Escolar Documentos
Profissional Documentos
Cultura Documentos
en sistemas 16 GESTIN 9 GESTIN 6 GESTIN 4 GESTIN 7 GESTIN 61 GESTIN 1 GESTIN 17 GESTIN 63 GESTIN 70 10 77 11 37 12 8 13 51 74 73 5 76 INFRAESTRU CTURA INFRAESTRU CTURA INFRAESTRU CTURA INFRAESTRU CTURA INFRAESTRU CTURA INFRAESTRU CTURA INFRAESTRU CTURA INFRAESTRU CTURA INFRAESTRU CTURA INFRAESTRU CTURA INFRAESTRU CTURA INFRAESTRU CTURA INFRAESTRU CTURA Desarrollar productos que no cumplen con las especificaciones Falta de tratamiento de riesgos de TI Introduccin de Tecnologa No contar con presupuesto necesario para ejecutar proyectos No contar con un procedimiento para Cambios en equipos crticos en produccin No se cuenta o no se aplica el procedimiento definido para la asignacin, atencin y seguimiento a incidentes Quiebra de Un Proveedor. Respuesta lenta a un incidente Se realizan cambios en la configuracin de componentes de la infraestructura y no son documentados Climaticos Dao fsico en los equipos de la plataforma tecnolgica Falla en el equipo de telecomunicaciones (interno) Falla en sistemas informticos (Software) Fallas en equipos que mantienen el medio ambiente apropiado para las operaciones de TI Fallas en Servidores (Hardware) Instalaciones fsicas mal diseadas que pongan en peligro la integridad del equipos crticos. Interrupcin de Servicios de Comunicacin (Externo) Sobre carga elctrica Inundacin Meteologicos Obsolescencia de tecnologa Perdida de suministro de energa
eqwe
TIPO DE AMENAZA GESTION GESTION GESTION GESTION GESTION GESTION GESTION GESTION GESTION GESTION GESTION GESTION
NATURALES
NATURALES INFRAESTRU CTURA INFRAESTRU Perdida de servicios esenciales CTURA INFRAESTRU CTURA INFRAESTRU CTURA INFRAESTRU CTURA INFRAESTRU CTURA INFRAESTRU CTURA INFRAESTRU CTURA NATURALES NATURALES NATURALES
15 71 19 72 57 92 21 91 93 98 22 23 24 95 25 26 27 28 29
INFRAESTRU CTURA INFRAESTRU CTURA INFRAESTRU CTURA INFRAESTRU CTURA RECURSO HUMANO RECURSOS HUMANOS RECURSOS HUMANOS RECURSOS HUMANOS RECURSOS HUMANOS RECURSOS HUMANOS RECURSOS HUMANOS RECURSOS HUMANOS RECURSOS HUMANOS RECURSOS HUMANOS SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD
Rayos Sismicos Versiones de software desactualizadas Volcanicos Manejo inadecuado de datos crticos Abuso de derechos Equipo de trabajo no comprometido y con baja motivacin Error en el uso de equipos o sistemas Falsificacin de derechos Intrusos Perdida definitiva del personal clave.(Despido, Renuncia, o Muerte) Perdida temporal del Personal Clave Personal no cuenta con las actitudes y aptitudes requeridas Pirateria informatica Acceso electrnico no autorizado a sistemas externos Acceso electrnico no autorizado a sistemas internos Acceso no autorizado a informacin Acceso no autorizado al CPD Allanamiento Alteracin o prdida de la informacin registrada en la Base de Datos o equipos Ataques Externos (Hackers) Ausencia de Detectores de humo Ausencia de Detectores de calor Ausencia de Detectores de humedad Cdigo Malicioso presente
NATURALES NATURALES
NATURALES
NATURALES RECURSO HUMANO RECURSO Compromiso de las funciones HUMANO RECURSO HUMANO RECURSO Compromiso de las funciones HUMANO RECURSO Compromiso de las funciones HUMANO RECURSO Acciones no autorizadas/Compromiso de HUMANO RECURSO HUMANO RECURSO HUMANO RECURSO HUMANO RECURSO Acciones no autorizadas/Compromiso de HUMANO SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD Acciones no autorizadas SEGURIDAD Acciones no autorizadas SEGURIDAD Compromiso de la informacin SEGURIDAD SEGURIDAD
33 SEGURIDAD Colocacin de informacin privada o inapropiada en Internet 88 90 82 60 SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD Copia fraudulenta del software Corrupcin de datos Divulgacin Equipo de usuario final inseguro
34 SEGURIDAD 20 SEGURIDAD 78 SEGURIDAD 35 SEGURIDAD 39 80 79 41 42 86 43 83 84 SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD
Errores en la creacin de usuarios y en la asignacin de privilegios Errores en Programas Escuha encubierta Exposicin o extravo de equipo, unidades de almacenamiento, etc. Fraude Hurto de equipo Hurto de medios o documentos Instalacin de parches Intrusos Maliciosos (Internet - Intranet) Mal funcionamiento del software Manejo inadecuado de contraseas Manipulacin con hardware Manipulacin con software No aplicacin de las polticas para la generacin de copias de respaldo Perdida de Informacin Recuperacin de medios reciclados o desechados Robo de Discos o Cintas Robo Porttil Personal Clave Robo Tecnologa (Servidores) Robo (fsico) Robo de medios o documentos Saturacin del sistema de informacin
SEGURIDAD SEGURIDAD Compromiso de la informacin SEGURIDAD SEGURIDAD SEGURIDAD Compromiso de la informacin SEGURIDAD Compromiso de la informacin SEGURIDAD SEGURIDAD SEGURIDAD Fallas tcnicasSEGURIDAD SEGURIDAD Compromiso de la informacin SEGURIDAD Compromiso de la informacin SEGURIDAD SEGURIDAD SEGURIDAD Compromiso de la informacin SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD Compromiso de la informacin SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD Acciones no autorizadas SEGURIDAD SEGURIDAD SEGURIDAD
64 SEGURIDAD Sistemas sin mecanismos de trazabilidad de transacciones 18 52 53 87 54 55 SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD SEGURIDAD Trabajar directamente en equipo en Produccin Transmisin no cifrada de datos Uso de software no autorizado Uso no autorizado del equipo Violacin Accesos Lgicos Violacin Privacidad
PO DE AMENAZA
FRAESTRUCTURA
Descripcin Riesgos relacionados con la ausencia o aplicacin incorrecta de mtodos de gestin de las tecnologas de informacin y comunicaciones. Incumplimiento de directrices, procedimientos, metodologas y estndares en los procesos operativos relacionados a tecnologa de la informacin. Riesgos relacionados con las fallas potenciales de la infraestructura tecnolgica. Eventos que atentan contra la confidencialidad, integridad y disponibilidad de la informacin. Relacionados con el desempeo y regularidad de los recursos humanos.
N CATEGORA 2 y 9 GESTIN
DESCRIPCIN V Obsolescencia de documentacin PNP's relacionados a Tecnologa y Seguridad de la Informacin Incumplimiento a la reglamentacin del ente regulador
GESTIN
59
GESTIN
16
GESTIN
Ausencia de controles de Sin garanta o contratos de No contar con Garanta y Contratos de mantenimiento para equipos y software base que mantengan los procesos criticos solvencia de empresas Quiebra de proveedor R mantenimiento del Nucleo Financiero proveedoras, y clausulas de respaldo Falta de controles Fraude informatico o error Informacin comprometida documentados para V Inexistentes o deficientes controles cruzados para garantizar la integridad de la informacin en sistemas humano en su integridad garantizar la integridad de la informacin Falta de controles Fraude informatico o error Software no cumple con documentados de R Obtener o desarrollar productos que no cumplen con las especificaciones del area solicitante humano requisitos validacin de entrada, proceso y salida Amenazas externas cambiantes Sin Presupuesto Falta de gestin de riesgos Perdida en la tecnologa y TI el negocio no previstos Falta de Presupuesto Proyectos estancados R Ausencia o deficiente de gestin de riesgos de Tecnolgicos R No contar con presupuesto necesario para ejecutar proyectos relacionados a temas de Tecnologa y su segurizacin
9 4
GESTIN GESTIN
GESTIN
Hackeo
No contar o no cumplir Perdida en la con un procedimiento para disponibilidad, integridad cambios y pases a produccin en equipos y/o confidencialidad en los servicios o la informacin crticos (hardware y software) Perdida en la disponibilidad, integridad y/o confidencialidad en los servicios o la informacin
No contar o no cumplir con un procedimiento para cambios y pases a produccin en equipos crticos (hardware y software)
61
GESTIN
Fallas tcnicas -falla o mal funcionamiento en equipo, Saturacin del Sist Inf, Mal funcionamiento del software No se documentan cambios en infraestructura
No contar con procedimientos para respuesta efectiva a incidentes relacionados a Tecnologa y Seguridad de la informacin
63
GESTIN
GESTIN
Compromiso de las Incumplimiento con ente Ausencia o deficiente funciones: regulador,servicios e control de cumplimiento, y - error en el uso, abuso de informacin se encuentran pistas de seguimiento derechos, falsificacin de comprometidos, imagen (logs) derechos del negocio comprometida Eventos Naturales - climaticos, sismicos, inundacin, rayos
R Errores o fraude realizado por personal interno o externo con credenciales de otros.
GESTIN
CATEGORA
10 INFRAESTRUCTURA 13 INFRAESTRUCTURA 77 INFRAESTRUCTURA 11 INFRAESTRUCTURA 11 INFRAESTRUCTURA 12 INFRAESTRUCTURA 12 INFRAESTRUCTURA 37 INFRAESTRUCTURA 37 INFRAESTRUCTURA 8 INFRAESTRUCTURA
AMENAZA Accidentes fsicos a la plataforam tecnolgica Interrupcin comunicaciones (Externo) Falla en equipo de comunicaciones (interno) Falla en sistemas de informacin criticos (Software) Falla en software de base (Software)
VULNERABILIDAD Descuido o negligencia del personal Contar con un proveedor y un canal de comunicacin Ausencia o debilidades en mantenimiento y soporte Ausencia o debilidades en mantenimiento y soporte
RIESGO Disponibilidad de los servicios y la informacin Disponibilidad de los servicios Disponibilidad de los servicios Disponibilidad de los servicios y la informacin Disponibilidad de los servicios y la informacin Disponibilidad de los servicios y la informacin Disponibilidad de los servicios y la informacin Se compromete el funcionamiento del hardware Se compromete el funcionamiento del hardware Se compromete el funcionamiento del hardware, y los servicios Se compromete el funcionamiento del hardware, y las instalaciones Se compromete el funcionamiento del hardware, y las instalaciones
DESCRIPCIN R A R R R R R V V V Dao fsico en los equipos de la plataforma tecnolgica por accidentes Interrupcin de Servicios de Telecomunicacin (Externo) Fallas en equipo de comunicaciones (interno) que comprometan la disponibilidad del servicio que soporta los procesos del negocio Falla en sistemas de informacin criticos (Software) que comprometan la disponibilidad de los servicios que atienden lo procesos del negocio Falla en software de base (Software) que comprometan la disponibilidad del servicio que soporta los procesos del negocio Fallas en Servidores (Hardware) que comprometan la disponibilidad del servicio que soporta los procesos del negocio Fallas en Servidores (Hardware) que comprometan la disponibilidad del servicio que soporta los procesos del negocio Fallas en equipos que mantienen el medio ambiente apropiado para las operaciones de TI Fallas en equipos que mantienen el medio ambiente apropiado para las operaciones de TI Instalaciones fsicas no diseadas apropiadamente que pongan en peligro la integridad del equipos crticos. Consumo en corriente elctrica supera los lmites establecidos en la instalacin o equipo elctrico, poniendo en riesgo el mismo y su entorno Determinacin de factores de prdida de energa a causa del proveedor (corte de luz) o incidentes externos (falla en transformador) Versiones de software de base desactualizadas Versiones de software Sistemas de informacin desactualizados, distintas rea trabajan con versiones diferentes. Obsolecencia Tecnologica (Hardware y Software)
51 INFRAESTRUCTURA
Ausencia o debilidades en mantenimiento y soporte Ausencia o debilidades en Fallas en Servidores (Hardware) mantenimiento y soporte Fallas en Equipos de comunicacin Ausencia o debilidades en (Hardware) mantenimiento y soporte Medio ambiente no apropiado Condiciones inadecuadas de CPD humedad y temperatura Medio ambiente no apropiado Condiciones inadecuadas de Nodos de comunicacin humedad y temperatura Instalaciones no equipadas lo Instalaciones fsicas deficientes suficiente y /o que no cuentan analisis estructural Edificaciones con cableado elctrico subdimensionado, Sobrecarga elctrica enplame en enchufes o sobrecatga de tomacorrientes. Perdida de suministro de energa Debilidades en equipos de suministro de emergencia
76 INFRAESTRUCTURA
No se cuentan con actualizaciones Disponibilidad de los servicios y la y partches oportunamente informacin Disponibilidad de los servicios y la informacin Disponibilidad de los servicios y la informacin
V V V
Errores o intrusin en sistemas de Versin Sistemas informacin informacin desactualizada Tecnologa no compatible o Tecnologa obsoleta soporte inexistente
CATEGORA
AMENAZA
VULNERABILIDAD
RIESGO R
57 RECURSO HUMANO
Fuga de informacin Defientes controles en por personal Divulgacin de informacin equipos y reas terciarizado o externo Fuga de informacin por personal interno Uso o abuso de credenciales en sistemas internos Baja productividad Defientes controles en Divulgacin de informacin equipos y reas Derechos mal utilizados Confidencialidad, Integridad de la informacin
R R
21 RECURSO HUMANO
Falta de motivacin del Errores en el procesamietno de la personal, personal informacin o ejecucind e descontento actividades Deficientes controles de ingreso, proceso y salida de infomracin Deficientes procedimientos de control de calidad de desarrollo
91 RECURSO HUMANO
Error humano
Integridad de la informacin
91 RECURSO HUMANO
93 RECURSO HUMANO
Acceso no autorizado a Carpetas compartidas informacin sin los controles confidencial necesarios
Confidencialidad de la informacin
22 RECURSO HUMANO
Personal no cuenta con los conocimientos, actitudes y aptitudes Disponibilidad de servicios e requeridas (interno), informacin para el manejo del rea ausencia de y los recursos documentacin de procesos y contraseas
23 RECURSO HUMANO
Personal de respaldo no capacitado, Personal no cuenta con los ausencia de conocimientos, actitudes y documentacin de aptitudes requeridas (interno) procesos y contraseas Debiles medidas para minimizar el impacto y para realizar el registro y trazabilidad de los eventos Falta de motivacin del personal, no concienza de seguridad de la informacin, y debiles mecanismos de control
82 RECURSO HUMANO
Extorsin
RECURSO HUMANO
Negligencia
Manejo inadecuado de informacin crtica (interno) Abuso de derechos en sistemas de informacin (interno)
Presin que se hace a una persona, mediante el uso de la fuerza o la intimidacin, para conseguir de ella dinero u otra cosa
N CATEGORA
AMENAZA
VULNERABILIDAD Debil conocimiento de medidas de seguridad a ser empleadas por usuarios internos, deficientes mecanismos y registros de seguimiento y control en los sistemas externos Debil conocimiento de medidas de seguridad a ser empleadas por usuarios, deficientes mecanismos y registros de seguimiento y control en los sistemas
RIESGO Acceso no autorizado a sistemas externos, confidencialidad de la R informacin, multas del ente regulador
DESCRIPCIN
DNS poisoning (Externo), Phishing, Troyanos, Codigo 25 SEGURIDAD Malicioso, Keylogger en equipos internos
Mecanismos de proteccin 27 SEGURIDAD Hackers y piratas informaticos insuficientes Mecnismos antiintrusin y control perimetral insuficientes
Acceso no autorizado a sistemas internos, R confidencialidad, integridad, disponibilidad Acceso fsico no autorizado al CPD o Nodo de comunicaciones R
28 SEGURIDAD
Acceso no autorizado a equipos o sistemas internos, A confidencialidad, disponibilidad Errores en operaciones que deben ser corregidas, y validacin de scripts previ a su utilizacin Alteracin no autorizado a la BD, integridad de la R informacin Imagen institucional R
30 SEGURIDAD
58 SEGURIDAD
Hackeo a informacin pblica Vulnerabilidades activas de la entidad Publicacin de informacin interna que no es pblica Debil conocimiento de medidas de seguridad a ser empleadas por usuarios Lineas de desarrollo y produccin no definidas claramente, mecanismos de control y seguimeinto debiles Mecanismos de resguardo y control de sistemas debiles
Ataques Externos (Hackers) Colocacin de informacin privada o inapropiada en Internet que comprometa la imagen y seguridad de la entidad
33 SEGURIDAD
Acceso no autorizado a codigo fuente de sistemas criticos, confidencialidad, integridad y disponibilidad. Perdida monetaria en licencias y activos de la entidad
88 SEGURIDAD
Estaciones vulnerables
34 SEGURIDAD
Mecanismos de control Disponibilidad, integridad y debiles o toma de acciones no confidencialidad de la oportunas informacin Controles debiles en el desarrollo y la validacin del software antes de pasar a produccin Debil conocimiento de medidas de seguridad a ser empleadas por usuarios Mecanismos de seguridad o procedimientos debiles Exposicin de informacin reciclada Mecnismos antiintrusin y control perimetral insuficientes Mecnismos antiintrusin y control perimetral insuficientes Medidas de control y prevencin debiles Disponibilidad, integridad y confidencialidad de la informacin Robo de Claves o informacin a ser utilizada por un atacante Confidencialidad de la informacin Confidencialidad de la informacin Hurto de medios o documentos Disponibilidad, integridad y confidencialidad de la informacin Confidencialidad de la informacin Confidencialidad y Disponibilidad de la informacin Confidencialidad y Disponibilidad de la informacin Saturacin del sistema de informacin
79 SEGURIDAD
Mecnismos antiintrusin y control perimetral insuficientes Mecnismos antiintrusin y 45 SEGURIDAD Robo Tecnologa (Servidores) control perimetral insuficientes Mecnismos antiintrusin y Robo de medios o 49 SEGURIDAD control perimetral documentos insuficientes 47 SEGURIDAD Robo Porttil Personal Clave 85 SEGURIDAD Ataques de DoS (Externos) Mecanismos de control y prevencin no configurados adecuadamente Accesos libres, controles internos o acciones no tomadas a tiempo, concientizacin
53 SEGURIDAD
Observaciones del ente regulador, incumplimieto a politicas internas, uso ilegal R de software compromete al negocio Incumplimiento a politicas internas, uso ilegal de software compromete al negocio, fuga de informacin
Confidencialidad, integridad y disponibilidad de la R informacin, imagen institucional Confidencialidad, integridad y disponibilidad de la R informacin, imagen institucional Fuga de informacin R
Propagacin de virus
Fuga de informacin
CATEGORA
EVENTO Climaticos (lluvias, Calor, humedad, sequedad) Inundacin Metereolgicos Rayos Sismicos Volcanicos Fuego