Dimenciones de Val

Tipo de activo Codigo Activo

Disponibilidad Integridad

SW-Ac1 Sistema Integrado de Servicios 5 5

Municipales

[SW] Software - Aplicaciones

informáticas

Sistema AME (Asociación de

SW-Ac2 Municipalidades Ecuatorianas) 5 4
Para la gestión contable

Arquitectura del sistema Ac2

[D] Datos / Información D-Ac3

[S] Servicios S-Ac5

[SI] Sistemas de Información
[HW] Equipamiento SI-Ac6
informático (hardware)
[COM] Redes de HW-Ac7
comunicaciones COM-Ac8
[Media] Soportes de informaciónM-Ac9
[AUX] Equipamiento auxiliar AUX-Ac10
[L] Instalaciones L-Ac11
[P] Personal P-Ac12
 Bajo 1
Medio 2
Alto 3
Dimenciones de Valoracion Catalogo de Amenazas
Muy Alto 4
Critico 5

Confidencialidad Autenticidad Trazabilidad TOTAL /25 Amenazas

[I.5] Avería de origen físico o
lógico

[E.1] Errores de los usuarios

[E.2] Errores del administrador

5 5 4 24 [E.8] Difusión de software

dañino
[E.9] Errores de
[re-]encaminamiento

[E.14] Escapes de información

[E.20] Vulnerabilidades de los

programas (software)
[E.10] Errores de secuencia
[E.15] Alteración accidental de
la información
[E.18] Destrucción de
información
5 4 4 22 [E.21] Errores de
mantenimiento / actualización
de programas (software)
[E.24] Caída del sistema por
agotamiento de recursos
[A.6] Abuso de privilegios de
acceso
0
0
[E.19] Fugas de información
[A.5] Suplantación de la
identidad del usuario

[A.7] Uso no previsto

[A.8] Difusión de software

dañino

[A.9] [Re-]encaminamiento de
mensajes

[A.10] Alteración de secuencia

[A.11] Acceso no autorizado

[A.15] Modificación deliberada
de la información

[A.18] Destrucción de
información

[A.19] Divulgación de
información

[A.22] Manipulación de
programas
[A.23] Manipulación de los
equipos
 Calculo del Riesgo
Insignificante 1 R= VA*FE
Improbable 1
Menor 2 Bajo 1--37
Moderado 3 FE = I*P Medio 38--74
Probable 2
Mayor 4 Alto 75--111
Catastrofico 5 Casi Seguro 3 Critico 112--375
Impacto Probabilidad Factor de Exposición RIESGO
5 2 10 240

4 1 4 96

4 2 8 192

5 2 10 240

4 1 4 96

5 2 10 240

4 2 8 192

1 1 1 22

3 1 3 66
 Tratamiento de los Riesgos

Bajo 1
Medio 2
Optimo 3
Control Eficiencia de Control
11 SEGURIDAD FÍSICA Y AMBIENTAL. 3
11.1 Áreas seguras.
11.1.1 Perímetro de seguridad física. 3
11.1.3 Seguridad de oficinas, despachos y recursos.
11.1.4 Protección contra las amenazas externas y
ambientales. 2
11.1.5 El trabajo en áreas seguras.
11.2 Seguridad de los equipos. 2
11.2.1 Emplazamiento y protección de equipos.
11.2.2 Instalaciones de suministro. 3
11.2.3 Seguridad del cableado.
11.2.4 Mantenimiento de los equipos.
3

11 SEGURIDAD FÍSICA Y AMBIENTAL.

11.1 Áreas seguras.
11.1.1 Perímetro de seguridad física.
11.1.2 Controles físicos de entrada.
11.1.3 Seguridad de oficinas, despachos y recursos.
11.1.4 Protección contra las amenazas externas y
ambientales.
11.1.5 El trabajo en áreas seguras.
11.2 Seguridad de los equipos.
11 SEGURIDAD FÍSICA Y AMBIENTAL.
11.1 Áreas seguras.
11.1.1 Perímetro de seguridad física.
11.1.2 Controles físicos de entrada.
11.1.3 Seguridad de oficinas, despachos y recursos.
11.1.4 Protección contra las amenazas externas y
ambientales.
11.1.5 El trabajo en áreas seguras.
11.2 Seguridad de los equipos.
11.2.1 Emplazamiento y protección de equipos.
11.2.2 Instalaciones de suministro.
11.2.3 Seguridad del cableado.
11.2.4 Mantenimiento de los equipos.
11.2.5 Salida de activos fuera de las dependencias de la
empresa.
13. SEGURIDAD EN LAS
TELECOMUNICACIONES.
13.1 Gestión de la seguridad en las redes.
13.1.1 Controles de red.
13.1.2 Mecanismos de seguridad asociados a servicios en
red.
13.1.3 Segregación de redes.
13.2 Intercambio de información con partes externas.
13.2.1 Políticas y procedimientos de intercambio de
información.
13.2.2 Acuerdos de intercambio.
 9. CONTROL DE ACCESOS.
9.1 Requisitos de negocio para el control de accesos.
9.1.1 Política de control de accesos.
9.1.2 Control de acceso a las redes y servicios asociados.

9.2 Gestión de acceso de usuario.

9.2.2 Gestión de los derechos de acceso asignados a
usuarios.
9.4 Control de acceso a sistemas y aplicaciones.
9.4.1 Restricción del acceso a la información.
9.4.3 Gestión de contraseñas de usuario.
9.4.4 Uso de herramientas de administración de sistemas.

12. SEGURIDAD EN LA OPERATIVA.

12.5 Control del software en explotación.
12.5.1 Instalación del software en sistemas en
producción.
12.6 Gestión de la vulnerabilidad técnica.
12.6.1 Gestión de las vulnerabilidades técnicas.
12.6.2 Restricciones en la instalación de software. 11.
SEGURIDAD FÍSICA Y AMBIENTAL. 11.2 Seguridad de los
equipos.
11.2.1 Emplazamiento y protección de equipos.
11.2.2 Instalaciones de suministro.
11.2.4 Mantenimiento de los equipos.
14. ADQUISICIÓN, DESARROLLO Y
MANTENIMIENTO DE LOS SISTEMAS
DE INFORMACIÓN.
14.1 Requisitos de seguridad de los sistemas de
información.
14.1.2 Seguridad de las comunicaciones en servicios
accesibles por redes
públicas.
14.1.3 Protección de las transacciones por redes
telemáticas.
14.2 Seguridad en los procesos de desarrollo y soporte.
14.2.1 Política de desarrollo seguro de software.
14.2.2 Procedimientos de control de cambios en los
sistemas.
14.2.3 Revisión técnica de las aplicaciones tras efectuar
cambios en el
sistema operativo.
14.2.6 Seguridad en entornos de desarrollo.
14.2.8 Pruebas de funcionalidad durante el desarrollo de
los sistemas.
14.3.1 Protección de los datos 16.
GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA
INFORMACIÓN.
16.1 Gestión de incidentes de seguridad de la
información y mejoras.
16.1.1 Responsabilidades y procedimientos.
16.1.2 Notificación de los eventos de seguridad de la
información.
16.1.3 Notificación de puntos débiles de la seguridad.
16.1.4 Valoración de eventos de seguridad de la
información y toma de
decisiones.
16.1.5 Respuesta a los incidentes de seguridad.
 INFORMACIÓN.
16.1 Gestión de incidentes de seguridad de la
información y mejoras.
16.1.1 Responsabilidades y procedimientos.
16.1.2 Notificación de los eventos de seguridad de la
información.
16.1.3 Notificación de puntos débiles de la seguridad.
16.1.4 Valoración de eventos de seguridad de la
información y toma de
decisiones.
16.1.5 Respuesta a los incidentes de seguridad.
16.1.6 Aprendizaje de los incidentes de seguridad de la
información.
16.1.7 Recopilación de evidencias.
 5. POLÍTICAS DE SEGURIDAD.
5.1 Directrices de la Dirección en seguridad de la
información.
5.1.1 Conjunto de políticas para la seguridad de la
información 8.
GESTIÓN DE ACTIVOS.
8.1 Responsabilidad sobre los activos.
8.1.1 Inventario de activos.
8.2 Clasificación de la información.
8.2.1 Directrices de clasificación.
8.2.2 Etiquetado y manipulado de la información.
8.3 Manejo de los soportes de almacenamiento.
8.3.1 Gestión de soportes extraíbles.
9. CONTROL DE ACCESOS.
9.1 Requisitos de negocio para el control de accesos.
9.1.1 Política de control de accesos.
9.1.2 Control de acceso a las redes y servicios asociados.
9.2 Gestión de acceso de usuario.
9.2.2 Gestión de los derechos de acceso asignados a
usuarios.
9.2.3 Gestión de los derechos de acceso con privilegios
especiales.
9.2.4 Gestión de información confidencial de
autenticación de usuarios.
9.2.5 Revisión de los derechos de acceso de los usuarios.
9.3 Responsabilidades del usuario.
9.3.1 Uso de información confidencial para la
autenticación.
9.4 Control de acceso a sistemas y aplicaciones.
9.4.1 Restricción del acceso a la información.
9.4.2 Procedimientos seguros de inicio de sesión.
9.4.3 Gestión de contraseñas de usuario.
9.4.4 Uso de herramientas de administración de sistemas.
12. SEGURIDAD EN LA OPERATIVA.
12.2 Protección contra código malicioso.
12.2.1 Controles contra el código malicioso. 13.
SEGURIDAD EN LAS TELECOMUNICACIONES.
13.1 Gestión de la seguridad en las redes.
13.1.1 Controles de red.
13.1.2 Mecanismos de seguridad asociados a servicios en
red
 Catalogo d

Tipo de
Riesgo Residual amenazas
80
32

96

[N]
Desastres
naturales
[I] De
origen
industrial
[E] Errores
[E] Errores
y fallos no
intencionado
s
[A] Ataques
intencionado
s
 Catalogo de Amenazas

Amenazas Tipo de activos

[HW] equipos informáticos

(hardware)
[N.1] Fuego

[Media] soportes de información

[AUX] equipamiento auxiliar
[HW] equipos informáticos
(hardware)
[N.2] Daños [Media] soportes de información
por agua
[AUX] equipamiento auxiliar
[L] instalaciones
[HW] equipos informáticos
(hardware)
[N.*] [Media] soportes de información
Desastres
naturales [AUX] equipamiento auxiliar
[L] instalaciones
[HW] equipos informáticos
(hardware)
[I.1] Fuego [Media] soportes de información
[AUX] equipamiento auxiliar
[I.1] Fuego

[L] instalaciones
[HW] equipos informáticos
(hardware)
[I.2] Daños
[Media] soportes de información
por agua
[AUX] equipamiento auxiliar
[L] instalaciones
[HW] equipos informáticos
[I.*] (hardware)
Desastres [Media] soportes de información
industriales [AUX] equipamiento auxiliar
[L] instalaciones
[HW] equipos informáticos
[I.3] (hardware)
Contaminaci
[Media] soportes de información
ón mecánica
[AUX] equipamiento auxiliar
[I.4] [HW] equipos informáticos
Contaminaci (hardware)
ón [Media] soportes de información
electromagn (electrónicos)
ética [AUX] equipamiento auxiliar

[SW] aplicaciones (software)

[I.5] Avería
de origen [HW] equipos informáticos
físico o (hardware)
lógico [Media] soportes de información
[AUX] equipamiento auxiliar
[HW] equipos informáticos
[I.6] Corte (hardware)
del
[Media] soportes de información
suministro
(electrónicos)
eléctrico
[AUX] equipamiento auxiliar
[I.7]
Condiciones [HW] equipos informáticos
inadecuadas (hardware)
de [Media] soportes de información
temperatura [AUX] equipamiento auxiliar
o humedad
[I.8] Fallo
de servicios
de [COM] redes de comunicaciones
comunicacio
nes

[I.9]
Interrupción
de otros
[AUX] equipamiento auxiliar
servicios y
suministros
esenciales
 [I.10]
Degradación
de los
soportes de [Media] soportes de información
almacenami
ento de la
información [HW] equipos informáticos
[I.11]
Emanacione (hardware)
s [Media] media
electromagn [AUX] equipamiento auxiliar
éticas [L] instalaciones
[D] datos / información
[E.1] [keys] claves criptográficas
Errores de [S] servicios
los usuarios [SW] aplicaciones (software)
[Media] soportes de información

[D] datos / información

[keys] claves criptográficas
[E.2] [S] servicios
Errores del [SW] aplicaciones (software)
administrad
or [HW] equipos informáticos
(hardware)
[COM] redes de comunicaciones
[Media] soportes de información
[E.3]
Errores de
[D.log] registros de actividad
monitorizaci
[E.4]
ón (log)
Errores de
[D.conf] datos de configuración
configuració
n
[E.7]
Deficiencias
[P] personal
en la
organización

[E.8]
Difusión de
[SW] aplicaciones (software)
software
dañino

[E.9]
[S] servicios [SW] aplicaciones
Errores de
(software) [COM] redes de
[re-]encamin
comunicaciones
amiento

[E.10] [S] servicios

Errores de [SW] aplicaciones (software)
secuencia [COM] redes de comunicaciones
[E.14]
Escapes de
información
[D] datos / información
[keys] claves criptográficas
[E.15]
Alteración
accidental
de la
información
[E.15]
Alteración [S] servicios [SW] aplicaciones
accidental (SW)
de la
información [COM] comunicaciones (tránsito)
[Media] soportes de información
[L] instalaciones

[D] datos / información

[E.18] [keys] claves criptográficas

Destrucción [S] servicios
de [SW] aplicaciones (SW)
información [COM] comunicaciones (tránsito)
[Media] soportes de información
[L] instalaciones
[D] datos / información
[keys] claves criptográficas
[S] servicios
[E.19] Fugas [SW] aplicaciones (SW)
de
información [COM] comunicaciones (tránsito)
[Media] soportes de información
[L] instalaciones
[E.20] [P] personal (revelación)
Vulnerabilid
ades de los [SW] aplicaciones (software)
[E.21]
programas
Errores de
(software)
mantenimie
nto /
[SW] aplicaciones (software)
actualizació
n de
programas
(software)
[E.23] [HW] equipos informáticos (hardware)
Errores de
mantenimie
[Media] soportes electrónicos
nto /
actualizació
n de equipos [AUX] equipamiento auxiliar
(hardware)

[E.24] Caída [S] servicios

del sistema
por [HW] equipos informáticos
agotamiento (hardware)
de recursos [COM] redes de comunicaciones
[HW] equipos informáticos
[E.25] (hardware)
Pérdida de
[Media] soportes de información
equipos
[AUX] equipamiento auxiliar
[E.28]
Indisponibili
[P] personal interno
dad del
personal

[A.3]
Manipulació
n de los
[D.log] registros de actividad
registros de
actividad
(log)

[A.4]
Manipulació
n de la [D.log] registros de actividad
configuració
n

[D] datos / información

[A.5]
Suplantació [keys] claves criptográficas
n de la
[S] servicios
identidad
del usuario [SW] aplicaciones (software)
[COM] redes de comunicaciones

[D] datos / información

[A.6] Abuso [keys] claves criptográficas

de [S] servicios
privilegios [SW] aplicaciones (software)
de acceso [HW] equipos informáticos
(hardware)
[COM] redes de comunicaciones
[S] servicios
[SW] aplicaciones (software)
[HW] equipos informáticos
[A.7] Uso (hardware)
no previsto
[COM] redes de comunicaciones
[AUX] equipamiento auxiliar
[L] instalaciones
[A.8]
Difusión de
[SW] aplicaciones (software)
software
dañino

[A.9] [S] servicios

[Re-]encami
namiento de [SW] aplicaciones (software)
mensajes [COM] redes de comunicaciones

[A.10] [S] servicios

Alteración
de secuencia [SW] aplicaciones (software)
[COM] redes de comunicaciones
[D] datos / información

[A.11]
 [keys] claves criptográficas
[S] servicios
[SW] aplicaciones (software)
[A.11]
[HW] equipos informáticos
Acceso no
(hardware)
autorizado
[COM] redes de comunicaciones
[Media] soportes de información
[AUX] equipamiento auxiliar
[L] instalaciones
[A.12]
Análisis de [COM] redes de comunicaciones
tráfico
[A.13] [S] servicios
Repudio [D.log] registros de actividad
[A.14]
Interceptaci
ón de [COM] redes de comunicaciones
información
(escucha)

[D] datos / información

[A.15] [keys] claves criptográficas
Modificació
n deliberada [S] servicios (acceso)
de la [SW] aplicaciones (SW)
información [COM] comunicaciones (tránsito)
[Media] soportes de información
[L] instalaciones

[D] datos / información

[A.18]
Destrucción [keys] claves criptográficas
de [S] servicios (acceso)
información [SW] aplicaciones (SW)
[Media] soportes de información
[L] instalaciones
[D] datos / información

[A.19] [keys] claves criptográficas

Divulgación [S] servicios (acceso)
de [SW] aplicaciones (SW)
información [COM] comunicaciones (tránsito)
[Media] soportes de información
[L] instalaciones
[A.22]
Manipulació
[SW] aplicaciones (software)
n de
programas
[A.23] [HW] equipos
Manipulació
n de los [Media] soportes de información
equipos [AUX] equipamiento auxiliar
[S] servicios
[A.24]
[HW] equipos informáticos
Denegación
(hardware)
de servicio
[COM] redes de comunicaciones
[HW] equipos informáticos
(hardware)
[A.25] Robo
[Media] soportes de información
[AUX] equipamiento auxiliar
[HW] equipos informáticos (hardware)
[A.26]
Ataque [Media] soportes de información
destructivo [AUX] equipamiento auxiliar
[L] instalaciones
[A.27]
Ocupación [L] instalaciones
enemiga
[A.29]
[P] personal interno
Extorsión
[A.30]
Ingeniería
[P] personal interno
social
(picaresca)
 Valores

Valor del Activo

Activo Vulnerabilidad

Ausencia de esquemas de
mantenimiento periódico

A1 Susceptibilidad a la humedad, suciedad

Conexión deficiente de los Cables

A2 Cableado inapropiado

Cableado estructurado deficiente

A3
No existe antivirus licenciado
Control de acceso inadecuado

Susceptible a la humedad o la suciedad.

Falta de mantenimiento
A4
Ubicación en un área susceptible

No existe antivirus licenciado

Susceptible a la humedad o la suciedad.

Falta de mantenimiento
A5
Inexistencia de sistemas de alimentación
alterno

Susceptible a la humedad o la suciedad.

Falta de mantenimiento
A6 Inexistencia de sistemas de alimentación
alterno

Susceptible a la humedad o la suciedad.

Ubicación en un área susceptible

A7
Control de acceso inadecuado
A8 Susceptibilidad a la variación de voltaje

Mantenimiento insuficiente/ instalación

fallida de los medios de
A9 almacenamiento.

Control de acceso inadecuado

A10 Ausencia de documentación
A11 No existe antivirus licenciado

A12 Ausencia de documentación

Gestión de pistas de auditoria
A13
Ausencia de

Parches de seguridad Desactualizados

A14
Almacenamiento sin protección

Disponibilidad en el sistema
A15
Inadecuado control de cabios

Software Nuevo
Descarga y uso no controlado de
A16
software
Falta de licencias
Falla de capacitación / procedimientos
documentados

Software ampliamente distribuido

A17
Modificación, eliminación de datos por
usuario autorizado y/o no autorizado

Gestión deficiente de contraseñas

Disponibilidad en el Sistema

A18 Perdida de Información

Inadecuado control de acceso

A19 Configuración incorrecta
A20 Configuración Incorrecta de parámetros
 Cálculo del riesgo
Valor del FE
Probabilidad
Impacto

(R)
Amenaza

Destrucción de equipos o medios

Polvo o corrosión

Falla del equipo de telecomunicaciones

Fallas en los sitemas

Desconexión de Red

Código malicioso (Virus, Troyanos, Etc.)

Acceso fisco no autorizado

Polvo o corrosión

Falla/ Daño del equipo

Daño por fuego, Daño por agua

Código malicioso (Virus, troyano, etc.)

Polvo o corrosión

Falla/ Daño del equipo

Falla de suministro de energía

Polvo o corrosión

Falla/ Daño del equipo

Falla de suministro de energía

Polvo o corrosión

Daños por Fuego, Daño por agua

Acceso físico no autorizado
Perdida en el suministro de energía
Falla del equipo

Falla/Daño del equipo

Acceso físico no autorizado

Error en el Uso, Error de Usuario
Código malicioso (Virus, Troyano)

Error en el Uso, Error de Usuario

Abuso de los derechos

Error en el Uso

Manipulación de Base de datos a través

de líneas de comandos de forma remota
por terceros.

Hurto de información

Negación del servicio

Interrupción de servicio durante la
instalación/actualización
Mal Funcionamiento del Software

Manipulación de Software

Uso de software sin licencia

Error de operación personal

Corrupción de Datos

Control de acceso inadecuado

Falsificación de derechos

Negación del Servicio

Ataque contra el sistema

Acceso no autorizado
Ataques Contra los sistemas
Errores de configuración
 Tratamiento del Riesgo

Nivel del Eficiencia de

Elección de opciones Controles
riesgo controles

Mitigar, Evitar, Transferir el

riesgo
Mitigar, Evitar, Transferir el
riesgo
Mitigar, Evitar, Transferir el
riesgo

Aceptar, evitar el riesgo

Acepar, Evitar el riesgo

Aceptar el Riesgo

Aceptar el riesgo

Aceptar, Evitar el riesgo

Aceptar el riesgo
Aceptar el riesgo

Aceptar el riego

Aceptar, Evitar el riesgo

Aceptar, Evitar el riesgo

Aceptar, Evitar el Riesgo

Aceptar el Riesgo

Mitigar, Evitar, Trasferir el

riesgo

Mitigar, Evitar, Trasferir el

riesgo

Evitar el riesgo

Aceptar el riesgo

Mitigar, Evitar, Transferir el

riesgo

Mitigar, Evitar, Transferir el

riesgo
Evitar el Riesgo
Mitigar, Evitar el riesgo