesidad
de
comunicars
e con el
administrad
or de
sistema.
Registro de la Políticas de
R-AE arquitectura de los seguridad,
equipos Preventivas que, a su
1087
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
(PR)
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Copias de
Seguridad
que
respalden
la
información
almacenad
Recuperaci
a, esta se
ón (RC)
puede
establecer
en periodos
adecuados
para su
correcto
almacén
1088
amiento y
así, evitar
redundanci
a de datos.
Capacitació
n al
personal
que tiene
acceso al
manejo del
sistema,
como el
añadimient
o de
Conciencia
contramedi
ción (AW)
das
(laborales y
económica
s) por una
posible
filtración de
información
por su
parte.
Establecimi
ento de
controles
Administrati
en cada
vas (AD)
una de las
capas de
trazabilidad
1089
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Gestión de
cambio
periódico
de cada
una de las
credenciale
s
necesarias
para el
acceso a la
Eliminación
información
(EL)
, en donde
el usuario
se vea a la
necesidad
de
comunicars
e con el
administrad
or de
sistema.
1090
Políticas de
seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
Preventivas
acceso a
(PR)
dicha
Servicios información
ofrecidos , control de
de todas horas,
Soporte equipos de
[service] Servicios las S-EC control de
computo
dependen dispositivos
cias del , entre
ITFIP otros.
Copias de
Seguridad
que
respalden
la
Recuperaci información
ón (RC) almacenad
a, esta se
puede
establecer
en periodos
adecuados
1091
para su
correcto
almacén
amiento y
así, evitar
redundanci
a de datos.
Capacitació
n al
personal
que tiene
acceso al
manejo del
sistema,
como el
añadimient
o de
Conciencia
contramedi
ción (AW)
das
(laborales y
económica
s) por una
posible
filtración de
información
por su
parte.
Establecimi
Administrati ento de
vas (AD) controles
en cada
1092
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Gestión de
cambio
periódico
de cada
una de las
credenciale
s
necesarias
Eliminación para el
(EL) acceso a la
información
, en donde
el usuario
se vea a la
necesidad
de
comunicars
e con el
1093
administrad
or de
sistema.
Políticas de
seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
Preventivas
acceso a
(PR)
dicha
información
Soporte de
, control de
S-PV plataformas
horas,
virtuales
control de
dispositivos
, entre
otros.
Copias de
Seguridad
que
respalden
Recuperaci
la
ón (RC)
información
almacenad
a, esta se
puede
1094
establecer
en periodos
adecuados
para su
correcto
almacén
amiento y
así, evitar
redundanci
a de datos.
Capacitació
n al
personal
que tiene
acceso al
manejo del
sistema,
como el
añadimient
o de
Conciencia
contramedi
ción (AW)
das
(laborales y
económica
s) por una
posible
filtración de
información
por su
parte.
Administrati Establecimi
1095
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
vas (AD)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Gestión de
cambio
periódico
de cada
una de las
credenciale
s
Eliminación
necesarias
(EL)
para el
acceso a la
información
, en donde
el usuario
se vea a la
necesidad
1096
de
comunicars
e con el
administrad
or de
sistema.
Políticas de
seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
punto de VLAN- Vlan de
[ip] VLAN información
interconexión ADMON administración
, control de
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
Disuasorias para el
(DR) aplica
miento de
medidas
1097
correctivas
y/o
preventivas
.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Establecimi
ento de
fechas o
periodos
para la
realización
Correctivas
de balance
[CR)
del
funcionami
ento,
actualizació
n de la
información
1098
,
credenciale
s,
permisos,
entre otros.
Planes de
contingenci
a para
reestablece
r el
Recuperati servicio,
vas (RC) mantenimie
nto y
actualizació
n de las
copias de
seguridad.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
de
que
monitorizac
permita
ión (MN)
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
1099
red virtual.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
de conectados
detección a la red,
(DC) rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Establecimi
ento de
controles
en cada
una de las
capas de
Administrati
trazabilidad
vas (AD)
de la
información
, control a
las
personas
involucrada
1100
s de
manera
directa e
indirecta.
Políticas de
seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
VLAN-
Vlan de financiera , control de
FINAN
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
Disuasorias aplica
(DR) miento de
medidas
correctivas
y/o
1101
preventivas
.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Establecimi
ento de
fechas o
periodos
para la
realización
de balance
Correctivas
del
[CR)
funcionami
ento,
actualizació
n de la
información
,
credenciale
1102
s,
permisos,
entre otros.
Planes de
contingenci
a para
reestablece
r el
Recuperati servicio,
vas (RC) mantenimie
nto y
actualizació
n de las
copias de
seguridad.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
de que
monitorizac permita
ión (MN) establecer
el balance
correcto o
erróneo del
funcionami
ento de la
red virtual.
de Normas y
1103
políticas de
control de
acceso a
los
diferentes
equipos
conectados
detección a la red,
(DC) rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
Administrati
de la
vas (AD)
información
, control a
las
personas
involucrada
s de
manera
1104
directa e
indirecta.
Políticas de
seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
VLAN-
Vlan de tesorería horas,
TESO
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
Disuasorias miento de
(DR) medidas
correctivas
y/o
preventivas
.
1105
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Correctivas Establecimi
[CR) ento de
fechas o
periodos
para la
realización
de balance
del
funcionami
ento,
actualizació
n de la
información
,
credenciale
s,
permisos,
1106
entre otros.
Planes de
contingenci
a para
reestablece
r el
Recuperati servicio,
vas (RC) mantenimie
nto y
actualizació
n de las
copias de
seguridad.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
de que
monitorizac permita
ión (MN) establecer
el balance
correcto o
erróneo del
funcionami
ento de la
red virtual.
de Normas y
detección políticas de
(DC) control de
1107
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Administrati Establecimi
vas (AD) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
1108
VLAN- Vlan de Políticas de
EST estudiantes seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
Disuasorias miento de
(DR) medidas
correctivas
y/o
preventivas
.
Minimizado Acortar
ras (IM) todas las
1109
rutas
accesibles
por
externos
con cifrado
de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Establecimi
ento de
fechas o
periodos
para la
realización
de balance
del
Correctivas funcionami
[CR) ento,
actualizació
n de la
información
,
credenciale
s,
permisos,
entre otros.
Recuperati Planes de
1110
contingenci
a para
reestablece
r el
servicio,
vas (RC) mantenimie
nto y
actualizació
n de las
copias de
seguridad.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
de que
monitorizac permita
ión (MN) establecer
el balance
correcto o
erróneo del
funcionami
ento de la
red virtual.
de Normas y
detección políticas de
(DC) control de
acceso a
los
1111
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Administrati
información
vas (AD)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
V-WIFI Vlan de wifi Preventivas Políticas de
(PR) seguridad,
1112
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
Disuasorias miento de
(DR) medidas
correctivas
y/o
preventivas
.
Minimizado Acortar
ras (IM) todas las
rutas
accesibles
1113
por
externos
con cifrado
de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Establecimi
ento de
fechas o
periodos
para la
realización
de balance
del
Correctivas funcionami
[CR) ento,
actualizació
n de la
información
,
credenciale
s,
permisos,
entre otros.
Recuperati Planes de
vas (RC) contingenci
a para
1114
reestablece
r el
servicio,
mantenimie
nto y
actualizació
n de las
copias de
seguridad.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
de que
monitorizac permita
ión (MN) establecer
el balance
correcto o
erróneo del
funcionami
ento de la
red virtual.
de Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
equipos
1115
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Administrati
información
vas (AD)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
VLAN- Vlan de Preventivas Políticas de
CONF configuración (PR) seguridad,
que, a su
vez,
1116
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
Disuasorias miento de
(DR) medidas
correctivas
y/o
preventivas
.
Minimizado Acortar
ras (IM) todas las
rutas
accesibles
por
externos
1117
con cifrado
de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Establecimi
ento de
fechas o
periodos
para la
realización
de balance
del
Correctivas funcionami
[CR) ento,
actualizació
n de la
información
,
credenciale
s,
permisos,
entre otros.
Recuperati Planes de
vas (RC) contingenci
a para
reestablece
r el
1118
servicio,
mantenimie
nto y
actualizació
n de las
copias de
seguridad.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
de que
monitorizac permita
ión (MN) establecer
el balance
correcto o
erróneo del
funcionami
ento de la
red virtual.
de Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
equipos
conectados
a la red,
1119
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Administrati
información
vas (AD)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
VLAN- Vlan de sistemas Preventivas Políticas de
SIS (PR) seguridad,
que, a su
vez,
mantengan
controlados
1120
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
Disuasorias miento de
(DR) medidas
correctivas
y/o
preventivas
.
Minimizado Acortar
ras (IM) todas las
rutas
accesibles
por
externos
con cifrado
de puertos,
1121
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Establecimi
ento de
fechas o
periodos
para la
realización
de balance
del
Correctivas funcionami
[CR) ento,
actualizació
n de la
información
,
credenciale
s,
permisos,
entre otros.
Recuperati Planes de
vas (RC) contingenci
a para
reestablece
r el
servicio,
mantenimie
1122
nto y
actualizació
n de las
copias de
seguridad.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
de que
monitorizac permita
ión (MN) establecer
el balance
correcto o
erróneo del
funcionami
ento de la
red virtual.
de Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
1123
y
trazabilidad
que le dan
los
usuarios al
sistema.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Administrati
información
vas (AD)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
VLAN- Vlan de registro y Preventivas Políticas de
RYCA control (PR) seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
1124
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
Disuasorias miento de
(DR) medidas
correctivas
y/o
preventivas
.
Minimizado Acortar
ras (IM) todas las
rutas
accesibles
por
externos
con cifrado
de puertos,
credenciale
s en las
1125
diferentes
capas de
acceso al
sistema.
Establecimi
ento de
fechas o
periodos
para la
realización
de balance
del
Correctivas funcionami
[CR) ento,
actualizació
n de la
información
,
credenciale
s,
permisos,
entre otros.
Recuperati Planes de
vas (RC) contingenci
a para
reestablece
r el
servicio,
mantenimie
nto y
actualizació
1126
n de las
copias de
seguridad.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
de que
monitorizac permita
ión (MN) establecer
el balance
correcto o
erróneo del
funcionami
ento de la
red virtual.
de Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
1127
que le dan
los
usuarios al
sistema.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Administrati
información
vas (AD)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
VLAN- Vlan de almacén Preventivas Políticas de
ALMA (PR) seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
1128
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
Disuasorias miento de
(DR) medidas
correctivas
y/o
preventivas
.
Minimizado Acortar
ras (IM) todas las
rutas
accesibles
por
externos
con cifrado
de puertos,
credenciale
s en las
diferentes
capas de
1129
acceso al
sistema.
Establecimi
ento de
fechas o
periodos
para la
realización
de balance
del
Correctivas funcionami
[CR) ento,
actualizació
n de la
información
,
credenciale
s,
permisos,
entre otros.
Recuperati Planes de
vas (RC) contingenci
a para
reestablece
r el
servicio,
mantenimie
nto y
actualizació
n de las
copias de
1130
seguridad.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
de que
monitorizac permita
ión (MN) establecer
el balance
correcto o
erróneo del
funcionami
ento de la
red virtual.
de Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
1131
usuarios al
sistema.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Administrati
información
vas (AD)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
VLAN- Vlan de talento Preventivas Políticas de
TALEN humano (PR) seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
1132
información
, control de
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
Disuasorias miento de
(DR) medidas
correctivas
y/o
preventivas
.
Minimizado Acortar
ras (IM) todas las
rutas
accesibles
por
externos
con cifrado
de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
1133
Establecimi
ento de
fechas o
periodos
para la
realización
de balance
del
Correctivas funcionami
[CR) ento,
actualizació
n de la
información
,
credenciale
s,
permisos,
entre otros.
Planes de
contingenci
a para
reestablece
r el
Recuperati servicio,
vas (RC) mantenimie
nto y
actualizació
n de las
copias de
seguridad.
de Establecimi
1134
ento de
normas de
seguridad
para el
monitoreo,
que
monitorizac permita
ión (MN) establecer
el balance
correcto o
erróneo del
funcionami
ento de la
red virtual.
de Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
1135
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Administrati
información
vas (AD)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
[backup] copias de Copias BACK De cada pc de la Políticas de
respaldo de UP- dependencia de seguridad,
seguridad SISTEM sistemas Preventivas personal
AS (PR) que tiene
acceso
información
Rastreo de
intrusos
para el
Disuasorias
aplica
(DR)
miento de
medidas
correctivas
Minimizado Acortar
1136
todas las
rutas
accesibles
ras (IM) por
externos
con cifrado
de puertos
Establecimi
ento de
fechas o
periodos
Correctivas para la
[CR) realización
de balance
del
funcionami
ento
Planes de
contingenci
Recuperati
a para
vas (RC)
reestablece
r el servicio
Establecimi
ento de
de
normas de
monitorizac
seguridad
ión (MN)
para el
monitoreo
de Normas y
detección políticas de
(DC) control de
1137
acceso
Políticas y
Administrati Normas de
vas (AD) Seguridad
Información
BACK de cada pc de las Políticas de
UP- dependencias de la seguridad,
ITFIP institución que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos y
personal
autorizado
al acceso a
los
dispositivos
1138
en donde
reposa
dicha
información
, para el
aplica
miento de
medidas
correctivas
y/o
preventivas
.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Correctivas Establecimi
[CR) ento de
fechas o
periodos
para la
1139
realización
de balance
del
funcionami
ento,
actualizació
n de la
información
,
credenciale
s,
permisos,
entre otros.
Planes de
contingenci
a para
reestablece
r el
Recuperati servicio,
vas (RC) mantenimie
nto y
actualizació
n de las
copias de
seguridad.
de Establecimi
monitorizac ento de
ión (MN) normas de
seguridad
para el
monitoreo,
1140
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de las
copias de
seguridad.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
de conectados
detección a la red,
(DC) rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Administrati Establecimi
vas (AD) ento de
1141
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
BACK de las Preventivas Políticas de
UP- configuraciones de (PR) seguridad,
SERVE los servidores que, a su
R’S vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
1142
dispositivos
, entre
otros.
Rastreo de
intrusos y
personal
autorizado
al acceso a
los
dispositivos
en donde
reposa
Disuasorias
dicha
(DR)
información
, para el
aplica
miento de
medidas
correctivas
y/o
preventivas
.
Minimizado Acortar
ras (IM) todas las
rutas
accesibles
por
externos
con cifrado
de puertos,
credenciale
1143
s en las
diferentes
capas de
acceso al
sistema.
Establecimi
ento de
fechas o
periodos
para la
realización
de balance
del
Correctivas funcionami
[CR) ento,
actualizació
n de la
información
,
credenciale
s,
permisos,
entre otros.
Recuperati Planes de
vas (RC) contingenci
a para
reestablece
r el
servicio,
mantenimie
nto y
1144
actualizació
n de las
copias de
seguridad.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
de
establecer
monitorizac
el balance
ión (MN)
correcto o
erróneo del
funcionami
ento de la
cada una
de las
copias de
seguridad.
de Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
equipos
conectados
a la red,
1145
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Administrati
información
vas (AD)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
[password Credenciales Contrase PASS- Biométricas para Preventivas Políticas de
] ñas de BIO acceso a la sala de (PR) seguridad,
seguridad servidor que, a su
vez,
mantengan
controlados
1146
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos y
personal
autorizado
al acceso a
los
dispositivos
en donde
reposa
cada uno
de los
servidores,
switchs y
demás
elementos
de
comunicaci
ón en la
1147
red de la
institución.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Correctivas Establecimi
[CR) ento de
fechas o
periodos
para la
realización
de balance
del
funcionami
ento,
actualizació
n de la
información
,
credenciale
1148
s,
permisos,
entre otros.
Planes de
contingenci
a para
reestablece
r el
servicio,
Recuperati mantenimie
vas (RC) nto y
actualizació
n de las
huellas
almacenad
as en el
dispositivo.
de Establecimi
monitorizac ento de
ión (MN) normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
1149
cada una
de las
huellas
almacenad
as.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
de conectados
detección a la red,
(DC) rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Administrati Establecimi
vas (AD) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
1150
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
PASS- De los usuarios Políticas de
SERVE que acceden a los seguridad,
R servidores que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos y
personal
autorizado
1151
al acceso a
los
dispositivos
en donde
reposa
cada uno
de los
servidores,
switchs y
demás
elementos
de
comunicaci
ón en la
red de la
institución.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Correctivas Establecimi
1152
ento de
fechas o
periodos
para la
realización
de balance
del
funcionami
ento,
[CR) actualizació
n de la
información
,
credenciale
s,
configuraci
ón, manejo
y soporte al
mismo.
Recuperati Planes de
vas (RC) contingenci
a para
reestablece
r el
servicio,
mantenimie
nto y
labores de
cada uno
de los
servidores,
1153
teniendo en
cuenta la
jerarquía
con la que
cuenta
cada uno
de ellos.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
de
correcto o
monitorizac
erróneo del
ión (MN)
funcionami
ento de
servidores,
teniendo en
cuenta la
jerarquía
con la que
cuenta
cada uno
de ellos
de Normas y
detección políticas de
1154
control de
acceso a
los
diferentes
equipos
conectados
a la red,
(DC) rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Administrati Establecimi
vas (AD) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
1155
indirecta.
PASS- servidor de copias Políticas de
SERVE de seguridad seguridad,
R-BACK que, a su
UP vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos y
personal
autorizado
al acceso a
los
dispositivos
en donde
reposa
cada uno
de los
1156
servidores,
switchs y
demás
elementos
de
comunicaci
ón en la
red de la
institución.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Correctivas Establecimi
[CR) ento de
fechas o
periodos
para la
realización
de balance
del
1157
funcionami
ento,
actualizació
n de la
información
,
credenciale
s,
configuraci
ón, manejo
y soporte al
mismo.
Recuperati Planes de
vas (RC) contingenci
a para
reestablece
r el
servicio,
mantenimie
nto y
labores de
cada uno
de los
servidores,
teniendo en
cuenta la
jerarquía
con la que
cuenta
cada uno
de ellos.
1158
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
de
correcto o
monitorizac
erróneo del
ión (MN)
funcionami
ento de
servidores,
teniendo en
cuenta la
jerarquía
con la que
cuenta
cada uno
de ellos
de Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
equipos
conectados
a la red,
1159
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Administrati
información
vas (AD)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
[Files] Ficheros Archivos Preventivas Políticas de
(PR) seguridad,
que, a su
vez,
mantengan
controlados
1160
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos y
personal
autorizado
al acceso a
los
dispositivos
en donde
reposa
cada uno
de los
servidores,
switchs y
demás
elementos
de
comunicaci
ón en la
1161
red de la
institución.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Correctivas Establecimi
[CR) ento de
fechas o
periodos
para la
realización
de balance
del
funcionami
ento,
actualizació
n de la
información
,
credenciale
1162
s,
configuraci
ón, manejo
y soporte al
mismo.
Planes de
contingenci
a para
reestablece
r el
servicio,
mantenimie
nto y
labores de
Recuperati
cada uno
vas (RC)
de los
archivos,
teniendo en
cuenta la
jerarquía
con la que
cuenta
cada uno
de ellos.
de Establecimi
monitorizac ento de
ión (MN) normas de
seguridad
para el
monitoreo,
que
1163
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de
archivos,
teniendo en
cuenta la
jerarquía
con la que
cuenta
cada uno
de ellos
de Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
1164
sistema.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Administrati
información
vas (AD)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
[info] protección de Credenci PASS- Usuarios de los Pc Preventivas Políticas de
la ales PC- de las demás (PR) seguridad,
información externas ITFIP dependencias que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
1165
, control de
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos y
personal
autorizado
al acceso a
los
Disuasorias
dispositivos
(DR)
en donde
reposan los
generadore
s aleatorios
de
contraseña.
Minimizado Acortar
ras (IM) todas las
rutas
accesibles
por
externos
con cifrado
de puertos,
credenciale
s en las
diferentes
capas de
1166
acceso al
sistema.
Establecimi
ento de
fechas o
periodos
para la
realización
de balance
del
funcionami
Correctivas ento,
[CR) actualizació
n de la
información
,
credenciale
s,
configuraci
ón, manejo
y soporte al
mismo.
Recuperati Planes de
vas (RC) contingenci
a para
reestablece
r el
servicio,
mantenimie
nto y
labores de
1167
cada uno
de los
servidores,
teniendo en
cuenta la
jerarquía
con la que
cuenta
cada uno
de ellos.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
de
establecer
monitorizac
el balance
ión (MN)
correcto o
erróneo del
funcionami
ento de los
generadore
s aleatorios
de
contraseña
de Normas y
detección políticas de
(DC) control de
1168
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Administrati
información
vas (AD)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
1169
[encrypt] claves de Sistema S-BIO Sensor biométrico Políticas de
cifrado de seguridad,
acceso que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Minimizado Rastreo de
ras (IM) intrusos y
personal
autorizado
al acceso a
los
dispositivos
en donde
reposa
cada uno
de los
servidores,
1170
switchs y
demás
elementos
de
comunicaci
ón en la
red de la
institución.
Acortar
todas las
rutas
accesibles
por
externos
Correctivas con cifrado
[CR) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Recuperati Establecimi
vas (RC) ento de
fechas o
periodos
para la
realización
de balance
del
funcionami
1171
ento,
actualizació
n de la
información
,
credenciale
s,
permisos,
entre otros.
Planes de
contingenci
a para
reestablece
r el
servicio,
de
mantenimie
monitorizac
nto y
ión (MN)
actualizació
n de las
huellas
almacenad
as en el
dispositivo.
de Establecimi
detección ento de
(DC) normas de
seguridad
para el
monitoreo,
que
permita
1172
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de las
huellas
almacénala
s.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
Administrati
a la red,
vas (AD)
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
[authentic claves de Contrase C- Código de Preventivas Políticas de
ation] autenticación ña de CASER confirmación para (PR) seguridad,
autentica VER acceso a la sala de que, a su
1173
ción servidor vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Minimizado Rastreo de
ras (IM) intrusos y
personal
autorizado
al acceso a
los
dispositivos
en donde
reposa
cada uno
de los
servidores,
switchs y
demás
elementos
1174
de
comunicaci
ón en la
red de la
institución.
Acortar
todas las
rutas
accesibles
por
externos
Correctivas con cifrado
[CR) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Recuperati Establecimi
vas (RC) ento de
fechas o
periodos
para la
realización
de balance
del
funcionami
ento,
actualizació
n de la
1175
información
,
credenciale
s,
permisos,
entre otros.
Planes de
contingenci
a para
reestablece
r el
servicio,
de
mantenimie
monitorizac
nto y
ión (MN)
actualizació
n de las
huellas
almacenad
as en el
dispositivo.
de Establecimi
detección ento de
(DC) normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
1176
erróneo del
funcionami
ento de la
cada una
de las
huellas
almacenad
os.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
Administrati
a la red,
vas (AD)
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
[prp] desarrollo Desarroll S- Sistema de Preventivas Políticas de
propio (in o propio RYCA1 Registro y Control (PR) seguridad,
house) (Ryca1 y Académico (RYCA) que, a su
Ryca2) V.1 vez,
mantengan
controlados
1177
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos y
personal
autorizado
al acceso a
los
dispositivos
en donde
reposa la
historia,
notas,
docentes,
balances
económico
s de cada
uno de los
estudiantes
,
1178
administrati
vos que
hacen
parte de
este
sistema.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
De Establecimi
monitorizac ento de
ión (MN) fechas o
periodos
para la
realización
de balance
del
funcionami
ento,
actualizació
1179
n de la
información
,
credenciale
s,
permisos,
entre otros.
Planes de
contingenci
a para
reestablece
r el
servicio,
De
mantenimie
detección
nto y
(DC)
actualizació
n de las
huellas
almacenad
as en el
dispositivo.
De Establecimi
concienciac ento de
ión (AW) normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
1180
correcto o
erróneo del
funcionami
ento de la
cada una
de las
huellas
almacénala
s.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
Administrati
a la red,
vas (AD)
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
1181
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
S- Sistema de Preventivas Políticas de
RYCA2 Registro y Control (PR) seguridad,
Académico (RYCA) que, a su
V.2.0 vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
1182
Rastreo de
intrusos y
personal
autorizado
al acceso a
los
dispositivos
en donde
reposa la
historia,
notas,
Disuasorias docentes,
(DR) balances
económico
s de cada
uno de los
estudiantes
,
administrati
vos que
hacen
parte de
este
sistema.
Minimizado Acortar
ras (IM) todas las
rutas
accesibles
por
externos
con cifrado
1183
de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Establecimi
ento de
fechas o
periodos
para la
realización
de balance
del
De
funcionami
monitorizac
ento,
ión (MN)
actualizació
n de la
información
,
credenciale
s,
permisos,
entre otros.
De Planes de
detección contingenci
(DC) a para
reestablece
r el
servicio,
1184
mantenimie
nto y
actualizació
n de las
huellas
almacenad
as en el
dispositivo.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
De establecer
concienciac el balance
ión (AW) correcto o
erróneo del
funcionami
ento de la
cada una
de las
huellas
almacenad
as.
Administrati Normas y
vas (AD) políticas de
control de
acceso a
1185
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Recuperati
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
[www] Servidor de Página P-ITFIP Página Oficial del Preventivas Políticas de
1186
presentación de la ITFIP seguridad,
institución que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos y
personal
autorizado
al acceso a
los
dispositivos
en donde
reposa
todo lo
relacionado
con la
institución,
1187
fechas
importantes
, próximos
eventos,
entre otros.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
De Establecimi
monitorizac ento de
ión (MN) fechas o
periodos
para la
realización
de balance
del
funcionami
ento,
actualizació
n de la
1188
información
,
credenciale
s,
permisos,
entre otros.
Planes de
contingenci
a para
reestablece
r el
servicio,
De
mantenimie
detección
nto y
(DC)
actualizació
n de las
huellas
almacenad
as en el
dispositivo.
De Establecimi
concienciac ento de
ión (AW) normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
1189
erróneo del
funcionami
ento de la
cada una
de las
huellas
almacenad
as.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
Administrati
a la red,
vas (AD)
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
capas de
1190
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
[browser] navegador Navegad G- Google Chrome Políticas de
web ores CHROM seguridad,
E que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Correctivas Reinstalaci
1191
ón del
navegador,
seguido del
posterior
inicio de
sesión, en
el cual,
hace parte
y reposa la
información
(CR)
subida a la
nube
(Google
Drive) y
que a su
vez sea
necesaria
su
implementa
ción.
De Establecimi
monitorizac ento de
ión (MN) normas de
seguridad
para el
monitoreo,
el cual,
debe ser
apropiado
según el
enfoque en
1192
el que se
disponga a
trabajar
Normas y
políticas de
control de
acceso en
cada una
de las
De
capas del
detección
sistema, en
(DC)
donde
posiblemen
te se pueda
hallar el
efectuarte
del ataque.
M-F Mozilla Firefox Preventivas Políticas de
(PR) seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
1193
horas,
control de
dispositivos
, entre
otros.
Reinstalaci
ón del
navegador,
seguido del
posterior
inicio de
sesión, en
el cual,
hace parte
y reposa la
Correctivas
información
(CR)
subida a la
nube
(Google
Drive) y
que a su
vez sea
necesaria
su
implementa
ción.
De Establecimi
monitorizac ento de
ión (MN) normas de
seguridad
para el
1194
monitoreo,
el cual,
debe ser
apropiado
según el
enfoque en
el que se
disponga a
trabajar
Normas y
políticas de
control de
acceso en
cada una
de las
De
capas del
detección
sistema, en
(DC)
donde
posiblemen
te se pueda
hallar el
efectuarte
del ataque.
SAFI Safari Preventivas Políticas de
(PR) seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
1195
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Correctivas Reinstalaci
(CR) ón del
navegador,
seguido del
posterior
inicio de
sesión, en
el cual,
hace parte
y reposa la
información
subida a la
nube
(Google
Drive) y
que a su
vez sea
necesaria
su
implementa
1196
ción.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
De
el cual,
monitorizac
debe ser
ión (MN)
apropiado
según el
enfoque en
el que se
disponga a
trabajar
Normas y
políticas de
control de
acceso en
cada una
de las
De
capas del
detección
sistema, en
(DC)
donde
posiblemen
te se pueda
hallar el
efectuarte
del ataque.
[office] Ofimática Herramie M- Microsoft Office Preventivas Políticas de
ntas OFFICE 2013 (PR) seguridad,
1197
ofimática que, a su
s vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Correctivas Reinstalaci
(CR) ón del
paquete,
seguido del
posterior
inicio de
sesión, en
el cual,
hace parte
y reposa la
información
y que a su
vez sea
necesaria
1198
su
implementa
ción.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
De
el cual,
monitorizac
debe ser
ión (MN)
apropiado
según el
enfoque en
el que se
disponga a
trabajar
De Normas y
detección políticas de
(DC) control de
acceso en
cada una
de las
capas del
sistema, en
donde
posiblemen
te se pueda
hallar el
efectuarte
del ataque.
1199
O- Open Office Linux Políticas de
OLINUX 2017 seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Correctivas Reinstalaci
(CR) ón del
paquete,
seguido del
posterior
inicio de
sesión, en
el cual,
hace parte
y reposa la
información
y que a su
1200
vez sea
necesaria
su
implementa
ción.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
De
el cual,
monitorizac
debe ser
ión (MN)
apropiado
según el
enfoque en
el que se
disponga a
trabajar
De Normas y
detección políticas de
(DC) control de
acceso en
cada una
de las
capas del
sistema, en
donde
posiblemen
te se pueda
hallar el
1201
efectuarte
del ataque.
[av] antivirus Antivirus S- System Center Políticas de
CENTE seguridad,
R que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
De Establecimi
monitorizac ento de
ión (MN) normas de
seguridad
para el
monitoreo,
el cual,
debe ser
apropiado
según el
1202
enfoque en
el que se
disponga a
trabajar
Normas y
políticas de
control de
acceso en
cada una
de las
De
capas del
detección
sistema, en
(DC)
donde
posiblemen
te se pueda
hallar el
efectuarte
del ataque.
W- Windows Defender Preventivas Políticas de
DEFEN (PR) seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
1203
, control de
horas,
control de
dispositivos
, entre
otros.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
De
el cual,
monitorizac
debe ser
ión (MN)
apropiado
según el
enfoque en
el que se
disponga a
trabajar
De Normas y
detección políticas de
(DC) control de
acceso en
cada una
de las
capas del
sistema, en
donde
posiblemen
te se pueda
1204
hallar el
efectuarte
del ataque.
[os] sistema Sistemas W-8 Windows 8 Políticas de
operativo operativo seguridad,
s que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Correctivas Reinstalaci
(CR) ón del
sistema
operativo o
su posterior
regreso a
una copia
de
seguridad
1205
funcional
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
De
el cual,
monitorizac
debe ser
ión (MN)
apropiado
según el
enfoque en
el que se
disponga a
trabajar
De Políticas de
detección seguridad,
(DC) que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
1206
dispositivos
, entre
otros.
W- Windows Server Políticas de
SER09 2009 seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
1207
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
1208
personas
involucrada
s de
manera
directa e
indirecta.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
De
establecer
concienciac
el balance
ión (AW)
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones.
Administrati Normas y
vas (AD) políticas de
control de
acceso a
los
diferentes
equipos
1209
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
W- Windows Server Políticas de
SER12 2012 seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
1210
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
controles
en cada
1211
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
De Establecimi
concienciac ento de
ión (AW) normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones.
1212
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
Administrati
a la red,
vas (AD)
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
C-5 CentOS 5 Preventivas Políticas de
(PR) seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
1213
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Acortar
todas las
rutas
Correctivas accesibles
(CR) por
externos
con cifrado
de puertos
Recuperati Establecimi
1214
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
De Establecimi
concienciac ento de
ión (AW) normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
1215
de sus
configuraci
ones.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
Administrati
a la red,
vas (AD)
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
D-7 Debian 7 Políticas de
seguridad,
Preventivas personal
(PR) que tiene
acceso
información
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
1216
medidas
correctivas,
con posible
factor de
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Acortar
todas las
rutas
Correctivas accesibles
(CR) por
externos
con cifrado
de puertos
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
1217
personas
involucrada
s de
manera
directa e
indirecta.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
De
establecer
concienciac
el balance
ión (AW)
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones.
Administrati Normas y
vas (AD) políticas de
control de
acceso a
los
diferentes
equipos
1218
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
U-14 Ubuntu 14 Políticas de
seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Correctivas Reinstalaci
(CR) ón del
1219
sistema
operativo o
su posterior
regreso a
una copia
de
seguridad
funcional
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
De
el cual,
monitorizac
debe ser
ión (MN)
apropiado
según el
enfoque en
el que se
disponga a
trabajar
De Políticas de
detección seguridad,
(DC) que, a su
vez,
mantengan
controlados
a cada una
de las
personas
1220
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
M-OSX Mac OS X Políticas de
seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Correctivas Reinstalaci
(CR) ón del
1221
sistema
operativo o
su posterior
regreso a
una copia
de
seguridad
funcional
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
De
el cual,
monitorizac
debe ser
ión (MN)
apropiado
según el
enfoque en
el que se
disponga a
trabajar
De Políticas de
detección seguridad,
(DC) que, a su
vez,
mantengan
controlados
a cada una
de las
personas
1222
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
[ts] servidor de Servicio CMD CoMmanD (CMD) Políticas de
terminales de seguridad,
terminal que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
1223
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
De que
monitorizac permita
ión (MN) establecer
el balance
correcto o
erróneo del
funcionami
ento del
sistema.
De Normas y
1224
políticas de
control de
acceso a
los
diferentes
equipos
conectados
detección a la red,
(DC) rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
De Establecimi
concienciac ento de
ión (AW) normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
1225
de sus
configuraci
ones.
C-LMAC CoMmanD line Políticas de
(Mac) seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
1226
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
De que
monitorizac permita
ión (MN) establecer
el balance
correcto o
erróneo del
funcionami
ento del
sistema.
De Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
equipos
conectados
1227
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
De
establecer
concienciac
el balance
ión (AW)
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones.
TERM Terminal Preventivas Políticas de
(PR) seguridad,
que, a su
vez,
1228
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
1229
d del caso.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
De que
monitorizac permita
ión (MN) establecer
el balance
correcto o
erróneo del
funcionami
ento del
sistema.
De Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
1230
usuarios al
sistema.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
De
establecer
concienciac
el balance
ión (AW)
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones.
[host] equipos Servidor S-DNS Servidor DNS y Preventivas Políticas de
grandes que DHCP (PR) seguridad,
contiene que, a su
el vez,
dominio mantengan
de cada controlados
uno de a cada una
los de las
equipos personas
dentro de que tienen
la acceso a
1231
institución dicha
, maneja información
un DNS y , control de
un DHCP horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Minimizado Acortar
ras (IM) todas las
rutas
accesibles
por
externos
1232
con cifrado
de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
1233
personas
involucrada
s de
manera
directa e
indirecta.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
De que
monitorizac permita
ión (MN) establecer
el balance
correcto o
erróneo del
funcionami
ento del
sistema.
De Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
1234
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
De
establecer
concienciac
el balance
ión (AW)
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones.
Administrati Normas y
vas (AD) políticas de
control de
acceso a
los
diferentes
1235
equipos
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
[host] equipos Servidor S- Servidor Políticas de
grandes de la RYCA2 Plataforma RYCA seguridad,
plataform V.2.0 que, a su
a RYCA vez,
V.2.0. mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
1236
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Correctivas Acortar
1237
todas las
rutas
accesibles
por
externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Recuperati
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
De Establecimi
monitorizac ento de
ión (MN) normas de
1238
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento del
sistema.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
De conectados
detección a la red,
(DC) rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
De Establecimi
concienciac ento de
1239
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
ión (AW)
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones.
Administrati Normas y
vas (AD) políticas de
control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
1240
usuarios al
sistema.
[host] equipos Servidor S- Servidor Políticas de
grandes que RYCA1 Plataforma RYCA seguridad,
contiene V.1 que, a su
las vez,
máquinas mantengan
virtuales controlados
de a cada una
RYCA1 y de las
la personas
Preventivas
plataform que tienen
(PR)
a acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
castigo
1241
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Correctivas Acortar
(CR) todas las
rutas
accesibles
por
externos
con cifrado
de puertos,
credenciale
s y demás
1242
métodos de
seguridad
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Recuperati
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
De Establecimi
monitorizac ento de
ión (MN) normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
1243
funcionami
ento del
sistema.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
De conectados
detección a la red,
(DC) rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
De Establecimi
concienciac ento de
ión (AW) normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
1244
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
Administrati
a la red,
vas (AD)
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
[host] equipos Servidor S-BD Servidor de Base Preventivas Políticas de
grandes de base de Datos ITFIP (PR) seguridad,
de datos que, a su
vez,
mantengan
controlados
a cada una
1245
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Minimizado Acortar
ras (IM) todas las
1246
rutas
accesibles
por
externos
con cifrado
de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
capas de
trazabilidad
1247
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
De que
monitorizac permita
ión (MN) establecer
el balance
correcto o
erróneo del
funcionami
ento del
sistema.
De Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
1248
equipos
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
De
establecer
concienciac
el balance
ión (AW)
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones.
Administrati Normas y
vas (AD) políticas de
1249
control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
[host] equipos Servidor S- Servidor Firewall Preventivas Políticas de
grandes de FIREW Fortigate (PR) seguridad,
cortafueg que, a su
os vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
1250
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Minimizado Acortar
ras (IM) todas las
rutas
accesibles
por
externos
con cifrado
de puertos,
credenciale
s en las
diferentes
1251
capas de
acceso al
sistema.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
1252
indirecta.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
De que
monitorizac permita
ión (MN) establecer
el balance
correcto o
erróneo del
funcionami
ento del
sistema.
De Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
1253
usuarios al
sistema.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
De
establecer
concienciac
el balance
ión (AW)
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones.
Administrati Normas y
vas (AD) políticas de
control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
1254
y
trazabilidad
que le dan
los
usuarios al
sistema.
[host] equipos Servidor S-SIIGO Servidor Contable Políticas de
grandes que SIIGO seguridad,
contiene que, a su
a SIIGO vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
1255
correctivas,
con posible
factor de
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Correctivas Acortar
(CR) todas las
rutas
accesibles
por
externos
1256
con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Recuperati
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
De Establecimi
monitorizac ento de
ión (MN) normas de
seguridad
para el
monitoreo,
que
permita
1257
establecer
el balance
correcto o
erróneo del
funcionami
ento del
sistema.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
De conectados
detección a la red,
(DC) rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
De Establecimi
concienciac ento de
ión (AW) normas de
seguridad
para el
monitoreo,
que
1258
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
Administrati
a la red,
vas (AD)
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
[host] equipos Servidor S- Servidor de Preventivas Políticas de
grandes de PDESA Pruebas (PR) seguridad,
Pruebas “Desarrollito” que, a su
1259
“Desarroll vez,
ito” mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
castigo
(laboral –
económico)
, teniendo
en cuenta
la
1260
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
controles
1261
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
De que
monitorizac permita
ión (MN) establecer
el balance
correcto o
erróneo del
funcionami
ento del
sistema.
De Normas y
detección políticas de
1262
control de
acceso a
los
diferentes
equipos
conectados
a la red,
(DC) rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
De Establecimi
concienciac ento de
ión (AW) normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
1263
configuraci
ones.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
Administrati
a la red,
vas (AD)
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
[host] equipos Servidor S- Servidor de Copias Preventivas Políticas de
grandes de CSECU de seguridad de la (PR) seguridad,
Copias RITY información del que, a su
de ITFIP vez,
seguridad mantengan
de la controlados
institución a cada una
de las
personas
que tienen
acceso a
dicha
1264
información
, control de
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Minimizado Acortar
ras (IM) todas las
rutas
accesibles
por
externos
con cifrado
1265
de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
1266
involucrada
s de
manera
directa e
indirecta.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
De que
monitorizac permita
ión (MN) establecer
el balance
correcto o
erróneo del
funcionami
ento del
sistema.
De Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
1267
y
trazabilidad
que le dan
los
usuarios al
sistema.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
De
establecer
concienciac
el balance
ión (AW)
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones.
Administrati Normas y
vas (AD) políticas de
control de
acceso a
los
diferentes
equipos
1268
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
[mid] equipos Computa 0224005 Computador IMAC Políticas de
medios (hw) dores 32 APPLE (3 Equipos) seguridad,
Apple AL que, a su
0224005 vez,
34 mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Minimizado Acortar
ras (IM) todas las
1269
rutas
accesibles
por
externos
con cifrado
de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Recuperati
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Administrati Normas y
vas (AD) políticas de
1270
control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
[mid] equipos Computa 0224005 Computadores HP Preventivas Políticas de
medios (hw) dores HP 70 all-one Pro (18 (PR) seguridad,
all-one AL Equipos) que, a su
Pro 0224001 vez,
92 mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
1271
dispositivos
, entre
otros.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
1272
manera
directa e
indirecta.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
Administrati
a la red,
vas (AD)
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
[pc] informática Portátil 0224005 Portátil Toshiba (16 Preventivas Políticas de
personal Toshiba 40 equipos) (PR) seguridad,
AL que, a su
0224005 vez,
65 mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
1273
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
1274
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
Administrati
a la red,
vas (AD)
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
[mobile] informática Tablet 0224006 Tablet negra 9” (1 Preventivas Políticas de
móvil negra 9” 75 Equipo) (PR) seguridad,
que, a su
vez,
mantengan
controlados
1275
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso al
sistema.
Recuperati Establecimi
vas (RC) ento de
controles
en cada
1276
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
Administrati
a la red,
vas (AD)
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
[backup] equipamiento Equipo 0224005 Computador IMAC Preventivas Políticas de
1277
de de 34 APPLE (3 Equipos) seguridad,
respaldo(hw) respaldo AL que, a su
0224005 vez,
37 mantengan
controlados
a cada una
de las
personas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Minimizado Acortar
ras (IM) todas las
rutas
accesibles
por
externos
con cifrado
de puertos,
credenciale
s en las
diferentes
capas de
acceso al
1278
sistema.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Recuperati
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Administrati Normas y
vas (AD) políticas de
control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
1279
que le dan
los
usuarios al
sistema.
[periphera periféricos Periférico MUSB2 Memoria USB Establecimi
l] 34 ento de
normas de
seguridad
para el
monitoreo,
que
permita
De
establecer
monitorizac
el balance
ión (MN)
correcto o
erróneo del
funcionami
ento del
sistema
integrado y
su estado
físico.
De Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
equipos
conectados
a la red,
1280
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema y
archivos
contenedor
es.
De Establecimi
concienciac ento de
ión (AW) normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
1281
DD234 Discos duros Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
De
establecer
monitorizac
el balance
ión (MN)
correcto o
erróneo del
funcionami
ento del
sistema
integrado y
su estado
físico.
De Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
1282
que le dan
los
usuarios al
sistema y
archivos
contenedor
es.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
De
el balance
concienciac
correcto o
ión (AW)
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
DDX334 Discos duros De Establecimi
externos monitorizac ento de
ión (MN) normas de
seguridad
1283
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento del
sistema
integrado y
su estado
físico.
De Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema y
1284
archivos
contenedor
es.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
De
el balance
concienciac
correcto o
ión (AW)
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
[switch] conmutadore Conmuta 0207000 SWITCH ALCATEL Preventivas Políticas de
s(hw) dores 59 LUCENT 9553 (PR) seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
1285
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Correctivas Acortar
(CR) todas las
rutas
1286
accesibles
por
externos
con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Recuperati
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Administrati Establecimi
vas (AD) ento de
normas de
seguridad
para el
1287
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
0207001 SWITCH 24 Preventivas Políticas de
30 10/100/1000 BASE (PR) seguridad,
TC que, a su
SWITCH 24 vez,
10/100/1000 BASE mantengan
TC controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
1288
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Correctivas Acortar
(CR) todas las
rutas
accesibles
por
externos
con cifrado
de puertos,
credenciale
s y demás
métodos de
1289
seguridad
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Recuperati
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Administrati Establecimi
vas (AD) ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
1290
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
0207001 SWITCH Políticas de
58 24/10/100/1000 seguridad,
BASE T4S que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
1291
medidas
correctivas,
con posible
factor de
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
capas de
trazabilidad
1292
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
Administrati el balance
vas (AD) correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
0207001 SWITCH Preventivas Políticas de
1293
36 24/10/100/1000PW seguridad,
R CORD que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
castigo
(laboral –
económico)
, teniendo
1294
en cuenta
la
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
1295
directa e
indirecta.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
Administrati el balance
vas (AD) correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
0207000 SWITCH ALCATEL Preventivas Políticas de
67 LUCEN 9561 (PR) seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
1296
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Correctivas Acortar
(CR) todas las
rutas
accesibles
1297
por
externos
con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Recuperati
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Administrati Establecimi
vas (AD) ento de
normas de
seguridad
para el
monitoreo,
1298
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
0207000 SWITCH ALCATEL Preventivas Políticas de
62 LUCENT 9556 (PR) seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
1299
, entre
otros.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Correctivas Acortar
(CR) todas las
rutas
accesibles
por
externos
con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
1300
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Recuperati
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Administrati Establecimi
vas (AD) ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
1301
cada una
de sus
configuraci
ones o uso
establecido
.
0207000 SWITCH ALCATEL Políticas de
63 LUCENT 9557 seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
1302
correctivas,
con posible
factor de
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
1303
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
Administrati el balance
vas (AD) correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
0207000 SWITCH ALCATEL Preventivas Políticas de
64 LUCENT 9558 (PR) seguridad,
1304
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
castigo
(laboral –
económico)
, teniendo
en cuenta
1305
la
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
1306
indirecta.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
Administrati el balance
vas (AD) correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
0207000 SWITCH ALCATEL Preventivas Políticas de
65 LUCENT 9559 (PR) seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
1307
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Correctivas Acortar
(CR) todas las
rutas
accesibles
por
1308
externos
con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Recuperati
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Administrati Establecimi
vas (AD) ento de
normas de
seguridad
para el
monitoreo,
que
1309
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
0207000 SWITCH ALCATEL Preventivas Políticas de
49 LUCENT 9543 (PR) seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
1310
otros.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
1311
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Administrati Establecimi
vas (AD) ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
1312
de sus
configuraci
ones o uso
establecido
.
0207000 SWITCH ALCATEL Políticas de
50 LUCENT 9544 seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
correctivas,
1313
con posible
factor de
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
1314
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
Administrati el balance
vas (AD) correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
0207000 SWITCH ALCATEL Preventivas Políticas de
51 LUCENT 9545 (PR) seguridad,
que, a su
1315
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
castigo
(laboral –
económico)
, teniendo
en cuenta
la
1316
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
1317
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
Administrati el balance
vas (AD) correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
0207000 SWITCH ALCATEL Preventivas Políticas de
54 LUCENT 9548 (PR) seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
1318
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Correctivas Acortar
(CR) todas las
rutas
accesibles
por
externos
1319
con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Recuperati
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Administrati Establecimi
vas (AD) ento de
normas de
seguridad
para el
monitoreo,
que
permita
1320
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
0207000 SWITCH ALCATEL Preventivas Políticas de
56 LUCENT 9550 (PR) seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
1321
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
1322
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Administrati Establecimi
vas (AD) ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
1323
configuraci
ones o uso
establecido
.
0207000 SWITCH ALCATEL Políticas de
57 LUCENT 9551 seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
1324
factor de
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
1325
las
personas
involucrada
s de
manera
directa e
indirecta.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
Administrati el balance
vas (AD) correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
0207000 SWITCH ALCATEL Preventivas Políticas de
58 LUCENT 9552 (PR) seguridad,
que, a su
vez,
1326
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
1327
d del caso.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Recuperati
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Administrati Establecimi
1328
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
vas (AD) correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
0207000 SWITCH ALCATEL Preventivas Políticas de
60 LUCENT 9554 (PR) seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
1329
información
, control de
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Correctivas Acortar
(CR) todas las
rutas
accesibles
por
externos
con cifrado
1330
de puertos,
credenciale
s y demás
métodos de
seguridad
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Recuperati
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Administrati Establecimi
vas (AD) ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
1331
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
0207000 SWITCH ALCATEL Políticas de
61 LUCENT 9555 seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
1332
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
controles
1333
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Administrati Establecimi
vas (AD) ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
1334
ones o uso
establecido
.
0207000 SWITCH ALCATEL Políticas de
66 LUCENT 9560 seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
1335
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
1336
personas
involucrada
s de
manera
directa e
indirecta.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
Administrati el balance
vas (AD) correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
0207000 SWITCH LAYER 3 Preventivas Políticas de
80 9574 (PR) seguridad,
que, a su
vez,
mantengan
1337
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
1338
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Recuperati
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Administrati Establecimi
vas (AD) ento de
1339
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
0207000 SWITCH LAYER 3 Preventivas Políticas de
82 9576 (PR) seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
que tienen
acceso a
dicha
información
1340
, control de
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Correctivas Acortar
(CR) todas las
rutas
accesibles
por
externos
con cifrado
de puertos,
1341
credenciale
s y demás
métodos de
seguridad
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Recuperati
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Administrati Establecimi
vas (AD) ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
1342
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
0207000 SWITCH LAYER 3 Políticas de
83 9577 seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
1343
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
controles
en cada
1344
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Administrati Establecimi
vas (AD) ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
1345
establecido
.
0207000 SWITCH LAYER 3 Políticas de
81 9575 seguridad,
que, a su
vez,
mantengan
controlados
a cada una
de las
personas
Preventivas
que tienen
(PR)
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
castigo
1346
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Acortar
todas las
rutas
accesibles
por
Correctivas externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Recuperati Establecimi
vas (RC) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
1347
involucrada
s de
manera
directa e
indirecta.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
Administrati el balance
vas (AD) correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
[router] encaminador Router ROUTER CISCO Preventivas Políticas de
es(hw) MODELO 1800 (PR) seguridad,
4781 que, a su
vez,
mantengan
controlados
1348
a cada una
de las
personas
que tienen
acceso a
dicha
información
, control de
horas,
control de
dispositivos
, entre
otros.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Correctivas Acortar
1349
todas las
rutas
accesibles
por
externos
(CR) con cifrado
de puertos,
credenciale
s y demás
métodos de
seguridad
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Recuperati
información
vas (RC)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Administrati Establecimi
vas (AD) ento de
normas de
1350
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
[pabx] centralita Central Preventivas Control de
telefónica(hw telefónica (PR) distribución
) de la
información
para cada
una de las
áreas con
las que
cuente con
un punto
de
conexión
para la
comunicaci
1351
ón.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias (DR) factor de
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Eliminatoria Gestión de
s (EL) contraseña
s, acceso a
su
configuraci
ón,
distribución
correcta y
adecuada
de cada
uno de los
puntos de
interconexi
1352
ón.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
De
establecer
monitorizac
el balance
ión (MN)
correcto o
erróneo del
funcionami
ento del
sistema
integrado y
su estado
físico.
De Normas y
detección políticas de
(DC) control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
usabilidad
y
1353
trazabilidad
que le dan
los
usuarios al
sistema y
archivos
contenedor
es.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
De
el balance
concienciac
correcto o
ión (AW)
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
[PSTN] Red de Red Preventivas Control de
telefonía telefónica (PR) distribución
de la
1354
información
para cada
una de las
áreas con
las que
cuente con
un punto
de
conexión
para la
comunicaci
ón.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Eliminatoria Gestión de
s (EL) contraseña
1355
s, acceso a
su
configuraci
ón,
distribución
correcta y
adecuada
de cada
uno de los
puntos de
interconexi
ón.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
De
establecer
monitorizac
el balance
ión (MN)
correcto o
erróneo del
funcionami
ento del
sistema
integrado y
su estado
físico.
De Normas y
1356
políticas de
control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
detección
usabilidad
(DC)
y
trazabilidad
que le dan
los
usuarios al
sistema y
archivos
contenedor
es.
De Establecimi
concienciac ento de
ión (AW) normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
1357
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
[INTERNE Internet Internet Control de
T] Movistar distribución
de la
información
para cada
una de las
áreas con
Preventivas
las que
(PR)
cuente con
un punto
de
conexión
para la
comunicaci
ón.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
1358
factor de
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Gestión de
contraseña
s, acceso a
su
configuraci
ón,
Eliminatoria distribución
s (EL) correcta y
adecuada
de cada
uno de los
puntos de
interconexi
ón.
De Establecimi
monitorizac ento de
ión (MN) normas de
seguridad
para el
monitoreo,
que
permita
1359
establecer
el balance
correcto o
erróneo del
funcionami
ento del
sistema
integrado y
su estado
físico.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
a la red,
De
rastrear la
detección
usabilidad
(DC)
y
trazabilidad
que le dan
los
usuarios al
sistema y
archivos
contenedor
es.
De Establecimi
1360
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
concienciac
correcto o
ión (AW)
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
[LAN] Red Local Red LAN Preventivas Control de
(PR) distribución
de la
información
para cada
una de las
áreas con
las que
cuente con
un punto
de
conexión
1361
para la
comunicaci
ón.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Eliminatoria Gestión de
s (EL) contraseña
s, acceso a
su
configuraci
ón,
distribución
correcta y
adecuada
de cada
uno de los
1362
puntos de
interconexi
ón.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso a la
red hallada.
Correctivas Establecimi
(CR) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
1363
manera
directa e
indirecta.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
Recuperati
a la red,
vas (RC)
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
De Establecimi
concienciac ento de
ión (AW) normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
1364
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
Administrati el balance
vas (AD) correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
[WIFI] Red Wifi Red WIFI ITFIP Preventivas Control de
(PR) distribución
1365
de la
información
para cada
una de las
áreas con
las que
cuente con
un punto
de
conexión
para la
comunicaci
ón.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Eliminatoria Gestión de
1366
contraseña
s, acceso a
su
configuraci
ón,
distribución
s (EL) correcta y
adecuada
de cada
uno de los
puntos de
interconexi
ón.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso a la
red hallada.
Correctivas Establecimi
(CR) ento de
controles
en cada
1367
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
Recuperati
a la red,
vas (RC)
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
De Establecimi
1368
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
concienciac
correcto o
ión (AW)
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
Administrati Establecimi
vas (AD) ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
1369
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
ITFIP 2 Control de
distribución
de la
información
para cada
una de las
áreas con
Preventivas
las que
(PR)
cuente con
un punto
de
conexión
para la
comunicaci
ón.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
1370
factor de
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Gestión de
contraseña
s, acceso a
su
configuraci
ón,
Eliminatoria distribución
s (EL) correcta y
adecuada
de cada
uno de los
puntos de
interconexi
ón.
Minimizado Acortar
ras (IM) todas las
rutas
accesibles
por
externos
con cifrado
de puertos,
1371
credenciale
s en las
diferentes
capas de
acceso a la
red hallada.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Correctivas
información
(CR)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Recuperati Normas y
vas (RC) políticas de
control de
acceso a
los
diferentes
equipos
conectados
1372
a la red,
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
De
el balance
concienciac
correcto o
ión (AW)
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
Administrati Establecimi
vas (AD) ento de
1373
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
ITFIP_P1 Preventivas Control de
(PR) distribución
de la
información
para cada
una de las
áreas con
las que
cuente con
un punto
de
conexión
para la
1374
comunicaci
ón.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Eliminatoria Gestión de
s (EL) contraseña
s, acceso a
su
configuraci
ón,
distribución
correcta y
adecuada
de cada
uno de los
puntos de
1375
interconexi
ón.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso a la
red hallada.
Correctivas Establecimi
(CR) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
1376
directa e
indirecta.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
Recuperati
a la red,
vas (RC)
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
De Establecimi
concienciac ento de
ión (AW) normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
1377
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
Administrati el balance
vas (AD) correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
ITFIP_FUNCIONA Preventivas Control de
RIOS_P1 (PR) distribución
de la
1378
información
para cada
una de las
áreas con
las que
cuente con
un punto
de
conexión
para la
comunicaci
ón.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Eliminatoria Gestión de
s (EL) contraseña
1379
s, acceso a
su
configuraci
ón,
distribución
correcta y
adecuada
de cada
uno de los
puntos de
interconexi
ón.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso a la
red hallada.
Correctivas Establecimi
(CR) ento de
controles
en cada
una de las
1380
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
Recuperati
a la red,
vas (RC)
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
De Establecimi
concienciac ento de
1381
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
ión (AW)
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
Administrati Establecimi
vas (AD) ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
1382
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
Salas1y2 Control de
distribución
de la
información
para cada
una de las
áreas con
Preventivas
las que
(PR)
cuente con
un punto
de
conexión
para la
comunicaci
ón.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
1383
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Gestión de
contraseña
s, acceso a
su
configuraci
ón,
Eliminatoria distribución
s (EL) correcta y
adecuada
de cada
uno de los
puntos de
interconexi
ón.
Minimizado Acortar
ras (IM) todas las
rutas
accesibles
por
externos
con cifrado
de puertos,
credenciale
1384
s en las
diferentes
capas de
acceso a la
red hallada.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Correctivas
información
(CR)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Recuperati Normas y
vas (RC) políticas de
control de
acceso a
los
diferentes
equipos
conectados
a la red,
1385
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
De
el balance
concienciac
correcto o
ión (AW)
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
Administrati Establecimi
vas (AD) ento de
normas de
1386
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
Salas_Sis2 Preventivas Control de
(PR) distribución
de la
información
para cada
una de las
áreas con
las que
cuente con
un punto
de
conexión
para la
comunicaci
1387
ón.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Eliminatoria Gestión de
s (EL) contraseña
s, acceso a
su
configuraci
ón,
distribución
correcta y
adecuada
de cada
uno de los
puntos de
interconexi
1388
ón.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso a la
red hallada.
Correctivas Establecimi
(CR) ento de
controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
1389
indirecta.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
Recuperati
a la red,
vas (RC)
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
De Establecimi
concienciac ento de
ión (AW) normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
1390
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
Administrati el balance
vas (AD) correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
Rectoría Preventivas Control de
(PR) distribución
de la
información
1391
para cada
una de las
áreas con
las que
cuente con
un punto
de
conexión
para la
comunicaci
ón.
Rastreo de
intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
Disuasorias
factor de
(DR)
castigo
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Eliminatoria Gestión de
s (EL) contraseña
s, acceso a
1392
su
configuraci
ón,
distribución
correcta y
adecuada
de cada
uno de los
puntos de
interconexi
ón.
Acortar
todas las
rutas
accesibles
por
externos
Minimizado con cifrado
ras (IM) de puertos,
credenciale
s en las
diferentes
capas de
acceso a la
red hallada.
Correctivas Establecimi
(CR) ento de
controles
en cada
una de las
capas de
1393
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Normas y
políticas de
control de
acceso a
los
diferentes
equipos
conectados
Recuperati
a la red,
vas (RC)
rastrear la
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
De Establecimi
concienciac ento de
ión (AW) normas de
1394
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
Administrati Establecimi
vas (AD) ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
1395
cada una
de sus
configuraci
ones o uso
establecido
.
[X25] Red de datos Red de Control de
datos distribución
de la
información
para cada
una de las
áreas con
Preventivas
las que
(PR)
cuente con
un punto
de
conexión
para la
comunicaci
ón.
Disuasorias Rastreo de
(DR) intrusos
para el
aplica
miento de
medidas
correctivas,
con posible
factor de
castigo
1396
(laboral –
económico)
, teniendo
en cuenta
la
complejida
d del caso.
Gestión de
contraseña
s, acceso a
su
configuraci
ón,
Eliminatoria distribución
s (EL) correcta y
adecuada
de cada
uno de los
puntos de
interconexi
ón.
Minimizado Acortar
ras (IM) todas las
rutas
accesibles
por
externos
con cifrado
de puertos,
credenciale
s en las
1397
diferentes
capas de
acceso a la
red hallada.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
de la
Correctivas
información
(CR)
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
Recuperati Normas y
vas (RC) políticas de
control de
acceso a
los
diferentes
equipos
conectados
a la red,
rastrear la
1398
usabilidad
y
trazabilidad
que le dan
los
usuarios al
sistema.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
que
permita
establecer
De
el balance
concienciac
correcto o
ión (AW)
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
Administrati Establecimi
vas (AD) ento de
normas de
seguridad
1399
para el
monitoreo,
que
permita
establecer
el balance
correcto o
erróneo del
funcionami
ento de la
cada una
de sus
configuraci
ones o uso
establecido
.
[disk] discos Discos DSK102 DDS 1TB Preventivas Establecimi
duros 4 (PR) entos de
normas o
decretos
para el
personal
cercano al
dispositivo,
teniendo en
cuenta que
debe
poseer
conocimien
to idóneo
para la
1400
manipulaci
ón de este.
Pautas,
herramient
as y
documenta
ción idónea
Correctivas
para el
(CR)
pronto
restablecim
iento de su
funcionami
ento.
Establecimi
ento de
fechas o
periodos
Recuperati para la
vas (RC) realización
de balance
del
funcionami
ento
De Gestor de
monitorizac copias de
ión (MN) seguridad
de toda la
información
contenida,
esto, se
debe
1401
realizar
periódicam
ente.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
De que
detección permita
(DC) establecer
el balance
correcto o
erróneo del
funcionami
ento del
sistema.
De Establecimi
concienciac ento de
ión (AW) controles
en cada
una de las
capas de
trazabilidad
de la
información
, control a
las
personas
involucrada
1402
s de
manera
directa e
indirecta.
[ups] sistemas de UPS 0224005 UPS 10 KVA 9578 Establecimi
alimentación 26 entos de
ininterrumpid normas o
a decretos
para el
personal
cercano al
dispositivo,
Preventivas
teniendo en
(PR)
cuenta que
debe
poseer
conocimien
to idóneo
para la
manipulaci
ón de este.
Correctivas Pautas,
(CR) herramient
as y
documenta
ción idónea
para el
pronto
restablecim
iento de su
funcionami
1403
ento.
Establecimi
ento de
fechas o
periodos
Recuperati para la
vas (RC) realización
de balance
del
funcionami
ento
Gestor de
copias de
seguridad
de toda la
De información
monitorizac contenida,
ión (MN) esto, se
debe
realizar
periódicam
ente.
De Establecimi
detección ento de
(DC) normas de
seguridad
para el
monitoreo,
que
permita
establecer
1404
el balance
correcto o
erróneo del
funcionami
ento del
sistema.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
De de la
concienciac información
ión (AW) , control a
las
personas
involucrada
s de
manera
directa e
indirecta.
0224005 UPS 10 KVA 9579 Preventivas Establecimi
27 (PR) entos de
normas o
decretos
para el
personal
cercano al
dispositivo,
1405
teniendo en
cuenta que
debe
poseer
conocimien
to idóneo
para la
manipulaci
ón de este.
Pautas,
herramient
as y
documenta
ción idónea
Correctivas
para el
(CR)
pronto
restablecim
iento de su
funcionami
ento.
Establecimi
ento de
fechas o
periodos
Recuperati para la
vas (RC) realización
de balance
del
funcionami
ento
De Gestor de
1406
copias de
seguridad
de toda la
información
monitorizac contenida,
ión (MN) esto, se
debe
realizar
periódicam
ente.
Establecimi
ento de
normas de
seguridad
para el
monitoreo,
De que
detección permita
(DC) establecer
el balance
correcto o
erróneo del
funcionami
ento del
sistema.
De Establecimi
concienciac ento de
ión (AW) controles
en cada
una de las
capas de
1407
trazabilidad
de la
información
, control a
las
personas
involucrada
s de
manera
directa e
indirecta.
0224005 UPS 10 KVA 9580 Establecimi
28 entos de
normas o
decretos
para el
personal
cercano al
dispositivo,
Preventivas
teniendo en
(PR)
cuenta que
debe
poseer
conocimien
to idóneo
para la
manipulaci
ón de este.
Correctivas Pautas,
(CR) herramient
as y
1408
documenta
ción idónea
para el
pronto
restablecim
iento de su
funcionami
ento.
Establecimi
ento de
fechas o
periodos
Recuperati para la
vas (RC) realización
de balance
del
funcionami
ento
Gestor de
copias de
seguridad
de toda la
De información
monitorizac contenida,
ión (MN) esto, se
debe
realizar
periódicam
ente.
De Establecimi
detección ento de
1409
normas de
seguridad
para el
monitoreo,
que
permita
(DC) establecer
el balance
correcto o
erróneo del
funcionami
ento del
sistema.
Establecimi
ento de
controles
en cada
una de las
capas de
trazabilidad
De de la
concienciac información
ión (AW) , control a
las
personas
involucrada
s de
manera
directa e
indirecta.
[supply] Suministros suministr Recuperati Establecimi
1410
esenciales os entos de
esenciale normas o
s decretos
para el
personal
cercano al
dispositivo,
teniendo en
vas (RC)
cuenta que
debe
poseer
conocimien
to idóneo
para la
manipulaci
ón de este.
Pautas,
herramient
as y
documenta
De ción idónea
monitorizac para el
ión (MN) pronto
restablecim
iento de su
funcionami
ento.
De Establecimi
detección ento de
(DC) fechas o
periodos
1411
para la
realización
de balance
del
funcionami
ento
Gestor de
copias de
seguridad
de toda la
De información
concienciac contenida,
ión (AW) esto, se
debe
realizar
periódicam
ente.
[site] recinto Guardias
Cuarto o recinto (Oficina) de
seguridad,
Disuasión sensores
(DR) de
movimiento
y alerta de
intrusos.
Detección Detección
(DC) de
Incendios,
de filtración
de aguas
sucias,
1412
entre otras.
Políticas y
Normas de
Seguridad
Información
Administrati , pólizas de
vas (AD) declaración
de
confidencia
lidad.
Capacitació
Administrado Coordina
n al
[adm] res de dor de
personal,
sistemas sistemas
en manejo
información
, sus
labores a
Conciencia
desempeña
ción (AW)
r. Previo a
la
evaluación
de sus
capacidade
s.
[des] Desarrollador Programa Administrati Políticas y
dor vas (AD) Normas de
Seguridad
Información
, pólizas de
declaración
1413
de
confidencia
lidad.
Capacitació
n al
personal,
en manejo
información
, sus
labores a
Conciencia
desempeña
ción (AW)
r. Previo a
la
evaluación
de sus
capacidade
s.
Políticas y
Normas de
Seguridad
Información
Administrati , pólizas de
Ingeniero vas (AD) declaración
Auxiliar/ de
[Sub] subcontratas
Soporte confidencia
técnico lidad.
Capacitació
Conciencia n al
ción (AW) personal,
1414
en manejo
información
, sus
labores a
desempeña
r. Previo a
la
evaluación
de sus
capacidade
s.
1415
4.2.13 Informe y evaluación de los tratamientos de riesgo
Identificación
Para dicho proceso, se llevo a cabo una serie de pautas, en las cuales consiste en
la previa entrevista con el coordinador de la dependencia, él ing. Wilson Mauricio
Pimiento, y los demás entes intermediarios en la entidad, como lo son el ingeniero
Darwin Muñoz López, la ingeniera Melissa Martinez y el tecnólogo Juan Sebastián
Laguna; también, se llevó un análisis detenido del área de trabajo, sus
procedimientos, tiempos, y circunstancias con los cuales trabajan.
También se llevo a cabo una serie de apreciación a cada uno de los diferentes
medios de información, sean estos almacenados de manera lógica o física,
llegando a instancias de talento humano y la oficina de almacén institucional.
Amenaza hallada
o Posibles vulnerabilidades
Según lo anterior, se identificaron las siguientes amenazas:
o [Re-]encaminamiento de mensajes
o Abuso de privilegios de acceso
o Acceso no autorizado
o Alteración accidental de la información
o Alteración de secuencia
o Análisis de trafico
o Avería de origen físico o lógico
o Caída del sistema por agotamiento de recursos
o Condiciones inadecuadas de temperatura o humedad
o Contaminación electromagnética
o Contaminación mecánica
o Corte del suministro eléctrico
o Daños por agua
o Daños por agua
o Deficiencias en la organización
o Degradación de los soportes de almacén amiento de la información
o Denegación de servicio
1416
o Desastres industriales
o Desastres naturales
o Destrucción de información
o Destrucción de información
o Difusión de software dañino
o Difusión de software dañino
o Divulgación de información
o Emanaciones electromagnéticas
o Errores de [re-] encaminamiento
o Errores de los usuarios
o Errores de mantenimiento / actualización de equipos(hardware)
o Errores de mantenimiento / actualización de programas (software)
o Errores de secuencia
o Extorsión
o Fallo de servicios de comunicaciones
o Fuego
o Fugas de información
o Indisponibilidad del personal
o Indisponibilidad del personal
o Ingeniería social (picaresca)
o Interceptación de información (escucha)
o Interrupción de otros servicios y suministros esenciales
o Manipulación de los equipos
o Manipulación de programas
o Modificación deliberada de la información
o Perdida de equipos (Robo)
o Robo
o Suplantación de la identidad del usuario
o Uso no previsto
o Vulnerabilidades de los programas (software)
Los ítems que se mencionaron anteriormente (o) hacen referencias a las posibles
incidencias, en las cuales, se puede ver afectada la dependencia; a continuación,
se hará la explicación de cada una de ellas.
La unión entre los factores de riesgo y cada uno de los activos, nos arrojó como
resultado un total de 275 (94 Riesgos Críticos – 179 Riesgos Moderados – 2
Riesgos Bajos); posibilidades que pueden afectar el correcto funcionamiento del
sistema. Los cuales; se dividieron de la siguiente manera:
1417
Tabla 285. Calculo para los factores de riesgos de cada uno de los activos
Total
Vector de Amenaza RC RM RB
general
Desastres naturales 8 34 2 44
De origen industrial 20 49 0 69
Errores y fallos no intencionados 32 49 0 81
Ataques intencionados 34 47 0 81
Total general 94 179 2 275
Fuente: Autoría propia.
Una vez aclarado cuales son los riesgos que encontramos, a que tipo de activo
puede ver este afectado, lo cual, puede interrumpir su correcto funcionamiento;
procedemos a estipular los tratamientos adecuados para cada uno de ellos,
1418
factores como que nos aclararan como prevenir, aclarar, interrumpir o eliminar
dichas amenazas.
Al hallarse una vulnerabilidad en cualquier contexto, se debe emplear las
técnicas establecidas para permitir la reducción del éxito de ataque.
De manera que se puede atacar un activo con una vulnerabilidad latente, se
requiere de manera urgente aplicar los diferentes controles ubicados en la
respectiva capa, analizar los datos y estructura, como también sus
controles administrativos, esto se realiza con el fin de suprimir de la manera
en la que estos se verían afectados.
Aumentar el costo, los recursos y demás elementos que sean necesarios
para que el atacante pueda efectuar una penetración, esto se realiza con el
fin de que se mayor el costo de inversión al de la ganancia bruta llegado al
sistema.
Proteger los activos de mayor importancia para la entidad, esto se puede
lograr aplicando las diferentes políticas de seguridad, lineamientos, planes
de contingencia y de acceso a la información.
Según los ítems mencionados, se define de manera clara y concisa las estrategias
para el tratamiento de los riesgos.
Probabilidad
Estrategias para tratamiento de los riesgos
Bajo Moderado
bajo.
Tratamiento: Tratamiento:
Tratamiento:
Reducir la Reducir la
Asumir el riesgo
probabilidad de probabilidad de
Impacto
1419
Técnicas para el tratamiento del riesgo
1420
Aceptar: La aceptación es la acción más pasiva de todas, puesto que así
mismo permite y acepta el riesgo en cuestión, por lo general, esta técnica
es empleada en activos en donde sus riesgos se catalogan como “muy
bajos” y “bajos”.
Según las técnicas, criterios y demás factores podemos determinar que cada una
de ellas se determina de la siguiente manera:
1421
intencionados
Emanaciones Ataques
22-RG X
electromagnéticas intencionados
Errores de [re-] De origen
23-RG X
encaminamiento industrial
Errores y fallos no
24-RG Errores de los usuarios X
intencionados
Errores de mantenimiento / Errores y fallos no
25-RG actualización de intencionados X
equipos(hardware)
Errores de mantenimiento / Errores y fallos no
26-RG actualización de programas intencionados X
(software)
Errores y fallos no
27-RG Errores de secuencia X
intencionados
Errores y fallos no
28-RG Extorsión
intencionados
Fallo de servicios de Ataques
29-RG X
comunicaciones intencionados
De origen
30-RG Fuego X
industrial
Desastres
31-RG Fugas de información X
naturales
Indisponibilidad del Errores y fallos no
32-RG X
personal intencionados
Ataques
33-RG Ingeniería social (picaresca) X
intencionados
Interceptación de Ataques
34-RG X
información (escucha) intencionados
Interrupción de otros Ataques
35-RG servicios y suministros intencionados X
esenciales
Manipulación de los De origen
36-RG X
equipos industrial
Ataques
37-RG Manipulación de programas X
intencionados
Modificación deliberada de Ataques
38-RG X
la información intencionados
Ataques
39-RG Perdida de equipos (Robo) X
intencionados
Errores y fallos no
40-RG Robo X
intencionados
Suplantación de la Errores y fallos no
41-RG X
identidad del usuario intencionados
Ataques
42-RG Uso no previsto X
intencionados
Vulnerabilidades de los Ataques
43-RG X
programas (software) intencionados
Fuente: Autoría propia.
1422
las consecuencias, que para toda razón social es realmente necesaria. El estudio
de las combinaciones de amenaza/vulnerabilidad servirá como base principal para
dictaminar el tratamiento a seguir, para ello le daremos la importancia idónea a
cada una de ellas.
1423
intencionados
Difusión de software Errores y fallos no
20-RG X 5
dañino intencionados
Errores y fallos no
21-RG Divulgación de información X 5
intencionados
Emanaciones Ataques
22-RG X 4
electromagnéticas intencionados
Errores de [re-] De origen
23-RG X 5
encaminamiento industrial
Errores y fallos no
24-RG Errores de los usuarios X 3
intencionados
Errores de mantenimiento / Errores y fallos no
25-RG actualización de intencionados X 2
equipos(hardware)
Errores de mantenimiento / Errores y fallos no
26-RG actualización de programas intencionados X 2
(software)
Errores y fallos no
27-RG Errores de secuencia X 2
intencionados
Errores y fallos no
28-RG Extorsión X 5
intencionados
Fallo de servicios de Ataques
29-RG X 4
comunicaciones intencionados
De origen
30-RG Fuego X 4
industrial
Desastres
31-RG Fugas de información X 3
naturales
Indisponibilidad del Errores y fallos no
32-RG X 2
personal intencionados
Ingeniería social Ataques
33-RG X 2
(picaresca) intencionados
Interceptación de Ataques
34-RG X 4
información (escucha) intencionados
Interrupción de otros Ataques
35-RG servicios y suministros intencionados X 4
esenciales
Manipulación de los De origen
36-RG X 3
equipos industrial
Manipulación de Ataques
37-RG X 3
programas intencionados
Modificación deliberada de Ataques
38-RG X 2
la información intencionados
Ataques
39-RG Perdida de equipos (Robo) X 5
intencionados
Errores y fallos no
40-RG Robo X 5
intencionados
Suplantación de la Errores y fallos no
41-RG X 3
identidad del usuario intencionados
Ataques
42-RG Uso no previsto X 3
intencionados
Vulnerabilidades de los Ataques
43-RG X 5
programas (software) intencionados
Fuente: Autoría propia
1424
4.2.15 Declaración de aplicabilidad
1425
Tabla 292. Declaración de aplicabilidad realizada al rector del ITFIP
OBJETIVO DE CONTROLES APLICAB RAZONES DE LA JUSTIFICACION
EXCLUSIONES
CONTROL ILIDAD SELECCIÓN
SI NO RL CO BR/BP RRA
A 6.1.5 SEGURIDAD X X
1426
DE LA
INFORMACIÓN EN
LA GESTIÓN DE
PROYECTOS.
A 6.2 A 6.2.1 POLÍTICA X X X
DISPOSITIVOS PARA
MÓVILES Y DISPOSITIVOS
TELETRABAJ MÓVILES
O A 6.2.2 X X X
TELETRABAJO
A.7 SEGURIDAD DE LOS RECURSOS HUMANOS
A 7.1 ANTES A 7.1.1 SELECCIÓN X
DE ASUMIR
EL EMPLEO
A 7.1.2 TÉRMINOS Y X
CONDICIONES DEL
EMPLEO
A 7.2 A 7.2.1 X
DURANTE LA RESPONSABILIDAD
EJECUCIÓN DE LA DIRECCIÓN
DEL EMPLEO A 7.2.2 TOMA DE X X
CONCIENCIA,
EDUCACIÓN, Y
FORMACIÓN EN S.I.
A.7.2.3 PROCESO X
DISCIPLINARIO
A 7.3 A 7.3.1
TERMINACIÓN TERMINACIÓN O
Y CAMBIO DE CAMBIO DE
EMPLEO RESPONSABILIDAD
ES DE EMPLEO
A.8 GESTION DE ACTIVOS
A 8.1 A 8.1.1 INVENTARIO X
RESPONSABI DE ACTIVOS
1427
LIDAD POR A 8.1.2 PROPIEDAD X
LOS ACTIVOS DE LOS ACTIVOS
A 8.1.3 USO X
ACEPTABLE DE
LOS ACTIVOS
A 8.1.4 X
DEVOLUCIÓN DE
LOS ACTIVOS
A 8.2 A 8.2.1 X
CLASIFICACIÓ CLASIFICACIÓN DE
N DE LA LA INFORMACIÓN
INFORMACIÓ A 8.2.2 X
N ETIQUETADO DE LA
INFORMACIÓN
A 8.2.3 MANEJO DE X
ACTIVOS
A.9 CONTROL DE ACCESO
A 9.2 A 9.1.2 ACCESO A
GESTIÓN DE REDES Y A
ACCESO DE SERVICIOS EN RED
USUARIOS A 9.2.1 REGISTRO Y X X
CANCELACIÓN DEL
REGISTRO DE
USUARIOS
A 9.2.2 SUMINISTRO X X
DE ACCESO DE
USUARIOS
A 9.2.3 GESTIÓN DE X X
DERECHOS DE
ACCESO
PRIVILEGIADO
1428
A 9.2.4 GESTIÓN DE X X
LA INF. DE
AUTENTICACIÓN
SECRETA DE
USUARIOS
A 9.2.5 REVISIÓN X X
DE LOS DERECHOS
DE ACCESO DE
USUARIOS
A 9.2.6 RETIRO O X X
AJUSTE DE LOS
DERECHOS DE
ACCESO.
A 9.3 A 9.3.1 USO DE X X
RESPONSABI INFORMACIÓN DE
LIDADES DE AUTENTICACIÓN
LOS SECRETA
USUARIOS
A 9.4 A 9.4.1 X X
CONTROL DE RESTRICCIÓN DE
ACCESO A ACCESO A LA
SISTEMAS Y INFORMACIÓN
APLICACIONE A 9.4.2 X X
S PROCEDIMIENTO
DE INGRESO
SEGURO
A 9.4.3 SISTEMA DE X X
GESTIÓN DE
CONTRASEÑAS
A 9.4.4 USO DE X X
PROGRAMAS
UTILITARIOS
PRIVILEGIADOS
1429
A 9.4.5 CONTROL X X
DE ACCESO A
CODIGOS FUENTE
DE PROGRAMAS.
A. 10 CRIPTOGRAFIA
A 10.1 A 10.1.1 POLÍTICA X
CONTROLES SOBRE USO DE
CRIPTOGRAFI CONTROLES
COS CRIPTOGRÁFICOS
A 10.1.2 GESTIÓN X
DE LLAVES
A. 11 SEGURIDAD FISICA Y DEL ENTORNO
A 11.1 AREAS A 11.1.1 X X
SEGURAS PERÍMETRO DE
SEGURIDAD FÍSICA
A 11.1.2 X X
CONTROLES DE
ACCESO FÍSICOS
A 11.1.3
SEGURIDAD DE
OFICINAS,
RECINTOS E
INSTALACIONES
A 11.1.4
PROTECCIÓN
CONTRA
AMENAZAS
EXTERNAS Y
AMBIENTALES
A 11.1.5 TRABAJO X
EN ÁREAS
SEGURAS
A 11.1.6 ÁREAS DE X
DESPACHO Y
CARGA
1430
A 11.2 A 11.2.1 UBICACIÓN X
EQUIPOS Y PROTECCION DE
LOS EQUIPOS
A 11.2.2 SERVICIOS X
DE SUMINISTRO
A 11.2.3 X
SEGURIDAD EN EL
CABLEADO
A 11.2.4 X
MANTENIMIENTO
DE EQUIPOS
A 11.2.5 RETIRO DE X
ACTIVOS
A 11.2.6 X
SEGURIDAD DE
EQUIPOS Y
ACTIVOS FUERA DE
LAS
INSTALACIONES
A 11.2.7 X
DISPOSICIÓN
SEGURA O
REUTILIZACIÓN DE
EQUIPOS
A 11.2.8 EQUIPOS X X
DE USUARIO
DESATENDIDO
A 11.2.9 POLÍTICA X X
DE ESCRITORIO
LIMPIO Y PANTALLA
LIMPIA.
A. 12 SEGURIDAD DE LAS OPERACIONES
A 12.1 A 12.1.1 X
PROCEDIMIEN PROCEDIMIENTOS
1431
TOS DE OPERACIÓN
OPERACIONA DOCUMENTADOS
LES Y A 12.1.2 GESTIÓN
RESPONSABI DE CAMBIOS
LIDADES A 12.1.3 GESTIÓN X
DE CAPACIDAD
A 12.1.4.
SEPARACIÓN DE
LOS AMBIENTES DE
DESARROLLO,
PRUEBAS Y
OPERACIÓN
A 12.2 A.12.2.1 X X
PROTECCION CONTROLES
CONTRA CONTRA CÓDIGOS
CODIGOS MALICIOSOS
MALICIOSOS
A 12.3 COPIAS A 12.3.1 RESPALDO X X
DE DE LA
RESPALDO INFORMACIÓN
A 12.4 A12.4.1 REGISTRO X
REGISTRO Y DE EVENTOS
SEGUIMIENTO A12.4.2 X
PROTECCIÓN DE
LA INFORMACIÓN
DE REGISTRO
A12.4.3 REGISTROS X
DEL
ADMINSITRADOR Y
DEL OPERADOR
A12.4.4 X
SINCRONIZACIÓN
DE RELOJES
A 12.5 A 12.5.1 X X
CONTROL DE INSTALACIÓN DE
1432
SOFTWARE SOFTWARE EN
OPERACIONA SISTEMAS
L OPERATIVOS
A 12.6 A 12.6.1 GESTIÓN X
GESTION DE DE LAS
LA VULNERABILIDADE
VULNERABILI S TÉCNICAS
DAD TÉCNICA
A 12.6.2 X X
RESTRICCIÓN
SOBRE LA
INSTALACION DE
SOFWARE
A 12.7 A 12.7.1 X X
CONTROLES CONTROLES DE
DE AUDITORIAS DE
AUDITORIAS SISTEMAS DE
DE SISTEMAS INFORMACIÓN
DE
INFORMACIÓ
N
A. 13 SEGURIDAD DE LAS COMUNICACIONES
A 13.1 A 13.1.1 X
GESTIÓN DE CONTROLES DE
LA REDES
SEGURIDAD A 13.1.2 X
DE LAS SEGURIDAD DE
REDES LOS SERVICIOS DE
RED
A 13.1.3 X
SEPARACIÓN EN
LAS REDES
A 13.2 A 13.2.1 POLÍTICAS X
TRANSFEREN Y
CIA DE PROCEDIMIENTOS
INFORMACIÓ DE
N TRANSFERENCIA
1433
DE INFORMACIÓN
A 13.2.2 ACUERDOS X
SOBRE
TRASNFERENCIA
DE INFORMACIÓN
A 13.2.3 X
MENSAJERIA
ELECTRÓNICA
A 13.2.4 ACUERDOS X
DE
CONFIDENCIALIDA
D O DE NO
DIVULGACIÓN
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
A 14.1 A 14.1.1 ÁNALISIS Y X
REQUISITOS ESPECIFICACIÓN
DE DE REQUISITOS DE
SEGURIDAD SI
DE LOS A 14.1.2 X
SISTEMAS DE SEGURIDAD DE
INFORMACIÓ SERVICIOS DE LAS
N APLICACIONES EN
REDES PÚBLICAS
A 14.1.3 X X
PROTECCIÓN DE
TRANSACCIONES
DE LOS SERVICIOS
DE LAS
APLICACIONES
A 14.2 A 14.2.1 POLÍTICA X X
CONTROL DE DE DESARROLLO
ACCESO AL SEGURO
SISTEMA A 14.2.2 X X
OPERATIVO PROCEDIMIENTO
DE CONTROL DE
1434
CAMBIOS EN
SISTEMAS
A 14.2.3 REVISIÓN X X
TÉCNICAS DE LAS
APLICACIONES
DESPUES DE
CAMBIOS EN LA
PLATAFORMA DE
OPERACIÓN
A 14.2.4 X X
RESTRICCIONES
EN LOS CAMBIOS A
LOS PAQUETES DE
SOFTWARE
A 14.2.5 PRINCIPIOS X X
DE
CONSTRUCCIÓN
DE LOS SISTEMAS
SEGUROS
A 14.2.6 AMBIENTE X X
DE DESARROLLO
SEGURO
A 14.2.7 X X
DESARROLLO
CONTRATADO
EXTERNAMENTE
A 14.2.8 PRUEBAS X X
DE SEGURIDAD DE
SISTEMAS
A 14.2.9 PRUEBAS X X
DE ACEPTACIÓN
DE SISTEMAS
A 14.3 DATOS A 14.3 DATOS DE X X
DE PRUEBA PRUEBA
A.15 RELACIONES CON LOS PROVEEDORES
1435
A. 15.1 A 15.1.1 X
RELACIONES SEGURIDAD DE LA
CON INFORMACIÓN EN
LOSPROVEED LAS RELACIONES
ORES CON LOS
PROVEEDORES
A 15.1.2 X
TRATAMIENTO DE
LA SEGURIDAD
DENTRO DE LOS
ACUERDOS CON
PROVEEDORES
A 15.1.3 CADENA X
DE SUMINISTRO DE
TECNOLOGÍA DE
INFORMACIÓN Y
COMUNICACIÓN
A 15.2 A 15.2.1 X
GESTIÓN DE SEGUIMIENTO Y
LA REVISIÓN DE LOS
PRESENTACI SERVICIOS DE LOS
ÓN DE PROVEEDORES
SERVICIOS DE A 15.2.2 GESTIÓN X
PROVEEDORE DE CAMBIOS EN
S LOS SERVICIOS DE
LOS
PROVEEDORES
A.16 GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION
A.16.1. A 16.1.1 X
Gestión de RESPONSABILIDAD
incidentes y ES Y
mejoras en la PROCEDIMIENTOS
seguridad de A 16.1.2 REPORTE X
la información DE EVENTOS DE
SEGURIDAD DE LA
INFORMACIÓN
1436
A 16.1.3 REPORTE X
DE DEBILIDADES
DE SEGURIDAD DE
LA INFORMACIÓN
A 16.1.4 X
EVALUACIÓN DE
EVENTOS DE
SEGURIDAD DE LA
INFORMACIÓN Y
DECISIONES
SOBRE ELLOS
A 16.1.5 X
RESPUESTA A
INCIDENTES DE
SEGUIRIDAD DE LA
INFORMACIÓN
A 16.1.6 X
APRENDIZAJE
OBTENIDO DE LOS
INCIDENTES DE
SEGURIDAD DE LA
INFORMACIÓN
A 16.1.7 X
RECOLECCIÓN DE
EVIDENCIA
A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACION DE LA GESTION DE CONTINUIDAD DE NEGOCIO
A 17.1 A 17.1.1 X
CONTINUIDAD PLANIFICACIÓN DE
EN LA CONTINUIDAD
SEGURIDAD DE LA SEGURIDAD
DE LA DE LA
INFORMACIÓ INFORMACIÓN
N A 17.1.2 X
IMPLEMENTACIÓN
DE LA
CONTINUIDAD DE
LA SI
1437
A 17.1.3 X
VERIFICACIÓN,
REVISIÓN Y
EVALUACIÓN DE LA
CONTINUIDAD DE
LA SI
A 17.2 A 17.2.1 X
REDUNDANCI DISPONIBILIDAD DE
AS INSTALACIONES DE
PROCESAMIENTO
DE INFORMACIÓN
A. 18 CUMPLIMIENTO
A 18.1 A 18.1.1 X
CUMPLIMIENT IDENTIFICACIÓN DE
O DE LA LEGISLACIÓN
REQUISITOS APLICABLE Y DE
LEGALES Y LOS REQUISITOS
CONTRACTUA CONTRACTUALES
LES
A 18.1.2 DERECHOS X X
DE PROPIEDAD
INTELECTUAL
A 18.1.3 X X
PROTECCIÓN DE
REGISTROS
A 18.1.4 X X
PRIVACIDAD Y
PROTECCIÓN DE
INFORMACIÓN DE
DATOS
PERSONALES
A 18.1.5 X X
REGLAMENTACIÓN
DE CONTROLES
CRIPTOGRÁFICOS
1438
A 18.2 A 18.2.1 REVISIÓN X X
REVISIONES INDEPENDIENTE DE
DE LA SEGURIDAD DE
SEGURIDAD LA INFORMACIÓN
DE LA
INFORMACIÓ A 18.2.2. X X
N CUMPLIMIENTO
CON LAS
POLÍTICAS Y
NORMAS DE
SEGURIDAD
A 18.2.3 REVISIÓN X X
DEL
CUMPLIMIENTO
TÉCNICO
Fuente: Autoría propia.
___________________________________
Firma Rector. Mario Diaz
CC.
1439
4.2.16 Opciones de control recomendadas
1440
● A5-Política de seguridad
1441
● A6- Organización de la SI
Políticas:
El comité de seguridad debe implementar las medidas se de
seguridad, además puede diseñar e implementar una base de datos
que almacene el personal con sus respectivas responsabilidades de
seguridad de información dentro de la organización.
Es importante tener un registro documental de derechos y deberes
del personal y las medidas que se deben tener al momento de
implementar la seguridad de la información.
Se debe tener un registro de que personas son responsables y
autorizadas de su área de trabajo, para evitar el acceso de usuarios
no autorizados.
PTR:
Definir políticas de control de acceso físico a áreas de
almacenamiento de información (servidores y equipos de cómputo).
SoA:
El comité de seguridad de la información debe asignar un personal
que se encargue de verificar los protocolos de seguridad, revisar la
vigencia, el cumplimiento de las directrices. Además de asegurar que
los empleados que manejen teletrabajo cumplan las indicaciones.
● A7- Seguridad de los RRHH ( Recursos Humanos)
1442
Se deben fijar roles y responsabilidades dentro de la organización para así
poder tener un seguimiento efectivo al personal.
Se debe capacitar el personal sobre los estándares en la seguridad de
información, concientizándolos a que la información es un activo vital para
la organización.
Una vez terminado el contrato con el empleado se debe verificar la
suspensión de los servicios, la devolución de los activos, devolución de
documentos, todos los dispositivos que se le han entregado se encuentren
en buen estado y la anulación de contraseñas de acceso.
PTR:
En cada contrato de trabajo se tendrá cláusulas de confidencialidad para asegurar
información de la empresa.
Todo empleado que utilice los bienes y servicios informáticos se comprometen a
utilizarlos bajo los principios de confidencialidad de la información.
SoA:
Se deberá nombrar una persona responsable en el área de seguridad de
información, que será el encargado de divulgar las políticas de seguridad y
el obligatorio cumplimiento de las mismas por todos los empleados de la
empresa. Si se generan cambios este se encargará de divulgar dichos
cambios.
Se debe seleccionar un personal profesional para capacitar a los
empleados de la organización sobre la importancia de la seguridad de
información.
Establecer términos y condiciones laborales. Mediante cláusulas en los
contratos definir acuerdos de confidencialidad y cumplimiento de políticas
de seguridad con todo el personal y con terceros.
● A8- Gestión de activos
1443
Así mismo se plantea desarrollar e implementar procedimientos adecuados para
clasificar y etiquetar la información, de acuerdo a los criterios de confidencialidad,
disponibilidad e integridad definidos en la gestión de riesgos.
Políticas:
Realizar un inventario de activos de información los cuales se encuentren
ordenados según su importancia.
Clasificar la información bajo estos criterios:
o Información de uso publico
o Información de uso interno
o Información confidencial
Etiquetar la información con códigos propios de la organización para facilitar
su búsqueda.
En el inventario de activos de información manejar las siguientes etiquetas:
o Recursos informáticos disponibles
o Ubicación
o Responsable
o Uso
o Garantías o contratos próximos a vencer
PTR:
A cada empleado se le hace responsable de sus equipos, activos de
información y debe cumplir las medidas de seguridad.
Los empleados no deberán mover o reubicar los equipos, instalar o
desinstalar dispositivos. Eso solamente lo hace el personal autorizado para
esas tareas.
1444
Configurar VPN. Permitir el acceso indiscriminado a la red propia de la
organización desde Internet no es adecuado. Aunque el acceso esté
protegido con una contraseña, podría ser capturada en un punto de acceso
Wifi público o avistada por un observador malintencionado. Por el contrario,
el riesgo disminuye si el trabajador y la empresa se conectan mediante una
conexión VPN. El acceso está protegido, la conexión está previsiblemente
cifrada y el trabajador tiene el mismo acceso que si estuviera
presencialmente ahí.97
Se debe utilizar los mas recientes tipo de encriptación para la contraseñas
de acceso, por seguridad.
PTR:
Implementar métodos de autenticación y control de acceso.
Segmentar la red.
Implementar el control de puertos y ruteo de red.
Efectuar un control de los registros de auditoria.
Definir perfiles de acceso.
Controlar los cambios en los accesos.
SoA:
Definir un registro formal de usuarios para otorgar y revocar accesos,
utilizar identificadores de usuarios únicos.
Identificar los privilegios, asignarlos de acuerdo a las necesidades del
trabajo, mantener un registro actualizado de ellos.
Los usuarios deben comprometerse a utilizar y mantener en secreto sus
contraseñas esto debe estar estipulado en el contrato laboral, cambiarlas
periódicamente y deben cumplir con todos los criterios de seguridad.
Debe haber un encargado de otorgar los permisos para el acceso a la red y
sus recursos, realizar normas y procedimientos de autorización, establecer
controles y procedimientos de control de acceso, para la autenticación de
usuario, para las conexiones externas debe de escogerse un método y
protocolo de autenticación, controlar el acceso a sistemas informáticos
remotos, protección de puertos para evitar accesos no autorizados. El
acceso a internet solo será autorizado por el.
También tiene aplicar este criterio al acceso a las aplicaciones y al uso de
los sistemas en general.
● A10- Criptografía
97
ÁGUEDA A. NOBBOT. VPN: ¿qué es y para qué sirve?. Consultado: 10 de Enero del 2019.
Link: https://www.nobbot.com/tecnologia/mi-conexion/vpn-¿que-es-y-para-que-sirve/
1445
La implementación de controles criptográficos permite proteger la información
cuando esta sale de los límites de la organización. Por ello se recomienda que los
dispositivos, por ejemplo: USB, discos duros externos, entre otros medios
portátiles de almacenamiento. También los archivos planos, correos en donde se
maneja información sensible para la organización deben estar cifrados.
Políticas:
El jefe de cada área debe velar por la información que se maneje por parte
de sus empleados y que esta sea clasificada o restringida.
Al momento de compartir información los empleados deben utilizar algún
tipo de cifrado ya sea a los archivos en concreto o al dispositivo de
almacenamiento.
Las contraseñas de los equipos, acceso a plataformas, correos, entre otros.
Deben ser totalmente de conocimiento de la persona que trabaja en ese
puesto y estar cambiando periódicamente las claves por seguridad.
PTR:
Los empleados pueden compartir de manera comprimida con clave para así
prevenir daños por virus o robo de información.
Para prevenir robo o alteración de información los empleados deben tratar
no ingresar a software malicioso o no proporcionado por la organización.
Los empleados están obligados a verificar que la información y que los
medios de almacenamiento, considerando memorias USB, CDs, estén
libres de cualquier tipo de software dañino, para ello deben ejecutar el
software antivirus.
SoA:
Deben desarrollar y establecer un procedimiento para el manejo y la
administración de llaves de cifrado.
Deben desarrollar y establecer estándares para la aplicación de controles
criptográficos.
Deben almacenar y/o transmitir la información digital clasificada bajo
técnicas de cifrado con el propósito de proteger su confidencialidad e
integridad.
1446
dicha seguridad puede ser video vigilancia, alarmas de seguridad
sensoriales, entre otros.
Manejar un sistema de registro de ingreso y salida de visitantes y/o terceros
a las áreas con activos de información vitales para la organización.
Medidas de protección contra incendios. La selección de extintores debe
ser el adecuado que no deje residuos ni sustancias corrosivas que puedan
dañar los equipos, las alarmas contra incendios por sensor es otra opción
muy viable.
Controles de refrigeración y ventilación, los equipos deben tener una muy
buena refrigeración ya sea por aire acondicionado o ventiladores
convencionales de buena potencia debido a que los equipos informáticos
con el tiempo tienden a subir de temperatura.
Ubicar los equipos en lugares que reduzcan los riesgos de amenazas y
peligros del entorno y el acceso no autorizado.
Los equipos deben tener fuente de alimentación de respaldo de energía
como las UPS y protección (polo a tierra), para evitar daños eléctricos.
PTR:
Realizar un estudio previo a la instalación de los lugares a donde se van a
colocar, para que se adecuen de acuerdo a los políticas de seguridad física
y ambiental.
Realizar periódicamente revisiones y mantenimientos a los equipos para ver
en que estado se encuentran y así evitar daños.
SoA:
La adecuación correcta a los lugares donde van a estar los servidores, hace
que la seguridad de los mismos sea mucho mas confiable y evite daños a la
organización.
1447
directamente. Debe ser un ambiente distinto a los de pruebas y
producción.
o Se utilicen nombres de dominio diferentes para los ambientes
de producción, pruebas y desarrollo, a efectos de evitar
confusión durante la ejecución de las pruebas.
Verificar periódicamente que los equipos tengan instalado y actualizado el
antivirus designado por la organización.
Verificar que los archivos de origen incierto o recibió a través de redes poco
confiables no contengan virus antes de hacer uso de ellos.
Bloquear los sitios web reportados como falsos o atacantes.
Es de gran importancia estar realizando copias de seguridad
periódicamente a la información, para evitar daños. Dichas copias pueden
almacenadas en discos duros externos, servicios de nube, entre otros.
Cada una de ellas deben ser encriptadas por seguridad.
Restricciones sobre la instalación de software. Mediante directivas de
restricción de software sobre los equipos integrados con los servicios
de dominio de firewall y directiva de grupo se puede limitar el
software a instalar en los equipos de la organización.
PTR:
El empleado debe laboral en su sitio asignado, no debe transportar su
equipo a ningún otro lado sin autorización.
Los empleados deben mantener el entorno de su equipo limpio y sin
humedad.
Evitar colocar objeto encima del equipo o cubrir los orificios de ventilación.
Solo el personal apropiado podrá llevar a cabo los servicios y reparaciones
al equipo informático.
Los empleados no deben extraer o copiar información sin autorización del
jefe de área.
SoA:
Los jefes de cada área vigilaran que los empleados cumplas con las
políticas de seguridad establecidas.
1448
Segmentar la red para prevenir la intrusión en la información, además se
puede establecer limites de ancho de banda y permisos a los usuarios.
Establecer controles para asegurar la disponibilidad, la confidencialidad y la
integridad de la información.
Hacer uso de la extensión FTP mediante SSL para el cifrado de datos, esto
evita que al momento de realizar transferencias de información la reciba en
binario y no en texto evitando el robo de información.
PTR:
Para el uso del correo electrónico los empleados no deben de usar cuentas
de correo electrónico asignadas a otras personas, ni recibir mensajes en
cuentas de otros.
Los empleados deben tratar los mensajes de correo electrónico y archivos
adjuntos como información que es de propiedad de la organización.
El acceso a internet es exclusivamente para actividades relacionadas con
las actividades del empleo y funciones que desempeña.
Debe ser informado y registrado cualquier equipo que pueda acceder a la
red de la empresa.
SoA:
El coordinador del departamento de sistemas debe controlar y administrar
toda la red de acuerdo a las políticas de seguridad.
1449
Hacer una revisión técnica de las aplicaciones. Para que al momento de
cambiar plataformas o actualizar software de operación no haya impacto
adverso en el funcionamiento o la seguridad de la organización.
PTR:
Realizar copias de la base de datos para realizar pruebas pero se deben
anonimizar los datos.
Hacer que las aplicaciones detecten de que el dato que se le esta
ingresando no contenga código malicioso y sea el correcto.
Revisar e ir actualizando periódicamente las aplicaciones a software actual,
para prevenir daños en su funcionamiento o la seguridad en la
organización.
SoA:
El personal en la coordinación de sistemas al momento de aplicar nuevas
funciones o módulos a las plataformas de desarrollo propio tenga un
servidor pequeño para poder realizar pruebas con una copia de la base de
datos, para que al momento de implementarlo directamente al software no
afecte en nada.
● A15- Relación con los proveedores
1450
● A16- Gestión de los incidentes de seguridad
Con este dominio se busca asegurar un enfoque coherente y eficaz para la gestión
de incidentes de seguridad de la información, incluida la comunicación sobre
eventos de seguridad, debilidades y amenazas.
Políticas:
Todo el personal de la organización, usuarios de los sistemas y terceros
pueden fácilmente encontrar error o debilidades en la seguridad de la
información que puede generar incidencia. Por lo tanto todos los que
utilicen los servicios y sistemas de información están en la obligación de
que observen y reporten cualquier debilidad de seguridad de la información.
El líder del comité de seguridad debe establecer procesos adecuados, para
los eventos tales como:
o Violación de confidencialidad.
o Uso inadecuado de los sistemas de información.
o Fallas del sistema.
Identificar la causa e implementar acciones correctivas y reportar todo el
procesos realizado al responsable de la seguridad.
El responsable, debe llevar un registro de los incidentes presentados, de
cómo se han manejado, las posibles causas y cuanto le cuestan a la
empresa resolverlos, para en un futuro no cometer los mismos errores.
PTR:
Los empleados no deben instalar ningún programa tercero no autorizado
por la organización en sus equipos de trabajo, para prevenir posibles
amenazas a los sistemas de información.
Se debe llevar un registro de los incidentes encontrados para mejorarlos y
no volver a cometerlos.
SoA:
Se debe establecer un documento con las políticas de seguridad, el cual
deben conocer todos los empleados, además ser capacitados ante
cualquier situación de amenaza a los sistemas de información.
Aquí se definen los controles con los cuales se busca contrarrestar los efectos de
fallos o desastres que afecten el funcionamiento normal de los sistemas críticos de
información.
Políticas:
Garantizar la disponibilidad de las operaciones sin importar los fallos o
desastres.
1451
Verificar la validez y efectividad de las medidas de continuidad. En el ITFIP
se debe revisar los intervalos regulares de controles de continuidad de la
seguridad de la información establecidos e implementados, con el fin de
asegurar que son válidos y eficaces durante situación adversas.
PTR:
Implementar modelos redundantes para garantizar alta disponibilidad en el
sistema y así mitigar los fallos, reducir los tiempos de respuesta.
Diseñar políticas de contingencias las cuales deben ser constantemente
revisadas y actualizadas para asegurar que las medidas adoptadas son las
más adecuadas.
SoA:
El comité de seguridad de la información será el encargado de identificar
los procesos vitales en la organización para así darle a conocer a los
empleados la importancia y de los posibles riesgos.
Elaborar en un documento una estrategia de continuidad del negocio y
proponer la adquisición de pólizas y seguros, en caso de algún daño crítico.
El comité de seguridad establecerá un cronograma de pruebas, el cual se
señalará quienes son los responsables, efectuara pruebas, realizara
simulaciones y pruebas completas en las instalaciones, involucrando
procesos y con todo el personal.
SoA:
1452
El comité definirá los procedimientos encaminados a cumplir con todas las
normas y restricciones legales, se encargará de realizar revisiones
periódicas a la empresa, para verificar el cumplimiento de las políticas de
seguridad, solicitar auditorias periódicas, documentar y dar a conocer los
requisitos normativos.
Todos los empleados y directivos están obligados a conocer y brindar
apoyo a los que no conozcan para así hacer cumplir la presentes políticas y
la normativa vigente.
1453
CONCLUSIONES
1454
RECOMENDACIONES
1455
BIBLIOGRAFÍA
13
Arias, F. G. (2012). El Proyecto de Investigación. Introducción a la metodología
científica. 5ta: Fidias G. Arias Odón. Pág. 60
15
Dirección general de modernización administrativa, P.e (2012). MAGERIT-
versión 3.0 Metodología de análisis y gestión de riesgos de los sistemas de
información Madrid.
21
GUTIERREZ, Camilo. Welivesecurity. MAGERIT: metodología práctica para
gestionar riesgos, [Revisado 12 de Septiembre del 2018]. Disponible en Internet:
https://www.welivesecurity.com/la-es/2013/05/14/magerit-metodologia-practica-
para-gestionar-riesgos/
14
Hernández Sampieri, R., Fernández Collado, C. y Pilar Baptista L. (2010).
Metodología de la investigación. México. Ed. Mc Graw Hill.
8
ISO27001 – Sistema de Gestión de la Seguridad de la información. [en línea],
2018 [revisado 29 octubre 2018]. Pág.: 3 Disponible en Internet:
http://www.iso27000.es/download/doc_sgsi_all.pdf
55
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pag: 13 [Consultado: 19 de septiembre de 2018].
56
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pag: 14 [Consultado: 19 de septiembre de 2018].
57
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pag: 15 [Consultado: 19 de septiembre de 2018].
58
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pag: 16 [Consultado: 19 de septiembre de 2018].
60
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pag: 23-44 [Consultado: 19 de septiembre de 2018].
62
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pag: 45-56 [Consultado: 19 de septiembre de 2018].
64
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pag: 57-78 [Consultado: 19 de septiembre de 2018].
66
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pág.: 79-104 [Consultado: 19 de septiembre de 2018].
1456
68
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pág.: 105-118 [Consultado: 19 de septiembre de 2018].
70
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pág.: 119-137 [Consultado: 19 de septiembre de 2018].
72
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pág.: 138-153 [Consultado: 19 de septiembre de 2018].
74
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pág.: 154-168 [Consultado: 19 de septiembre de 2018].
76
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pág.: 169-186 [Consultado: 19 de septiembre de 2018].
78
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pág.: 187-233 [Consultado: 19 de septiembre de 2018].
80
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pág.: 234-264 [Consultado: 19 de septiembre de 2018].
82
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pág.: 265-310 [Consultado: 19 de septiembre de 2018].
84
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pág.: 311-323 [Consultado: 19 de septiembre de 2018].
86
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pág.: 324-336 [Consultado: 19 de septiembre de 2018].
88
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pág.: 337-346 [Consultado: 19 de septiembre de 2018].
90
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pág.: 347-371 [Consultado: 19 de septiembre de 2018].
92
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pág.: 372-389 [Consultado: 19 de septiembre de 2018].
1457
94
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pág.: 390-401 [Consultado: 19 de septiembre de 2018].
95
ITFIP, Institución de Educación Superior. Manual de Procesos y Procedimientos
“ITFIP” Versión N.º 5.0. Lugar de Publicación: Espinal-Tolima, diciembre de 2016.
Pág.: 402-432 [Consultado: 19 de septiembre de 2018].
17
Juan José Caballero Romero. Etnometodología, Universidad Complutense.
Texto disponible en:
http://www.reis.cis.es/REIS/PDF/REIS_056_06.pdf. Citado:17 de sept. de 18
18
Juan Báez y Pérez de Tudela. Investigación cualitativa 2 edición, Libros
profesionales de empresa 2009. Disponible en:
https://books.google.com.co/books?
id=XmvPJ9KtzsC&printsec=frontcover&dq=cualitativa&hl=es&sa=X&ved=0ahUKE
wi23dCN_8PdAhVR3VMKHdYyDoIQ6AEIJzAA#v=onepage&q=cualitativa&f=false.
Citado: 18 de sept. de 18
96
MAGERIT V3, Libro 3: Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información.
10
Ministerio de Administraciones Públicas de España. MAGERIT – Versión 3.0.
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Madrid: Ministerio de Hacienda y Administraciones públicas, 2012. Pag 7 de 127.
Administración electrónica.
27
Ministerio de Administraciones Públicas de España. MAGERIT – Versión 3.0.
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Madrid: Ministerio de Hacienda y Administraciones públicas, 2012. Pag 9.
Administración electrónica.
28
Ministerio de Administraciones Públicas de España. MAGERIT – Versión 3.0.
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Madrid: Ministerio de Hacienda y Administraciones públicas, 2012. Pag 9.
Administración electrónica.
29
Ministerio de Administraciones Públicas de España. MAGERIT – Versión 3.0.
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Madrid: Ministerio de Hacienda y Administraciones públicas, 2012. Pag 9.
Administración electrónica.
30
Ministerio de Administraciones Públicas de España. MAGERIT – Versión 3.0.
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Madrid: Ministerio de Hacienda y Administraciones públicas, 2012. Pag 9.
Administración electrónica.
31
Ministerio de Administraciones Públicas de España. MAGERIT – Versión 3.0.
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Madrid: Ministerio de Hacienda y Administraciones públicas, 2012. Pag 9.
Administración electrónica.
32
Ministerio de Administraciones Públicas de España. MAGERIT – Versión 3.0.
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
1458
Madrid: Ministerio de Hacienda y Administraciones públicas, 2012. Pag 9.
Administración electrónica.
33
Ministerio de Administraciones Públicas de España. MAGERIT – Versión 3.0.
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Madrid: Ministerio de Hacienda y Administraciones públicas, 2012. Pag 9-10.
Administración electrónica.
34
Ministerio de Administraciones Públicas de España. MAGERIT – Versión 3.0.
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Madrid: Ministerio de Hacienda y Administraciones públicas, 2012. Pag 12.
Administración electrónica.
20
Purificación aguilera. Seguridad Informática, Google book. Disponible en:
https://books.google.com.co/books?
id=Mgvm3AYIT64C&printsec=frontcover&hl=es&source=gbs_ge_summary_r&cad
=0#v=onepage&q&f=false. Citado:17 de sept. de 18
1459
WEBGRAFIA
46
Andina, C. d. (1 de 12 de 2000). DECISIÓN 486: Régimen Común sobre
Propiedad Industrial *. Recuperado el 26 de 5 de 2018, de
http://www.sice.oas.org/Trade/Junac/Decisiones/dec486si.asp
11
ASTIVIA Tecnologías Avanzadas S.L.L... Sistemas de Gestión de Riesgos y
Seguridad. ISO 27001 – Software ISO 27001 de Sistemas de Gestión. [en línea],
2018 [revisado 13 septiembre 2018]. Disponible en Internet:
https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/
37
CARTAGENA, L. C. (17 de 12 de 1993). Decisión 351. Obtenido de
http://www.sice.oas.org/trade/junac/decisiones/Dec351s.asp
38
COLOMBIA, E. P. (23 de 6 de 1989). Decreto 1360 de 1989 Nivel Nacional.
Obtenido de http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=10575
39
Colombia, E. C. (5 de 2 de 1993). Ley 44 de 1993 Nivel Nacional. Recuperado el
26 de 5 de 2018, de http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?
i=3429
40
COLOMBIA, E. P. (16 de 3 de 1995). Decreto 460 de 1995 Nivel Nacional.
Recuperado el 26 de 5 de 2018, de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=10576
41
COLOMBIA, E. P. (22 de 1 de 1996). Decreto 162 de 1996 Nivel Nacional.
Obtenido de http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=10574
42
COLOMBIA, E. C. (31 de 12 de 1999). LEY 545 DE 1999. Recuperado el 26 de
5 de 2018, de
http://propiedadintelectual.unal.edu.co/fileadmin/recursos/innovacion/docs/normati
vidad_pi/ley545_1999.pdf
43
Colombia, E. C. (8 de 2 de 2000). LEY 565 DE 2000. Recuperado el 26 de 5 de
2018, de https://www.ins.gov.co/Normatividad/Leyes/LEY%200565%20DE
%202000.pdf
44
Colombia, E. C. (27 de 7 de 2000). LEY 603 DE 2000. Recuperado el 26 de 5 de
2018, de http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=13960
45
COLOMBIA, E. C. (30 de 4 de 2018). LEY 719 DE 2001. Recuperado el 26 de 5
de 2018, de
http://www.secretariasenado.gov.co/senado/basedoc/ley_0719_2001.html
48
COLOMBIA, E. C. (2018 de 4 de 30). LEY 463 DE 1998. Recuperado el 26 de 5
de 2018, de
http://www.secretariasenado.gov.co/senado/basedoc/ley_0463_1998.html
49
COLOMBIA, E. C. (30 de 4 de 2018). LEY 178 DE 1994. Recuperado el 26 de 5
de 2018, de http://www.wipo.int/edocs/lexdocs/laws/es/co/co073es.pdf
50
Colombia, E. C. (18 de 8 de 1999). Ley 527 de 1999 Nivel Nacional. Recuperado
el 26 de 5 de 2018, de https://www.ambitojuridico.com/noticias/tic/uso-de-medios-
electronicos-i-la-ley-527-de-1999-como-instrumento-normativo-suficiente
1460
54
COLOMBIA, E. C. (5 de 1 de 2009). LEY 1273 DE 2009. Recuperado el 26 de 5
de 2018, de http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34492
CNIS 2018 VIII Congreso Nacional de Innovación y Servicios Públicos – Glosario
Seguridad. [en línea], 2018 [revisado 29 octubre 2018]. Disponible en Internet:
http://www.cnis.es/glosario-seguridad/
2
CNIS 2018 VIII Congreso Nacional de Innovación y Servicios Públicos – Glosario
Seguridad. [en línea], 2018 [revisado 29 octubre 2018]. Disponible en Internet:
http://www.cnis.es/glosario-seguridad/
3
CNIS 2018 VIII Congreso Nacional de Innovación y Servicios Públicos – Glosario
Seguridad. [en línea], 2018 [revisado 29 octubre 2018]. Disponible en Internet:
http://www.cnis.es/glosario-seguridad/
4
CNIS 2018 VIII Congreso Nacional de Innovación y Servicios Públicos – Glosario
Seguridad. [en línea], 2018 [revisado 29 octubre 2018]. Disponible en Internet:
http://www.cnis.es/glosario-seguridad/
5
CNIS 2018 VIII Congreso Nacional de Innovación y Servicios Públicos – Glosario
Seguridad. [en línea], 2018 [revisado 29 octubre 2018]. Disponible en Internet:
http://www.cnis.es/glosario-seguridad/
6
CNIS 2018 VIII Congreso Nacional de Innovación y Servicios Públicos – Glosario
Seguridad. [en línea], 2018 [revisado 29 octubre 2018]. Disponible en Internet:
http://www.cnis.es/glosario-seguridad/
7
CNIS 2018 VIII Congreso Nacional de Innovación y Servicios Públicos – Glosario
Seguridad. [en línea], 2018 [revisado 29 octubre 2018]. Disponible en Internet:
http://www.cnis.es/glosario-seguridad/
9
CNIS 2018 VIII Congreso Nacional de Innovación y Servicios Públicos – Glosario
Seguridad. [en línea], 2018 [revisado 29 octubre 2018]. Disponible en Internet:
http://www.cnis.es/glosario-seguridad/
51
EL CONGRESO DE LA REPUBLICA DE COLOMBIA DECRETA. Ley 1273 de
2009 [En línea]. Bogotá. 2009., 1 p. disponible en
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34492
52
EL CONGRESO DE LA REPUBLICA DE COLOMBIA DECRETA. Ley 1266 de
2008 [En línea]. Bogotá. 2008., 1 p. disponible en
http://www.redipd.org/legislacion/common/legislacion/Colombia/LEY_1266_31_12_
2008_HabeasData_COLOMBIA.pdf
53
EL CONGRESO DE LA REPUBLICA DE COLOMBIA DECRETA. Ley 1266 de
2008 [En línea]. Bogotá. 2008., 5 p. disponible en
http://www.redipd.org/legislacion/common/legislacion/Colombia/LEY_1266_31_12_
2008_HabeasData_COLOMBIA.pdf
12
Gross, M. (2010). Conozca 3 tipos de investigación: Descriptiva, Exploratoria y
Explicativa. Pensamiento Imaginativo. Blog. Recuperado el 02 de febrero del 2017.
Disponible en: http://manuelgross.bligoo.com/conozca-3-tipos-de-
investigaciondescriptivaexploratoria-y-explicativa.
1461
19
Isotools. ISO 27001: La implementación de un Sistema de Gestión de Seguridad
de la Información, Blogs SGSI, 2015. Texto disponible en: https://www.pmg-
ssi.com/2015/01/iso-27001-la-implementacion-de-un-sistema-de-gestion-de-
seguridad-de-la-informacion/. Citado: 17 de sept. de 18
59
ITFIP, Institución de Educación Superior. Caracterización de Proceso
“Direccionamiento estratégico”. Lugar de Publicación: Espinal-Tolima, diciembre
de 2016. Pag: 1 [Consultado: 26 de septiembre de 2018]. Disponible en Internet:
https://www.ITFIP.edu.co/images/2015/CARACTERIZACION-
DIRECCIONAMIENTO-ESTRATEGICO-2015.pdf
61
ITFIP, Institución de Educación Superior. Control Interno. Lugar de Publicación:
Espinal-Tolima, diciembre de 2016. [Consultado: 26 de septiembre de 2018].
Disponible en Internet:
http://www.ITFIP.edu.co/institucional/estructura-administrativa/control-interno.html
63
ITFIP, Institución de Educación Superior. Gestión Jurídica. Lugar de Publicación:
Espinal-Tolima, diciembre de 2016. [Consultado: 26 de septiembre de 2018].
Disponible en Internet:
http://www.ITFIP.edu.co/institucional/estructura-administrativa/gestion-juridica.html
65
ITFIP, Institución de Educación Superior. Caracterización de proceso. Lugar de
Publicación: Espinal-Tolima, noviembre de 2014. [Consultado: 27 de septiembre
de 2018]. Disponible en Internet:
http://www.ITFIP.edu.co/images/2014/CARACTERIZACION%20DOCENCIA
%20%202014.pdf
67
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”.
Lugar de Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de
septiembre de 2018]. Disponible en Internet:
https://ITFIP.edu.co/images/2015/CARACTERIZAION-INVESTIGACION-2015.pdf
69
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”.
Lugar de Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de
septiembre de 2018]. Disponible en Internet:
https://www.ITFIP.edu.co/images/2015/CARACTERIZACION-PROYECCION-
SOCIAL-2015.pdf
71
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”.
Lugar de Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de
septiembre de 2018]. Disponible en Internet:
http://www.ITFIP.edu.co/procesos-academicos/oficina-de-admisiones-registro-y-
control-academico.html
73
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”.
Lugar de Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de
septiembre de 2018]. Disponible en Internet:
http://www.ITFIP.edu.co/institucional/estructura-administrativa/vicerrectoria-
academica/bienestar-universitario
75
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”.
Lugar de Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de
septiembre de 2018]. Disponible en Internet:
1462
https://ITFIP.edu.co/images/2014/CARACTERIZACION%20SERVICIOS
%20ACADEMICOS%202014.pdf
77
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”.
Lugar de Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de
septiembre de 2018]. Disponible en Internet:
https://www.ITFIP.edu.co/images/2015/CARACTERIZACION-GESTION-
ADMINISTRATIVA-2015.pdf
79
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”.
Lugar de Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de
septiembre de 2018]. Disponible en Internet:
http://www.ITFIP.edu.co/institucional/estructura-administrativa/vicerrectoria-
administrativa/gestion-financiera/almacén
81
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”.
Lugar de Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de
septiembre de 2018]. Disponible en Internet:
http://www.ITFIP.edu.co/institucional/estructura-administrativa/vicerrectoria-
administrativa/gestion-talento-humano.htm
83
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”.
Lugar de Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de
septiembre de 2018]. Disponible en Internet:
http://www.ITFIP.edu.co/institucional/estructura-administrativa/vicerrectoria-
administrativa/gestion-talento-humano/salud-ocupacional
85
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”.
Lugar de Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de
septiembre de 2018]. Disponible en Internet:
https://www.ITFIP.edu.co/images/2015/CARACTERIZACION-GESTION-
FINANCIERA-2015.pdf
87
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”.
Lugar de Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de
septiembre de 2018]. Disponible en Internet:
https://www.ITFIP.edu.co/images/2015/CARACTERIZACION-GESTION-
ADMINISTRATIVA-2015.pdf
89
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”.
Lugar de Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de
septiembre de 2018]. Disponible en Internet:
http://www.ITFIP.edu.co/institucional/estructura-administrativa/vicerrectoria-
administrativa/gestion-financiera/tesoreria
91
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”.
Lugar de Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de
septiembre de 2018]. Disponible en Internet:
http://www.ITFIP.edu.co/institucional/estructura-administrativa/vicerrectoria-
administrativa/gestion-financiera/contabilidad
93
ITFIP, Institución de Educación Superior. Caracterización de procesos “ITIFP”.
Lugar de Publicación: Espinal-Tolima, noviembre de 2015. [Consultado: 26 de
septiembre de 2018]. Disponible en Internet:
1463
https://www.ITFIP.edu.co/images/Institucional/ADMINISTRACIONDERIESGOSGE
STIONDECALIDAD2014.pdf
16
Mirabal Sarria y Maragoto Maragoto.” Propuesta de una guía de seguridad
informática integrada a la gestión de la calidad", Observatorio de la Economía
Latinoamericana, Nº 164, 2012. Texto disponible en:
http://www.eumed.net/cursecon/ecolat/cu/2012/. Citado: 17 de sept. de 18
22
RAE.REAL ACADEMIA ESPAÑOLA. Definición de Investigación, [Revisado 12
de Septiembre del 2018]. Disponible en Internet: http://dle.rae.es/?id=M3YxV5t
23
RAE.REAL ACADEMIA ESPAÑOLA. Definición de Análisis, [Revisado 12 de
Septiembre del 2018]. Disponible en Internet: http://dle.rae.es/?id=2Vga9Gy
24
RAE.REAL ACADEMIA ESPAÑOLA. Definición de Gestionar, [Revisado 12 de
Septiembre del 2018]. Disponible en Internet: http://dle.rae.es/?id=JAQijnd
25
VIU. UNIVERSIDAD INTERNACIONAL DE VALENCIA. ¿Qué es la seguridad
informática y cómo puede ayudarme?, [Revisado 12 de Septiembre del 2018].
Disponible en Internet: https://www.universidadviu.com/la-seguridad-informatica-
puede-ayudarme/
26
RAE.REAL ACADEMIA ESPAÑOLA. Definición de Recolectar, [Revisado 12 de
Septiembre del 2018]. Disponible en Internet: http://dle.rae.es/srv/search?
m=30&w=recolectar
35
RAE.REAL ACADEMIA ESPAÑOLA. Definición de Software, [Revisado 12 de
Septiembre del 2018]. Disponible en Internet: http://dle.rae.es/?id=YErlG2H
36
RAE.REAL ACADEMIA ESPAÑOLA. Definición de Hardware, [Revisado 12 de
Septiembre del 2018]. Disponible en Internet: http://dle.rae.es/?id=K1Wwkf7
47
República, P. d. (13 de 12 de 2000). Decreto 2591 de 2000. Recuperado el 26
de 5 de 2018, de http://hdl.handle.net/11520/13737
1464
ANEXOS
Anexo A. Estado actual del departamento de Sistemas del ITFIP respecto a los dominios de la norma ISO
27001:2013
ANEXO A
DEPARTAMENTO DE
SISTEMAS DEL ITFIP
ESTADO ACTUAL DE LA SI CON
RESPECTO A LA ISO/IEC
27001:2013
1465
ESTADO ACTUAL DE LA SI CON RESPECTO ISO/IEC 270001:2013 EN EL
DEPARTAMENTO DE SISTEMAS DEL ITFIP
1466
CUESTIONARIO
1467
A5 Políticas de seguridad de la Información
Tabla 295. Análisis del cumplimiento del Dominio A5
1468
de la SI
Existen programas de formación en seguridad CS
A6 Organización para los empleados, clientes y terceros
de la SI
Existe un acuerdo de confidencialidad de CS
A6 Organización la información a la que se accede
de la SI
Se revisa la seguridad de la NC
A6 Organización organización periódicamente por una
de la SI empresa externa
Fuente: Autoría Propia.
1469
A8 Gestión de activos
Tabla 298. Análisis del cumplimiento del Dominio A8
A9 Control de acceso
Tabla 299. Análisis del cumplimiento del Dominio A9
1470
Existe una política de uso de los servicios de red CP
A9 Control de
accesos
Se asegura la ruta (path) desde el terminal al CS
A9 Control de servicio
accesos
Existe una autenticación de usuarios en CS
A9 Control de conexiones externas
accesos
A9 Control de Existe una autenticación de los nodos CP
accesos
A10 Criptografía
Tabla 300. Análisis del cumplimiento del Dominio A10
1471
A11 Seguridad física y del Entorno
Tabla 301. Análisis del cumplimiento del Dominio A11
Seguridad física y NC
A11 del Entorno Se incluye la seguridad en equipos móviles
1472
Seguridad en Existen contratistas externos para la gestión CP
A12 las operaciones de los Sistemas de Información
Existe un Plan de Capacidad para asegurar NC
Seguridad en la adecuada capacidad de proceso y de
A12 las operaciones almacén amiento
Seguridad en CS
A12 las operaciones Controles contra software maligno
Seguridad en CP
A12 las operaciones Existen rastros de auditoría
1473
A14 Adquisición, desarrollo y mantenimiento de sistemas
Tabla 304. Análisis del cumplimiento del Dominio A14
SECCIÓN DOMINIO ELEMENTO PARA EVALUAR HALLAZGO
Adquisición de
sistemas, desarrollo y Están establecidas las
A14 responsabilidades para controlar CS
mantenimiento
los cambios en equipos
Adquisición de Existen criterios de aceptación de
sistemas, desarrollo y nuevos SI, incluyendo
A14 CS
mantenimiento actualizaciones y nuevas
versiones
Adquisición de
sistemas, desarrollo y Se garantiza que la seguridad está
A14 implantada en los Sistemas de CS
mantenimiento
Información
Adquisición de
sistemas, desarrollo y
A14 Existe seguridad en las aplicaciones CS
mantenimiento
Adquisición de
sistemas, desarrollo y Existe seguridad en los
A14 ficheros de los sistemas CS
mantenimiento
Adquisición de
sistemas, desarrollo y Existe seguridad en los
A14 procesos de desarrollo, CS
mantenimiento
testing y soporte
Adquisición de CS
sistemas, desarrollo y Existen controles de seguridad
A14 para los resultados de los
mantenimiento
sistemas
Adquisición de CS
sistemas, desarrollo y
A14 Existe la gestión de los cambios en
mantenimiento
los SO
Adquisición de CS
sistemas, desarrollo y Se controlan las
A14 vulnerabilidades de los equipos
mantenimiento
Fuente: Autoría Propia.
1474
Tabla 305. Análisis del cumplimiento del Dominio A15
SECCIÓN DOMINIO ELEMENTO PARA EVALUAR HALLAZGO
Existe una política de seguridad
Relación con de la información para las
A15 proveedores relaciones con proveedores NC
1475
A17 Aspectos de seguridad de la información de la gestión de continuidad
de negocio
A18 Cumplimiento
RESULTADOS
1476
Tras el análisis se obtienen los siguientes resultados:
Tabla 309. Resumen resultados de la evaluación
Í
Dominio C C N te
S P C ms
Ev
alu
ad
os
A5 Políticas de seguridad de la información. 2 2 2 6
A6 Organización de la seguridad de la información 4 2 2 8
A7 Seguridad de los recursos humanos (RRHH) 5 2 2 9
A8 Gestión de activos 1 3 2 6
A9 Control de accesos 12 5 1 18
A1 Criptografía 3 0 0 3
0
A1 Seguridad física y del entorno 2 6 2 10
1
A1 Seguridad de las operaciones 6 3 2 11
2
3 1 1
A1 Seguridad de las comunicaciones 5
3
9 0 0 9
A1 Adquisición, desarrollo y mantenimiento de sistemas
4
A1 Relación con los proveedores 3 1 0 4
5
1 5 0 6
A1 Gestión de incidentes de seguridad de la información
6
A1 Aspectos de seguridad de la información de la gestión de 4 1 0 5
7 continuidad del negocio
2 3 0 5
A1 Cumplimiento
8
Suma 57 34 14 105
total
Fuente: Autoría Propia.
1477
Anexo B. Cronograma de Actividades
ANEXO B
CRONOGRAMA DE
ACTIVIDADES.
1478
Tabla 310. Cronograma de Actividades del Proyecto.
DÍAZ
JOSÉ LUIS CASILIMAS Marzo 1 del Marzo 10
1 Elección del tema 10 días
MARTÍNEZ 2018 del 2018
LUIS JHON FELIPE
CALDERON CARDENAS
ANDRÉS FELIPE
Identificar las BOCANEGRA QUINTANA
capacidades, CRISTHIAN CAMILO Marzo 11 Marzo 22
1.1 22 días
información y soportes VELASCO NARVÁEZ del 2018 del 2018
disponibles JORGE BLADIMIR CAICEDO
TAVERA
Determinar factibilidad CESAR CAMILO BARRERO Marzo 23 Marzo 31
1.2 9 días
de la implementación DÍAZ del 2018 del 2018
1479
JOSÉ LUIS CASILIMAS
del sistema de gestión
MARTÍNEZ
de la seguridad de la
LUIS JHON FELIPE
información
CALDERON CARDENAS
CESAR CAMILO BARRERO
DÍAZ
Investigar normas y
JOSÉ LUIS CASILIMAS Abril 1 del Abril 7 del
1.3 estándares actuales de 7 días
MARTÍNEZ 2018 2018
la institución
LUIS JHON FELIPE
CALDERON CARDENAS
CESAR CAMILO BARRERO
DÍAZ
Identificar los recursos JOSÉ LUIS CASILIMAS Abril 8 del Abril 17 del
1.4 10 días
necesarios MARTÍNEZ 2018 2018
LUIS JHON FELIPE
CALDERON CARDENAS
ORGANIZACIÓN
1480
MARTÍNEZ
permisos para las
LUIS JHON FELIPE
entrevistas
CALDERON CARDENAS
CESAR CAMILO BARRERO
Realizar las diferentes
DÍAZ
entrevistas a los
JOSÉ LUIS CASILIMAS Mayo 16 Junio 2 del
1.8 principales encargados 18 días
MARTÍNEZ del 2018 2018
de la dependencia de
LUIS JHON FELIPE
sistemas
CALDERON CARDENAS
CESAR CAMILO BARRERO
Tomar fotos de las DÍAZ
diferentes estaciones de JOSÉ LUIS CASILIMAS Junio 3 del Junio 5 del
1.9 3 días
trabajo de los miembros MARTÍNEZ 2018 2018
de la dependencia LUIS JHON FELIPE
CALDERON CARDENAS
CESAR CAMILO BARRERO
Realizar las diferentes
DÍAZ
tomas fotográficas de la
JOSÉ LUIS CASILIMAS Junio 6 del Junio 7 del
1.10 sala de servidores y sus 2 días
MARTÍNEZ 2018 2018
canaletas
LUIS JHON FELIPE
correspondientes
CALDERON CARDENAS
1481
HERNÁNDEZ
organización para los
MAYCOL ALEJANDRO
procesos de seguridad
RODRIGUEZ RAMIREZ
DANIEL STEVEN POLO
LOZANO
Políticas de los DIEGO ARMANDO RIVERA Junio 26 Junio 30
2.2 5 días
sistemas de información HERNÁNDEZ del 2018 del 2018
MAYCOL ALEJANDRO
RODRIGUEZ RAMIREZ
DANIEL STEVEN POLO
LOZANO
DIEGO ARMANDO RIVERA Julio 1 del Julio 7 del
2.3 Seguridad RRHH 7 días
HERNÁNDEZ 2018 2018
MAYCOL ALEJANDRO
RODRIGUEZ RAMIREZ
DANIEL STEVEN POLO
LOZANO
DIEGO ARMANDO RIVERA Julio 8 del Julio 17 del
2.4 Gestión de activos 10 días
HERNÁNDEZ 2018 2018
MAYCOL ALEJANDRO
RODRIGUEZ RAMIREZ
CESAR CAMILO BARRERO
DÍAZ
JOSÉ LUIS CASILIMAS Julio 18 del Julio 24 del
2.5 Controles de acceso 7 días
MARTÍNEZ 2018 2018
LUIS JHON FELIPE
CALDERON CARDENAS
JUAN CAMILO GALINDO
Seguridad física y MONCALEANO Julio 25 del Agosto 4
2.6 11 días
ambiental JUAN CARLOS GALVIS 2018 del 2018
LOZANO
1482
NATALY JULIETH HUERTAS
ACOSTA
JUAN CAMILO GALINDO
MONCALEANO
Seguridad en las JUAN CARLOS GALVIS Agosto 5 Agosto 10
2.7 6 días
operaciones LOZANO del 2018 del 2018
NATALY JULIETH HUERTAS
ACOSTA
JUAN CAMILO GALINDO
MONCALEANO
Adquisición de
JUAN CARLOS GALVIS Agosto 11 Agosto 20
2.8 sistemas, desarrollo y 10 días
LOZANO del 2018 del 2018
mantenimiento
NATALY JULIETH HUERTAS
ACOSTA
JUAN CAMILO GALINDO
Información de los MONCALEANO
proveedores o JUAN CARLOS GALVIS Agosto 21 Agosto 25
2.9 5 días
prestación de servicios LOZANO del 2018 del 2018
adicionales NATALY JULIETH HUERTAS
ACOSTA
1483
MAYCOL ALEJANDRO
RODRIGUEZ RAMIREZ
DANIEL STEVEN POLO
LOZANO
Septiembre
Identificar controles de DIEGO ARMANDO RIVERA Septiembre
3.2 11 del 5 días
seguridad convenientes HERNÁNDEZ 7 del 2018
2018
MAYCOL ALEJANDRO
RODRIGUEZ RAMIREZ
DANIEL STEVEN POLO
LOZANO
Definición de matrices Septiembre
DIEGO ARMANDO RIVERA Septiembre
3.3 para determinar la 17 del 6 días
HERNÁNDEZ 12 del 2018
eficacia de los controles 2018
MAYCOL ALEJANDRO
RODRIGUEZ RAMIREZ
DANIEL STEVEN POLO
Definición de LOZANO
Septiembre
procedimientos para DIEGO ARMANDO RIVERA Septiembre
3.4 24 del 7 días
detectar y gestionar HERNÁNDEZ 18 del 2018
2018
incidentes de seguridad MAYCOL ALEJANDRO
RODRIGUEZ RAMIREZ
DANIEL STEVEN POLO
LOZANO
Identificación de los DIEGO ARMANDO RIVERA Septiembre Octubre 10
3.5 17 días
Activos HERNÁNDEZ 25 del 2018 del 2018
MAYCOL ALEJANDRO
RODRIGUEZ RAMIREZ
DANIEL STEVEN POLO
LOZANO
Dependencias entre Octubre 11 Octubre 21
3.6 DIEGO ARMANDO RIVERA 11 días
Activos del 2018 del 2018
HERNÁNDEZ
MAYCOL ALEJANDRO
1484
RODRIGUEZ RAMIREZ
DANIEL STEVEN POLO
LOZANO
Valoración de los DIEGO ARMANDO RIVERA Octubre 22 Octubre 26
3.7 5 días
Activos HERNÁNDEZ del 2018 del 2018
MAYCOL ALEJANDRO
RODRIGUEZ RAMIREZ
4.1 5 días
amenazas HERNÁNDEZ 2 del 2018 6 del 2018
MAYCOL ALEJANDRO
RODRIGUEZ RAMIREZ
CESAR CAMILO BARRERO
DÍAZ
Identificación de las Noviembre
JOSÉ LUIS CASILIMAS Noviembre
4.2 salvaguardas 12 del 6 días
MARTÍNEZ 7 del 2018
pertinentes 2018
LUIS JHON FELIPE
CALDERON CARDENAS
DANIEL STEVEN POLO
LOZANO Noviembre
Valoración de las Noviembre
4.3 DIEGO ARMANDO RIVERA 18 del 6 días
salvaguardas 13 del 2018
HERNÁNDEZ 2018
MAYCOL ALEJANDRO
1485
RODRIGUEZ RAMIREZ
CESAR CAMILO BARRERO
DÍAZ
Noviembre
Estimación del Estado JOSÉ LUIS CASILIMAS Noviembre
4.4 26 del 8 días
del Riesgo MARTÍNEZ 19 del 2018
2018
LUIS JHON FELIPE
CALDERON CARDENAS
DANIEL STEVEN POLO
LOZANO
DIEGO ARMANDO RIVERA Noviembre Diciembre
4.5 Estimación del Impacto 7 días
HERNÁNDEZ 27 del 2018 3 del 2018
MAYCOL ALEJANDRO
RODRIGUEZ RAMIREZ
CESAR CAMILO BARRERO
DÍAZ
Estimación de la JOSÉ LUIS CASILIMAS Diciembre Diciembre
4.6 4 días
probabilidad MARTÍNEZ 4 del 2018 7 del 2018
LUIS JHON FELIPE
CALDERON CARDENAS
DANIEL STEVEN POLO
LOZANO
Diciembre
Identificación de los DIEGO ARMANDO RIVERA Diciembre
4.7 13 del 6 días
riesgos HERNÁNDEZ 8 del 2018
2018
MAYCOL ALEJANDRO
RODRIGUEZ RAMIREZ
CESAR CAMILO BARRERO
DÍAZ
Diciembre
JOSÉ LUIS CASILIMAS Diciembre
4.8 Estimación del Riesgo 19 del 6 días
MARTÍNEZ 14 del 2018
2018
LUIS JHON FELIPE
CALDERON CARDENAS
1486
DANIEL STEVEN POLO
LOZANO
DIEGO ARMANDO RIVERA
HERNÁNDEZ
MAYCOL ALEJANDRO
RODRIGUEZ RAMIREZ
Diciembre
Entrega del documento Diciembre
4.9 21 del 2 días
SGSI 20 del 2018
2018
1487
Tabla 311. Cronograma de Actividades del proyecto, enfocado en el calendario.
1488
1489
1490
1491
1492