Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

matriz de riesgo sistema de gestión de la seguridad de la información

Anuncio 
Código: A3-02-F-05
Versión: 01
MATRIZ DE RIESGO SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI
Pagina: Ver (Pie de pagina)
Gestión de Servicios tecnológicos en Metrología
RIESGO INHERENTE
EVALUACIÓN DEL RIESGO RESIDUAL
VALOR (PXI) (
INFORMACIÓN
ANTES DE
CONTROLES)
CRITERIOS ERCA
(Evitar, Reducir, Compartir,
Asumir)
HERRAMIENTAS PARA
EJERCER CONTROL
( 10 Puntos)
MANUALES,
INSTRUCTIVOS O
PROCEDIMIENTOS
( 15 Puntos)
EFECTIVIDAD DEL
CONTROL
( 30 Puntos)
RESPONSABLES DEL
CONTROL Y
SEGUIMIENTO
( 5 Puntos)
EL CONTROL ES
AUTOMATICO
(15 Puntos)
El CONTROL ES
MANUAL
(15 Puntos)
Preventivo
10
15
30
5
0
15
0
75
Acceso a la información y a las funciones de los sistemas de las
aplicaciones, se debe restringir su acceso.
Preventivo
10
15
0
5
0
15
0
45
Procedimientos establecidos y documentados para detectar o corregir
las fallas en el proceso rápidamente
Correctivo
10
15
0
5
0
15
0
45
Pérdida de la información durante la
recolección de datos en el proceso de
Calibración de Equipos
Desarrollo de campañas de concienciación en temas de seguridad de
la información en el proceso de Calibración de Equipos
Preventivo
10
0
0
0
0
0
0
10
El encargado del proceso no se encuentra
disponible.
Concientización del personal respecto a la seguridad de la información
Preventivo y Correctivo
en procedimientos concernientes a la calibración de los equipos.
10
0
0
0
0
0
0
10
Establecer con la subdirección un mecanismo de suplencia de
personal a los laboratorios
Preventivo
10
15
30
5
0
15
0
60
Preventivo
10
15
30
5
0
15
0
60
Preventivo
10
15
30
5
0
15
0
60
Preventivo
0
0
0
0
0
0
0
0
RIESGO
CAUSA
EFECTO - CONSECUENCIA
PROBABILIDA
D
IMPACTO
Alteración o eliminación de la información del
proceso de Calibración de Equipos
Indisponibilidad
del Servicio de
Calibración de
Equipos.
Recurso Humano
R1
R2
Falta de personal
debidamente
autorizado para la
realización de las
actividades del
proceso.
Robo de información sensible del proceso de
calibración de equipos
Demora en el envió de la Información al
usuario
Ausencia de transferencia de conocimiento y
falta de capacitación en los laboratorios
Inadecuada manipulación de los instrumentos
calibrados por parte de personal ajeno al área
encargada
Perdida de la continuidad del negocio,
servicios afectados para los usuarios
internos y externos.
Afectación a toda la Entidad
Fallas en procesos de seguridad de la
información, perdida o robo de
información de la entidad, Daños a los
bienes o propiedad del cliente.
4
4
5
4
20
16
EVITAR EL RIESGO por medio
de acciones de control
preventivo que permita reducir
la probabilidad de la ocurrencia
del riesgo detectado.
EVITAR EL RIESGO por medio
de acciones de control
preventivo que permita reducir
la probabilidad de la ocurrencia
del riesgo detectado.
No seguir el protocolo adecuado para el
manejo y manipulación de equipos.
Servicios
R3
R4
Interrupción
completa en la
continuidad del
negocio ( Daño en Eventos catastróficos: inundaciones,
incendios, terremotos.
Data Center,
Servicios
Tecnológicos y
pérdida de la
Diseño
inadecuado y/o
Ofertar servicios que no cuentan con un
inexistente para la
soporte y diseño previo.
prestación de
nuevos servicios
en laboratorios
Interrupción completa de los servicios
ofrecidos por el INM
Perdida de imagen ante los Usuarios del
país, incumplimiento en las condiciones
del servicio
3
4
5
3
Pérdida o corrupción de los datos
sistematizados del proceso de calibración de
equipos.
Datos/Información
Perdida de la información y posibles
Ataques a la integridad de los datos.
4
4
Capacitaciones, procedimientos establecido para la manipulación de
instrumentos calibrados y acompañamiento por parte del responsable
del proceso.
Capacitaciones, procedimientos establecido para la manipulación de
equipos.
190
Preventivo
10
15
0
0
0
15
0
40
Aseguramiento o hardening y respaldo de los archivos de control de
acceso a los usuarios
Preventivo
10
0
0
5
0
0
0
15
Preventivo
10
15
30
5
15
0
15
75
Preventivo
10
15
0
0
0
0
0
25
Preventivo
10
0
0
0
0
0
0
10
Correctivo
10
0
0
5
0
0
0
15
Correctivo
10
0
0
0
0
0
0
10
Monitoreo preventivo diario para determinar anormalidades en los
diferentes servicios de la aplicación y los servidores.
Preventivo
10
15
30
5
15
0
15
75
Realizar monitoreo diario del espacio en disco para evitar que el
tamaño de los logs desborde el espacio
Preventivo
10
15
30
5
15
0
15
75
Preventivo
10
0
0
5
0
0
0
15
16
Niveles de seguridad de la información
inadecuada
Fortalecimiento de la seguridad en perfiles, y acceso a aplicaciones
PROBABILIDAD
(SEGÚN
PONDERACIÓN DE
CONTROLES)
IMPACTO
(SEGÚN
PONDERACIÓN DE
CONTROLES)
VALORACIÓN DESPUÉS DE CONTROL
( NIVEL DE RIESGO)
0
40
125
4
4
3
4
4
3
2
5
3
2
12
8
15
12
8
4
Mal funcionamiento del software, retraso
en los procesos asociados a la aplicación
4
4
16
Bloqueo a nivel de servicios de la aplicación
Bloqueos a nivel de logs de aplicaciones
( congelamiento o intrusión)
3
12
R8
R9
R10
Indisponibilidad
del servidor o
equipos de
computo
Funcionamiento
inadecuado del
almacenamiento
Falta de espacio por alto consumo de recursos
Puertos abiertos y servicios asociados que
pueden causar la caída o falla de servidores
Perdida de la continuidad del negocio,
servicios afectados para los usuarios
internos y externos.
Afectación a toda la Entidad
4
4
16
Saturación de capacidad de almacenamiento.
Perdida de información
3
4
12
Reporte de alarmas en los arreglos de discos
Ausencia de
integridad de la
información en
Ataques informáticos frente a la seguridad de
las
la información.
comunicaciones
para el desarrollo
de los procesos
Perdida, robo o mala utilización de la
información.
4
5
20
EVITAR EL RIESGO por medio Realización del Mantenimiento adecuado
de acciones de control
preventivo que permita reducir
Restauración de pruebas de información / Transporte, custodia y
la probabilidad de la ocurrencia
almacenamiento técnico para salvaguardar la información contenida
del riesgo detectado.
en las cintas.
REDUCIR EL RIESGO por
medio de acciones de control
correctivas y preventivas que
permita evitar la ocurrencia del
riesgo
Se debe contar con el correspondiente plan de cambio y actualización
de equipos para evitar rezagos tecnológicos no programados
REDUCIR EL RIESGO por
medio de acciones de control Monitoreo diario con la herramienta disponible para tal fin.
correctivas y preventivas que
permita evitar la ocurrencia del
riesgo
Monitoreo diario con la herramienta disponible para tal fin.
EVITAR EL RIESGO por medio
de acciones de control
preventivo que permita reducir
la probabilidad de la ocurrencia
del riesgo detectado.
Realizar los correspondientes Backus para liberar espacio. Tareas
programadas y monitoreadas
Preventivo
10
15
30
5
15
0
15
75
Preventivo
10
15
0
5
15
0
15
45
Preventivo
10
15
30
5
15
0
15
75
25
4
4
16
RIESGO EXTREMO
R7
Funcionamiento
inadecuado del
aplicaciones de
software que
afectan el
proceso de
Afectación a la disponibilidad de acceso
al servicio o recurso del proceso de
calibración de equipos.
150
4
1
4
RIESGO BAJO
Preventivo y Detective
Afectación de la Falla en el software del repositorio Backus
disponibilidad del
respaldo de la
información en Corrupción de las cintas en el momento de
las copias y las restauración del Backus
los procesos
135
150
Contactar al proveedor para que atienda el servicio en discos de
servidores
REDUCIR EL RIESGO por
medio de acciones de control
Monitoreo preventivo para determinar anormalidades, fortaleciendo la
correctivas y preventivas que
seguridad activa de la red.
permita evitar la ocurrencia del
riesgo
Preventivo
10
15
30
5
15
0
15
75
Preventivo
10
0
0
0
0
0
0
10
OPCIÓN DE
MANEJO
(ACCIONES)
REGISTROS
RESPONSABLE
FECHA DE
TERMINACION.
Responsable del
proceso
2016-12-20
Subdirector de
Metrología de
Física y
Subdirector de
Metrología
Química y
Biomedicina.
2016-12-20
Responsable de
la seguridad de la
Información
2016-12-20
Reporte a Control
Actas de Reunión
Interno
175
12
Copias de seguridad, para tener respaldos y evitar daños, redundancia
EVITAR EL RIESGO por medio cíclica. Inclusión en el plan de Backus de todo el servidor para hacer
rollback
de acciones de control
preventivo que permita reducir
la probabilidad de la ocurrencia Crear procesos de mantenimiento mensual de las BD y depuración de
del riesgo detectado.
índices. Monitoreo de posibles intrusiones indebidas a las BD
TOTAL DE LA
PONDERACIÓN DEL
RIESGO
17
4
3
4
2
2
5
8
6
20
RIESGO ALTO
Equipos Informáticos (Hardware)
Irregularidades encontradas en el proceso de Calibración de Equipos
deben ser reportadas a control interno disciplinario o a quien
corresponda antes de generar una sanción o amonestación.
PONDERACIÓN DE
CONTROLES
EVITAR EL RIESGO por medio
de acciones de control
Procedimiento "E1-02-P-07, Diseño y desarrollo productos y servicios
preventivo que permita reducir
nuevos".
la probabilidad de la ocurrencia
del riesgo detectado.
Obsolescencia Tecnológica
Redes de
Comunicaciones
TIPO DE CONTROL
REDUCIR EL RIESGO por
medio de acciones de control
Centro de datos alterno en donde se espera reconstituir y reanudar a
correctivas y preventivas que
la operación normal de los procesos vitales de la entidad
permita evitar la ocurrencia del
riesgo
de datos
R6
Software y/o
Aplicaciones
Afectación de la
integridad de los
datos
Insuficiencia en el aseguramiento de la base
CONTROLES - INM
15
Incumplimiento en las condiciones del servicio
para el cliente
R5
RIESGO RESIDUAL
FRECUENCIA DE
EJECUCIÓN DEL
CONTROL Y
SEGUIMIENTO
( 15 Puntos)
RIESGO EXTREMO RIESGO MODERADO
ACTIVO
IDENTIFICADOR
DE RIESGO
RIESGO ALTO
Macroproceso
RIESGO ALTO
Misional
RIESGO EXTREMO
Tipo de Proceso
RIESGO ALTO
Prestación de Servicios de Calibración y Ensayos
RIESGO ALTO
Proceso
Elaboración de
reportes de
acceso a los
Verificar Roles y
Responsabilidade
s
Reporte de fallas
Documento
Reuniones,
campañas,
Talleres y foros
Reuniones,
campañas,
Talleres y foros
Capacitaciones
Reuniones,
campañas,
Talleres y foros
Reuniones,
campañas,
Talleres y foros
Actas de Reunión
Actas de Reunión
Actas, listado de
asistencias,
Informes
Actas de Reunión
Actas, listado de
asistencias,
Informes
Elaborar el plan
de continuidad de Documentos
Negocio.
Diseño y/o
prototipo de
servicios nuevos,
de acuerdo con el
procedimiento E102-P-07 Diseño y
Realizar un
monitoreo al
Aseguramiento
Copias de
seguridad en
servidores de alta
Monitoreo de
Bases de Datos
Documentar la
seguridad en
perfiles de
Realizar el
contrato de
mantenimiento
Realizar el
contrato de
transporte y
custodia de cintas
de servidores
Formatos
establecidos en elResponsable del proceso 2016-12-20
procedimiento.
Análisis de los
Datos y Reportes
Registro de
Copias de
Seguridad
Registro de
Monitoreo de
Bases de Datos
Acta del
procedimiento de
salida de las
cintas
monitoreo de Logs
Reporte de
Actividad
Reporte Diario del
Trafico de la Red.
Responsable del
proceso
2016-12-20
Responsable del
proceso
2016-12-20
Responsable del
proceso
2016-12-20
Responsable del
proceso
2016-12-20
Responsable del
proceso
2016-12-20
Actas y
Documentos
Reporte de
Actividad
Reporte Semanal
de Backus de
servidores.
Reporte Semanal
de la ocupación
de Discos de
Servidores.
2016-12-20
Documento
Monitoreo de Logs
Elaboración del
plan de cambio y
Reporte Mensual
de análisis del
monitoreo
Reporte Mensual
de análisis del
monitoreo
destinado para la
Responsable del
proceso
Documento
Reporte de
Actividad
Reporte de
Actividad
Reporte de
Actividad
Reporte de
Actividad
Logs, y Reporte
de la Actividad
Documentos relacionados
gr-ra-p2-f4.doc
gr-ra-p2-f4.doc
INDICE Agradecimiento II Empresas y organismo que constituyen el
INDICE Agradecimiento II Empresas y organismo que constituyen el
cómo organizar, implementar y administrar un
cómo organizar, implementar y administrar un
Comunicado: trabajos de mantenimiento preventivo
Comunicado: trabajos de mantenimiento preventivo
Descargar
Anuncio
Anuncio