Hoja GRISCO 20170328 ES PaulinaOrtiz-Mcarrillo-UCE

0 0 157
157 0 0
0 157 0
157 0 78
240 240 240
217 217 244
129 196 244
248 154 68
253 221 191
ESCOJA LA OPCIÓN ESCOJA LA OPCIÓN
que viene de la agenda de la organización ambientales
resultante del entorno económico y político derivado de los procesos existentes
carácter cultural financiero
de carácter estratégico organizativo
de carácter politico métodos relacionados
estructural técnicas
funcional tiempo
presupuesto
metodos relacionados
talentos humanos
territoriales
RIESGOS RESIDUALES: ESCOJA EL TRATAMIENTO ESCOJA EL TRATAMIENTO
si la reducción del riesgo modificaciones de los riesgos
no retención de riesgos retención de riesgos
medidas para evitar el riesgo medidas para evitar el riesgo
la transferencia del riesgo compartir el riesgo
DEFINIR LAS CONSECUENCIAS: ACEPTACIÓN - DECISIÓN
s riesgos pérdida de confidencialidad estar de acuerdo
pérdida de la integridad tomar el riesgo
el riesgo pérdida de la disponibilidad hacer de nuevo el proceso
pérdida de autenticidad aplicar controles de compensación
pérdida financiera por re trabajo solicitar una evaluación técnica
afecta a la imagen y la reputación hacer un nuevo proyecto
pérdida financiera con una multa contractual o legale
Es un ejercicio de ficción con fines educativos y el nivel de comprensión. de la norma
27005
Sesión 2 Sesión 3 Sesión 4

Sesión 2
Objetivo: Aplicar los conocimientos adquiridos en la sesión 2. Comprender y desa
proceso de análisis de riesgos.
Recuerde, estas actividades deben realizarse en secuencia y con el acompañamiento

Para cualquier duda consulte al instructor.
Actividades - Sesión2
2.1 Establecer el Contexto
2.2 Análisis de las Restricciones
2.3 Definición del alcance
2.4 Criterios para la evaluación de

riesgos
prender y desarrollar el principio de un
acompañamiento de la norma 27005.

ructor.
ones
ión de
Donde empieza todo...

Análisis de la Organización y su Contexto
Formar y capacitar profesionales éticos, humanistas y competentes de pregra

académica, de acuerdo con las necesidades del país.
Promover y difundir el desarrollo del conocimiento, la ciencia, la filosofía, el a
El objetivo principal de la
realidad plurinacional y multicultural del país.
organización Promover y ejecutar programas y proyectos de extensión universitaria o de vi
preferencia con los sectores populares.
El negocio de la organización Institución pública dedicada a la Educación Superior
Crear y difundir el conocimiento científico-tecnológico, arte y cultura, formarp

Su misión técnicos críticos de nivel superior y creaar espacios para el análisis y soluciónn
Educación superior de calidad.

Profesionales preparados para enfrentar retos.
Sus valores Entidad pública que brinda servicio sin costo.
Autónoma
Permanece al margen de las actividades políticas de partido o religiosas.
Estructura divisional cuyas autoridades son las siguientes:

Honorable consejo universitario
Rector
Vicerrectores
decanos
La estructura organizativa Subdecanos
Secretarios abogados.
Consejos de carreras
Directores de Carreras
Directores de Unidades Académicas
Honorable consejo universitario
Rector
Vicerrectores
decanos
La estructura organizativa Subdecanos
Secretarios abogados.
Consejos de carreras
Directores de Carreras
Directores de Unidades Académicas
Organigrama
La Universidad Central Del Ecuador se fundamenta en los principios de autono

respeto a las corrientes del pensamiento universal; en la libertad de pensamie
Estrategias la docencia con libertad de cátedra, la investigación y la extensión o vinculaci
participación de los estamentos en el gobierno de la Universidad. Esta abierta
internacionales, sin menoscabo de la soberanía nacional y autonomía universi
¿Cuál es el sector que solicitó el

La Dirección de Tecnologías de Información y Comunicación.
proyecto? ¿Cuál es su nivel
Segundo Nivel de organigrama.
jerárquico dentro del organigrama? Subordinado directamente al Rectorado.
A quién está subordinado?
Para proporcionar el servicio de Educación Superior los procesos que permiten

son los siguientes:
Proporción de conectividad a internet
¿Cuál o cuáles son los principales Proporción de Sistemas académicos.
procesos de negocio de la Bases de Datos que almacenan información de estudiantes, docentes y person
Centro de Datos robusto que soporta a los demas procesos.
organización?
Proporción de autenticación de usuarios que permiten matriculación.
Sistemas de pagos.
Contratación
La suficienteestablecerá
máxima autoridad de Docentes.
en forma clara y por escrito las líneas de co
y las medidas de control para alcanzar los objetivos de la institución de acuer
disposiciones y los lineamientos del gobierno y demás organismos, para lo cu
ambiente de confianza basado en la seguridad, integridad y competencia de l
honestidad y de respaldo hacia el control interno; así como, garantizará el uso
recursos y protegerá el medio ambiente.
Cuáles son los requisitos legales o Integridad y valores éticos.
Administración estratégica
reglamentarias a los que la Políticas y prácticas de talento humano.
organización está sujeta? Estructura organizativa.
Delegación de autoridad
Competencia profesional
Coordinación de acciones organizacionales
Adhesión a las políticas institucionales
Unidad de Auditoría Interna
Educación superior
¿Cuáles son sus principales
Producir bienes y ofertar servicios que contribuyan al fortalecimiento científico
productos? de la Universidad Central.
Profesionales preparados y titulados que proveen sus conocimientos en calida

¿Cuáles son sus principales Empresas externas que proporcionan productos y servicios para todas las áre
proveedores? Estado que brinda el presupuesto necesario para el cumplimiento del objetivo
¿Cuál es el número total de 4000 Docentes

empleados? ¿Cuantos son 3000 administrativos
4000 personal de Servicios
subcontratado?
¿Cuáles son los requisitos de las Se rige por la Constitución de la República, la Ley Orgánica de Educación Sup
otras leyes y reglamentos, el presente Estatuto, los reglamentos expedidos po
políticas internas a los que la gobierno y las resoluciones de sus autoridades, a los que estan sujetas las po
organización está sujeta? Institución.
u Contexto
y competentes de pregrado y postgrado, con excelencia
a ciencia, la filosofía, el arte y la tecnología, acorde con la
sión universitaria o de vinculación con la colectividad, de
o, arte y cultura, formarprofesionales, investigadores y

ara el análisis y soluciónn de problemas nacionales.
partido o religiosas.
ntes:
n los principios de autonomía, laicismo y democracia; en el
n la libertad de pensamiento y expresión; en el ejercicio de
y la extensión o vinculación con la colectividad; en la
Universidad. Esta abierta a las relaciones nacionales e
nal y autonomía universitaria.
nicación.
os procesos que permiten el cumplimento de este servicio
iantes, docentes y personal.

ocesos.
n matriculación.
or escrito las líneas de conducta

de la institución de acuerdo con las
s organismos, para lo cual mantendrá un
ridad y competencia de las personas; de
como, garantizará el uso eficiente de los
fortalecimiento científico, tecnológico y a la autogestión
s conocimientos en calidad de Docentes.

rvicios para todas las áreas.
umplimiento del objetivo.
gánica de Educación Superior y su Reglamento General,

eglamentos expedidos por los órganos propios de su
que estan sujetas las políticas internas existentes en la
Volver al principio de la sesión

Análisis de las Restricciones
Justificación
La falta de presupuesto ha dejado de lado proyectos planificados

presupuesto productividad de lla Institución.
que viene de la agenda de la La falta de control en los tiempos de trabajo desorganizan los pr
organización demoran resultados.
Restricciones que afectan a la organización
Todos quienes conforman la institución, deben llevar su identific

de natureza cultural institucional) dentro del campus universitario, todo el tiempo, sin
hacen.
El orden de ejecución para la adquisición de bienes o servicios de

de natureza estratégica consideración la calidad del producto, por lo que los procesos de
caminos que no siempre van a ser aprobados pero que son la me
La sistematización de la contratación de personal dificulta el cont

de natureza política personal adecuado.
La contratación de personal que no esta preparado ni suficientem

talentos humanos el cumplimiento satisfactorio de los objetivos.
Como entidad pública debe someterse a decisiones externas y su

estructural limitantes que se encuentran en el camino.
Justificación
Delimitan mucho los proyectos de applicación de seguridades co

financeiras vigilancia, puertas de acceso con autenticación, personal de vigil
Falta de organización de los procesos por parte de la unidad inte

organizativo delimita lo que se debe hacer.
te el alcance
Restricciones que afecte el alcance
ambientales En referencia al clima económico se reflejan dificultades de conti
En la parte académica los procesos que la Dirección encargada ll

derivadas de processos preexistentes cumplimiento satisfactorio de los procesos de matriculación.
técnicas La falta de equipos sofisticados interrumpe la productividad del p
El tiempo mal medido crea dificultades en la productividad yrefle

tiempo personal en muchos casos.
ESCOJA LA OPCIÓN
Volver al princ
sesión
es
tificación
do proyectos planificados pensando en la
bajo desorganizan los procesos en ejecución y
deben llevar su identificación (carnet

tario, todo el tiempo, sin embargo no lo
n de bienes o servicios de calidad no toma en

or lo que los procesos deben seguir otros
bados pero que son la mejor opción.
personal dificulta el contrato de suficiente
preparado ni suficientemente calificado para

tivos.
decisiones externas y sujetarse a las

no.
tificación
ación de seguridades como: cámaras de

cación, personal de vigilancia.
r parte de la unidad interna competente,

ejan dificultades de continuidad de procesos.
la Dirección encargada lleva impiden el

os de matriculación.
pe la productividad del personal
en la productividad yrefleja ineficiencia del
Volver al principio de la
sesión
Definición del alcance
Descripción del alcance. Procesos de Gestión de las áreas de la Dirección de Tecnologías d
Su comprensión del alcance (del equipo de Definir todos los riesgos que se involucran en conseguir el alcance
riesgo). controlar el impacto que producirá tomas cada uno de los riesgos
¿Qué departamentos (áreas / gerencias) que Las Unidades organizativas de la Administración Central, que son
participan / estan cubiertos por el alcance?
¿Cuáles son los procesos y sistemas involucrados

sistemas financieros, académicos, de contratación.
¿Cuáles son los procesos y sistemas involucrados sistemas financieros, académicos, de contratación.
/ cubiertos por el alcance?
¿Cuántas personas (Talentos Humanos)

40
involucrados / cubiertos por el alcance?
¿Cuántos activos involucrados / cubiertos por el Los activos son equipos tecnológicos, bienes, servicios, personal c
alcance? (Aproximado) 56.000 usuarios de la institución.
¿Lo que limita el alcance? La falta de presupuesto, falta de personal capacitado, falta de pro
descoordinación de involucrados en procesos.
¿Lo que no es parte del alcance? Justificar. Cada área que forma parte de esta institución permite avanzar ha
nce
irección de Tecnologías de Información y Comunicación
an en conseguir el alcance de la institución, midentificándolos para

s cada uno de los riesgos.
stración Central, que son alrededos de 60.
ntratación.
ntratación.
enes, servicios, personal con una capacidad de cubrir la necesidad de
al capacitado, falta de procesos de Gestión de Contratación,

cesos.
ución permite avanzar hacia el objetivo.

Criterios para la evaluación de riesgo
Criterio de probabilidad
Frequente Han habido por lo menos una vez al mes

Provável Es posible que se produzca cada 6 meses o menos. En los últimos seis meses que ya se ha producido
Ocasional En el año pasado se han producido al menos 1 vez.
Remoto En los últimos cinco años se ha producido al menos 3 veces
Improvável Nunca se le ocurrió
Criterio de relevancia de los activos
Insignificante De acuerdo con su organización - No afecta a la institución para continuidad

Bajo De acuerdo con su organización - Afecta de forma mínima pero no evita la continuidad del negocio.
Significativo Importante para el negocio, porque todos los procesos pasan a través de él.
Importante De acuerdo con su organización - que el personal cuente con el entorno de trabajo lo suficiente
Crítico De acuerdo con su organización - Los activos no reporten los custodios que serán responsables.
Criterio de severidad de las consecuencias
Insignificante Los acontecimientos no afectan a la empresa y no causan listas durante más de cinco minutos.
Bajo De acuerdo con su organización - Afectan a la organización con bajo impacto, pero deben ser re
Promedio De acuerdo con su organización - Dificultan la continuidad de los procesos, afectando una part
Alta De acuerdo con su organización - Detienen parte de los procesos en ejecución que permiten co
Muy Alta De acuerdo con su organización - Dependiendo de las consecuencias en la mayoria de los procesos det
Criterios de impacto
Despreciable De acuerdo con su organización - AJUSTE DURANTE EL EJERCICIO

Bajo De acuerdo con su organización - AJUSTE DURANTE EL EJERCICIO
Significativo De acuerdo con su organización - AJUSTE DURANTE EL EJERCICIO
Importante Afectar a la imagen de la organización y causar interrupciones de 12 horas en el negocio. La empresa d
Desastre De acuerdo con su organización - AJUSTE DURANTE EL EJERCICIO
Criterios del riesgo
La organización interrumpe totalmente sus servicios durante más de 48 horas, parando de realizar serv
Extremo
imagen pública. Las pérdidas finacieras son altas, demandas en la justicia
Alto De acuerdo con su organización - AJUSTE DURANTE EL EJERCICIO
Promedio De acuerdo con su organización - AJUSTE DURANTE EL EJERCICIO

Irrelevante De acuerdo con su organización - AJUSTE DURANTE EL EJERCICIO
xxxxxxxxxxxx
Extremo De acuerdo con su organización - AJUSTE DURANTE EL EJERCICIO

ón de riesgos
s que ya se ha producido
ontinuidad del negocio.
de trabajo lo suficientemente equipado.

serán responsables.
de cinco minutos.
pacto, pero deben ser resueltos.
sos, afectando una parte de la organización.
cución que permiten continuidad parcial.
ayoria de los procesos detienen la continuidad evitando culminar.
n el negocio. La empresa deja de funcionar / producción durante 12 horas.
s, parando de realizar servicios y productos, que afecta significativamente su

sesión
Sesión 3
proceso de análisis de riesgos y empezar a identificar los riesgos.
En las tres actividades que forman parte de esta sesión, se verá a los conceptos apre
Actividades - Sesión 3
3.1 Identificación de los activos del

alcance
3.2 Identificación de las amenazas a los

activos
3.3 Identificación de los controles

existentes o com la ejecución prevista
prender y desarrollar el principio de un
s conceptos aprendidos en la sesión 3.

ructor.
os del
nazas a los
roles
n prevista

Identificación de los activos d
At 01 proceso de matriculación pregrado y posgrado

At 02
Procesos sistemáticos de Gestión académica
Activos primarios
At 03
At 04
At 05 Procedimientos de Titulación
At 06 Proceso de concursos de méritos y oposición
At 07 Proceso de autenticación de usuarios
At 08
At 09 Historial de datos académicos de los Docentes.
At 10 Base de información personal de todos los funcionarios de la institución.
At 11 Sistema Académico
At 12 Sistema de Talento Humano
At 13 Sistema de Titulación
At 14 Computadoras de la institución
Activos de apoyo e infraestructura
At 15 Equipos de red
At 16 Sistema financiero
At 17 Sistema de Rol de Pagos
At 18 Gestión de Active Directory
At 19 Personal de TI
At 20 personal TI para la Gestión académica
At 21
At 22 Sistema de emisión de títulos
At 23 Sistema de registro funcionarios
At 24 Plataforma office365
At 25 Bases de datos de estudiantes
At 26 Bases de datos del personal
At 28 Data Center - red de datos
At 29 impresoras institucionales
At 30 Software adquirido por UCE
e los activos del alcance
Justificación / Evidencia
Activo muy importante que involucra la matriculación de estudiantes.
Decisiones que se toman en torno a las leyes de educación superior para la inscripción
de estudiantes.
Procesos que permiten llevar a cabo la culminación de estudios y graduación de

estudiantes
Informaciónde la institución.
generada en torno a parámetros tomados de acuerdo al código y
ministerio de trabajo para puestos permanentes
Información personal que debe ser conservada recelosamente
Información personal que debe ser conservada recelosamente

Contenido de información personal, que contiene datos delicados que deben ser
institución.
almacenados con seguridades.
Sistema generado como activo propio de la Institución

Equipos que son activos de la Institución y de responsabilidad del personal de la
misma.
Equipos que son activos de la Institución y de responsabilidad del personal de la
misma.
Sistema de acceso acorde al ministerio de Finanzas que contiene procesos de pagos.
Sistema manejado para pagos a empleados
Personal encargado de la selección y contratación de funcionarios.
Personal técnico que lleva a cabo los procesos de tecnologías paraa disponibilidad de
servicios TI a la procesos
Quienes arman Intitución.
de matriculación, aprobación, continuidad y culminación de
estudiantes
Encargados de los procesos presupuestarios de la Institución

Equipos para la seguridad y control del impacto de incendios ocasionados en el
campus Universitario.
Plataforma de almacenamiento de información de estudiantes existentes en la

Institución.
Plataforma de almacenamiento de información de todos los funcionarios que laboral
en la isntitución.
Personal académico contratado para impartir conocimiento a los estudiantes de la
institución
Equipos para cubrir necesidades laborales de la Institución
Activo para uso laboral o académico de usuarios de la Institución.

Identificación de las amenaza
Activos Amenaza 1
proceso de matriculación
At 01 Hurto de medios o documentos
pregrado y posgrado
At 02 0
Procesos sistemáticos de
At 03 Procesamiento ilegal de los datos
Gestión académica
At 04 0
At 05 Procedimientos de Titulación Hurto de medios o documentos
Proceso de concursos de
At 06 Corrupción de los datos
méritos y oposición
Proceso de autenticación de
At 07 Error em el uso
usuarios
At 08 Procedimientos de Titulación Procesamiento ilegal de los datos
Historial de datos académicos

At 09 Corrupción de los datos
de los Docentes.
Base de información personal

At 10 de todos los funcionarios de la Corrupción de los datos
institución.
At 11 Sistema Académico Espionaje remoto

At 12 Sistema de Talento Humano Procesamiento ilegal de los datos
Incumplimiento em el mantenimiento
At 13 Sistema de Titulación
del sistema de información
Computadoras de la
At 14 Polvo, corrosión, congelamiento
institución
At 15 Equipos de red Mal funcionamiento del equipo
At 16 Sistema financiero Error em el uso
Datos provenientes de fuentes no
confiables
At 18 Gestión de Active Directory Accidente importante
Incumplimiento em la disponibilidad del
personal
personal TI para la Gestión Incumplimiento em la disponibilidad del
At 20
académica personal
At 21 0
At 22 Sistema de emisión de títulos Divulgación
Sistema de registro
At 23 Error em el uso
funcionarios
At 24 Plataforma office365 Falla del equipo
At 25 Bases de datos de estudiantes Espionaje remoto
At 26 Bases de datos del personal Error em el uso

#REF! #REF!
Incumplimiento em la disponibilidad del
personal
At 29 impresoras institucionales Destruicción del equipo o los medios
At 30 Software adquirido por UCE Hurto de medios o documentos
ción de las amenazas a los activos
Amenaza 2 Justificación / Evidencia
Espionaje remoto
Datos provenientes de fuentes no

confiables
Falla em el equipo de
telecomunicaciones
Procesamiento ilegal de los datos
Corrupción de los datos

Hurto de medios o documentos
Manipulación com software
Mal funcionamiento del equipo

Falla del equipo
Mal funcionamiento del sofatware
Negación de acciones
Abuso de derechos

Error em el uso
Error em el uso
Espionaje remoto
Falla del equipo

Polvo, corrosión, congelamiento
Incumplimiento em el mantenimiento
del sistema de información
sesión
o de la
Sesión 4
riesgos
En las dos actividades que forman parte de esta sesión, se verá a los conceptos apre
4.1 Identificación de las vulnerabilidades

no atendidas por los controles existentes
4.2 Identificación de las consecuencias de

las vulnerabilidades levantadas
prender y desarrollar la identificación de

ructor.
erabilidades
s existentes
ecuencias de
as

Identificación de la
Activo Amenazas
Hurto de Controle
medios o
proceso de documentos Controle
matriculaci
At 01 ón
pregrado y
posgrado Controle
Espionaje
remoto
Controle
Controle
0
Controle
At 02 0
Controle
0
Controle
Procesamiento Controle
ilegal de los
Procesos datos Controle
sistemático
At 03 s de
Gestión
académica
Procesamiento
ilegal de los
Procesos datos Controle
sistemático
At 03 s de
Gestión Datos
académica provenientes de Controle
fuentes no
confiables Controle
Controle
0
Controle
At 04 0
Controle
0
Controle
Hurto de Controle
medios o
documentos Controle
Procedimie
At 05 ntos de
Titulación Falla em el Controle
equipo de
telecomunicacio
nes Controle
Controle
Corrupción de
los datos
Proceso de Controle
concursos
At 06
de méritos
y oposición Procesamiento Controle
ilegal de los
datos Controle
Controle
Error em el uso
Proceso de Controle
autenticaci
At 07
ón de
usuarios Controle
Corrupción de
los datos
Controle
ilegal de los
datos Controle
Procedimie
At 08 ntos de
Titulación
Controle
Corrupción de
los datos
Controle
Controle
Corrupción de
Historial de los datos
Controle
datos
At 09 académicos
de los
Docentes. Procesamiento Controle
ilegal de los
datos Controle
Controle
Base de Corrupción de
información los datos
Controle
personal de
At 10 todos los
funcionario
s de la Procesamiento Controle
institución. ilegal de los
datos Controle
Controle
Espionaje
remoto
Controle
Sistema
At 11
Académico
Controle
Corrupción de
los datos
Controle
ilegal de los
datos Controle
Sistema de
At 12 Talento
Humano
Sistema de
At 12 Talento
Humano
Hurto de Controle
medios o
documentos Controle
Incumplimiento
em el Controle
mantenimiento
del sistema de Controle
Sistema de información
At 13
Titulación
Controle
Manipulación
com software
Controle
Polvo, Controle
corrosión,
congelamiento Controle
Computado
At 14 ras de la
institución
Mal Controle
funcionamiento
del equipo Controle
Mal Controle
funcionamiento
del equipo Controle
Equipos de
At 15
red
Controle
Falla del equipo
Controle
Controle
Error em el uso
Controle
Sistema
At 16
financiero
Mal Controle
funcionamiento
del sofatware Controle
Datos Controle
provenientes de
fuentes no
Sistema de confiables
At 17 Rol de
Pagos
Datos Controle
provenientes de
fuentes no
confiables Controle
Sistema de
At 17 Rol de
Pagos
Controle
Negación de
acciones
Controle
Controle
Accidente
importante
Controle
Gestión de
At 18 Active
Directory
ilegal de los
datos Controle
Incumplimiento Controle
em la
disponibilidad
del personal Controle
Personal de
At 19
TI
ilegal de los
datos Controle
em la
disponibilidad
personal TI del personal Controle
para la
At 20
Gestión
académica Controle
Abuso de
derechos
Controle
Controle
0
Controle
At 21 0
Controle
0
At 21 0
0
Controle
Controle
Divulgación
Controle
Sistema de
At 22 emisión de
títulos
Mal Controle
funcionamiento
del equipo Controle
Controle
Error em el uso
Sistema de Controle
registro
At 23
funcionario
s Controle
Manipulación
com software
Controle
Controle
Falla del equipo
Controle
Plataforma
At 24
office365
Controle
Error em el uso
Controle
Controle
Espionaje
remoto
Controle
Bases de
At 25 datos de
estudiantes
Controle
Error em el uso
Controle
Controle
Error em el uso
Controle
Bases de
At 26 datos del
personal
Error em el uso
Controle
Bases de
At 26 datos del
personal
Controle
Espionaje
remoto
Controle
em la
disponibilidad
Data del personal Controle
Center -
At 28
red de
datos Controle
Falla del equipo
Controle
Destruicción del Controle

equipo o los
medios Controle
impresoras
At 29 institucional
es
Polvo, Controle
corrosión,
congelamiento Controle
Hurto de Controle
medios o
documentos Controle
Software
At 30 adquirido
por UCE Incumplimiento
em el Controle
mantenimiento
del sistema de Controle
información
Identificación de las vulnerabilidades no atendida
Control Existente Nr
1
Seguridades en el acceso a sistemas
2
3
No existe
4
5
Restricción en el acceso a la ared
6
7
No existe
8
1
No existe
2
3
No existe
4
5
No existe
6
7
No existe
8
1
No existe
2
3
No existe
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
2
3
No existe
4
Cobertura, monitoreo constante de la 5

funcionalidad 6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
Restricción y control de acceso a 1

servicios 2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
Limitación de configuración de equipos 5

para evitar daños del sistema. 6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
1
No existe
2
3
No existe
4
5
Cobertura
6
7
No existe
8
ción de las vulnerabilidades no atendidas por los controles existe
Vulnerabilidades Encontrados
Falta de control en la conservación y restricción de documentos e información

Falta de control en el acceso de personas externas al área
Falta de conocimiento sobre politicas de seguridad
Falta de políticas de control documentadas

Infiltración en la red por falta de niveles de seguridad
Personas no éticas como parte del personal

Falta de información previa de las partes interesadas
Personal no capacitado
Información no sustentada, ni debidamente manejada
Personal no capacitado
Falta de organización en las actividades
Falta de control en el acceso de personas externas

Dejar documentos sin protección sobre los escritorios
infiltración en la red de datos
Caida de la página durante el proceso de postulación

Pérdida de conectividad a internet
Corte imprevisto de electricidad
Demora en la entrega de fuente de datos previa al procesamiento

Demora en la preparación de los datos a procesar
Falta de tiempo
Personas no éticas como parte del personal

Fuente no confiable de información
Imparten a otras personas sus claves de usuario de uso personal

Colocar claves en lugares visibles
Mantener claves demaciado fáciles
El usuario no cambia claves constantemente
Creación de usuarios con datos erróneos

Infiltración en los sistemas para alteraciones en la información
Alteración de notas
Infiltración en el sistema y alteración de datos

Mal manejo de los datos por falta de conocimiento
Alteración en la información por favoritismo o perjuicio
Generar la manipulación de datos sin la respectiva autorización
Acceso sin permisos para alterar los datos

Información desactualizada
Información inconsistente
Proporción de Base de datos a agentes externos
No hay niveles de seguridad suficientemente restringidos

Los usuarios graban sus contraseñas en los equipos
Datos incosistentes
Datos desactualizados
Muchos usuarios tienen acceso de administrador
Sistema con software desactualizado

Falta de niveles de seguridad
Inconsistencia de datos
No hay seguridad física
No hay restricción de acceso en el equipo servidor
Desactualización de SW
Pérdida de datos por la falta de control en el sistema
Mal manejo del sistema por cambios mal realizados

Cambios indebidos sin autorización previa
Ubicación en lugares indebidos

Falta de planes de mantenimiento contínuo
Cumplimiento de tiempo de vida útil

Uso de equipos obsoletos
Cumplimiento de tiempo de vida útil

Uso de equipos obsoletos
Defectos de fábrica
Instalación indebida de SW
Mala manipulación
Falta de planes de mantenimiento preventivo
Falta de conocimiento en el uso del sistema

Personal con falta de conocimiento
SW desactualizado
Servidor de acceso no disponible
Falta de ancho de banda
Pagos indebidos por desactualización de infromación

Caida del servidor
Desactualización del sistema
Creación de cuentas de usuarios inexistentes

Creación de cuentas erróneas
Información incompleta
Daños por acceso de muchos usuarios administradores
Falta de recurso humano

Falta de personal capacitado
Contrato de personal sin los procedimientos adecuados
Falta de conocimiento de las normas académicas para el personal de TI
Solicitudes indebidas de cambios

Uso de personal de otras áreas sin porevia notificación y autorización
Publicación insuficiente del aplicativo y sus procesos
Falta de capacitación previa en el uso del sistema
Falla en los equipos de red que cintienen el aplicativo
Falta de conocimiento sobre el funcionamiento del aplicativo

Falta de interes de conociemiento del usuario
Manipulación indebida del software aplicativo

Cambios no registrados por mantenimientos no planificados
Daño de los equipos de red

Falla de servidor
Falta de conocimiento
Uso inapropiado de sus aplicaciones
Alteración de información por infiltración
Falta de conocimiento
Acceso no autorizado
Mala manipulación
Mala manipulación
Acceso no autorizado
Alteración de información por infiltración
Falta de personal capacitado

Falta de recursos para el óptimo funcionamiento
Cortes imprevistos de energía eléctrica

Falla de equipos generadores de energía
Mala manipulación de los equipos por parte de los usuarios

Falta de mantenimiento preventivo contínuo
Ubicación en lugares inadecuados

Falta de mantenimiento preventivo contínuo
Falta de control en los dispositivos externos que contienen el SW
Servicio deficiente de soporte por parte del proveedor

Falta de conociemiento del personal de soporte del proveedor
Falta de contratación del mantenimiento
os controles existentes
Justificación / Evidencias
sesión
Identificación de las consecuencias
Activo Amenazas Control Existente Nr
Seguridades en el acceso a 1
Hurto de
sistemas 2
medios o
proceso de 3
documentos No existe
matriculaci 4
At 01 ón
pregrado y Restricción en el acceso a la 5
posgrado Espionaje ared 6
remoto 7
No existe
8
Control 1
No existe
e 2
0
Control 3
No existe
e 4
At 02 0
Control 5
No existe
e 6
0
Control 7
No existe
e
0
Control
No existe
e 8
Control 1
Procesamiento No existe
e 2
ilegal de los
Procesos Control 3
datos No existe
sistemático e 4
At 03 s de
Gestión Datos Control 5
académica provenientes de Cobertura
e 6
fuentes no Control 7
No existe
confiables e 8
Control 1
No existe
e 2
0
Control 3
No existe
e 4
At 04 0
Control 5
Cobertura
e 6
0
Control 7
No existe
e 8
Control Seguridades en el acceso a 1

Hurto de
e sistemas 2
medios o
Control 3
Procedimie e 4
At 05 ntos de
Titulación Falla em el Control Cobertura, monitoreo 5
equipo de e constante de la funcionalidad 6
telecomunicacio Control 7
No existe
nes e 8
Control 1
No existe
Corrupción de e 2
los datos Control 3
Proceso de No existe
e 4
concursos
At 06
de méritos
5
y oposición Procesamiento Control Cobertura
e 6
ilegal de los
Control 7
datos No existe
e
ilegal de los
Control
datos No existe
e 8
Control Restricción y control de 1

e acceso a servicios 2
Error em el uso
Control 3
Proceso de No existe
e 4
autenticaci
At 07
ón de
Control 5
usuarios Cobertura
Corrupción de e 6
los datos Control 7
No existe
e 8
Control 1
e 2
ilegal de los
Control 3
datos No existe
Procedimie e 4
At 08 ntos de
Titulación Control 5
Cobertura
Corrupción de e 6
los datos Control 7
No existe
e 8
Control 1
No existe
Corrupción de e 2
Historial de los datos Control 3
No existe
datos e 4
At 09 académicos
de los Control 5
Docentes. Procesamiento Cobertura
e 6
ilegal de los
Control 7
datos No existe
e 8
Control 1
No existe
Base de Corrupción de e 2
información los datos Control 3
No existe
personal de e 4
At 10 todos los
funcionario Control 5
s de la Procesamiento Cobertura
e 6
Control 7
datos No existe
e
Control
datos No existe
e 8
Control 1
No existe
Espionaje e 2
remoto Control 3
No existe
e 4
Sistema
At 11
Académico
Control 5
Cobertura
Corrupción de e 6
los datos Control 7
No existe
e 8
Control 1
e 2
ilegal de los
Control 3
datos No existe
Sistema de e 4
At 12 Talento
Humano Control 5
Hurto de Cobertura
e 6
medios o
Control 7
e 8
Incumplimiento 1
Control
em el No existe
e 2
mantenimiento
Control 3
del sistema de No existe
e 4
Sistema de información
At 13
Titulación
Control 5
Cobertura
Manipulación e 6
com software Control 7
No existe
e 8
Control 1
Polvo, No existe
e 2
corrosión,
Control 3
congelamiento No existe
Computado e 4
At 14 ras de la
institución Limitación de configuración de
Control 5
Mal equipos para evitar daños del
e 6
funcionamiento sistema.
Control 7
del equipo No existe
e
funcionamiento
Control
e 8
Control 1
Mal No existe
e 2
funcionamiento
Control 3
e 4
Equipos de
At 15
red
Control 5
Cobertura
e 6
Falla del equipo
Control 7
No existe
e 8
Control 1
No existe
e 2
Error em el uso
Control 3
No existe
e 4
Sistema
At 16
financiero
Control 5
Mal Cobertura
e 6
funcionamiento
Control 7
del sofatware No existe
e 8
Datos Control 1
No existe
provenientes de e 2
fuentes no Control 3
No existe
Sistema de confiables e 4
At 17 Rol de
Pagos Control 5
Cobertura
Negación de e 6
acciones Control 7
No existe
e 8
Control 1
No existe
Accidente e 2
importante Control 3
No existe
Gestión de e 4
At 18 Active
Directory Control 5
Procesamiento Cobertura
e 6
ilegal de los
Control 7
datos No existe
e
ilegal de los
Control
datos No existe
e 8
Incumplimiento Control 1
No existe
em la e 2
disponibilidad Control 3
No existe
del personal e 4
Personal de
At 19
TI
Control 5
Procesamiento Cobertura
e 6
ilegal de los
Control 7
datos No existe
e 8
No existe
em la e 2
personal TI del personal No existe
e 4
para la
At 20
Gestión
Control 5
académica Cobertura
Abuso de e 6
derechos Control 7
No existe
e 8
Control 1
No existe
e 2
0
Control 3
No existe
e 4
At 21 0
Control 5
Cobertura
e 6
0
Control 7
No existe
e 8
Control 1
No existe
e 2
Divulgación
Control 3
No existe
Sistema de e 4
At 22 emisión de
títulos Control 5
Mal Cobertura
e 6
funcionamiento
Control 7
e
funcionamiento
Control
e 8
Control 1
No existe
e 2
Error em el uso
Control 3
Sistema de No existe
e 4
registro
At 23
funcionario
Control 5
s Cobertura
Manipulación e 6
com software Control 7
No existe
e 8
Control 1
No existe
e 2
Falla del equipo
Control 3
No existe
e 4
Plataforma
At 24
office365
Control 5
Cobertura
e 6
Error em el uso
Control 7
No existe
e 8
Control 1
No existe
Espionaje e 2
remoto Control 3
No existe
Bases de e 4
At 25 datos de
estudiantes Control 5
Cobertura
e 6
Error em el uso
Control 7
No existe
e 8
Control 1
No existe
e 2
Error em el uso
Control 3
No existe
Bases de e 4
At 26 datos del
personal Control 5
Cobertura
Espionaje e 6
remoto Control 7
No existe
e
remoto Control
No existe
e 8
Control 1
No existe
e 2
0
Control 3
No existe
e 4
#REF! #REF!
Control 5
Cobertura
e 6
0
Control 7
No existe
e 8
No existe
em la e 2
Data No existe
del personal e 4
Center -
At 28
red de
Control 5
datos Cobertura
e 6
Falla del equipo
Control 7
No existe
e 8
Control 1
Destruicción del No existe
e 2
equipo o los
Control 3
medios No existe
impresoras e 4
At 29 institucional
es Control 5
Polvo, Cobertura
e 6
corrosión,
Control 7
congelamiento No existe
e 8
Control 1
Hurto de No existe
e 2
medios o
Control 3
Software e 4
At 30 adquirido
por UCE Incumplimiento Control 5
em el Cobertura
e 6
mantenimiento
Control 7
e
información
mantenimiento
Control
e 8
información
Identificación de las consecuencias de las vulnerabilidades levantadas
Vulnerabilidades Encontrados Consecuencias
Falta de control en la conservación y restricción de documentos e información pérdida de confidencialidad

Falta de control en el acceso de personas externas al área pérdida de la integridad
Falta de conocimiento sobre politicas de seguridad afecta a la imagen y la reputación
0 DEFINIR LAS CONSECUENCIAS:
0 Perda de Integridade
Falta de políticas de control documentadas pérdida de la integridad
Infiltración en la red por falta de niveles de seguridad pérdida de la disponibilidad
Personas no éticas como parte del personal pérdida de confidencialidad

Falta de información previa de las partes interesadas pérdida de autenticidad
Personal no capacitado pérdida financiera por re trabajo
Información no sustentada, ni debidamente manejada pérdida de autenticidad

Personal no capacitado pérdida de la integridad
Falta de organización en las actividades pérdida financiera por re trabajo
Falta de control en el acceso de personas externas pérdida de confidencialidad

Dejar documentos sin protección sobre los escritorios pérdida de confidencialidad
infiltración en la red de datos pérdida de confidencialidad
Caida de la página durante el proceso de postulación pérdida de la disponibilidad

Pérdida de conectividad a internet pérdida de la disponibilidad
Corte imprevisto de electricidad pérdida de la disponibilidad
Demora en la preparación de los datos a procesar pérdida financiera por re trabajo

#REF! Perda de Integridade
Falta de tiempo afecta a la imagen y la reputación

Fuente no confiable de información pérdida de la integridad
Imparten a otras personas sus claves de usuario de uso personal pérdida de confidencialidad
Colocar claves en lugares visibles pérdida de confidencialidad
Mantener claves demaciado fáciles pérdida de confidencialidad
El usuario no cambia claves constantemente pérdida de confidencialidad
Creación de usuarios con datos erróneos afecta a la imagen y la reputación

Infiltración en los sistemas para alteraciones en la información pérdida de la integridad
Alteración de notas pérdida de la integridad

Infiltración en el sistema y alteración de datos pérdida de confidencialidad

Mal manejo de los datos por falta de conocimiento pérdida financiera por re trabajo
Alteración en la información por favoritismo o perjuicio pérdida de la integridad

Generar la manipulación de datos sin la respectiva autorización pérdida de confidencialidad

Acceso sin permisos para alterar los datos pérdida de confidencialidad

Información desactualizada pérdida de la integridad
Información inconsistente pérdida de la integridad
Proporción de Base de datos a agentes externos afecta a la imagen y la reputación

No hay niveles de seguridad suficientemente restringidos pérdida de confidencialidad

Los usuarios graban sus contraseñas en los equipos pérdida de confidencialidad
Datos incosistentes pérdida de la integridad

Datos desactualizados pérdida de la integridad
Muchos usuarios tienen acceso de administrador pérdida de confidencialidad
Sistema con software desactualizado pérdida de la integridad

Falta de niveles de seguridad pérdida de la integridad
Inconsistencia de datos Perda de Integridade
No hay seguridad física pérdida de confidencialidad

No hay restricción de acceso en el equipo servidor pérdida de confidencialidad
Desactualización de SW pérdida de la integridad

Pérdida de datos por la falta de control en el sistema pérdida de la integridad
Mal manejo del sistema por cambios mal realizados pérdida de la integridad
Cambios indebidos sin autorización previa pérdida de la integridad
Ubicación en lugares indebidos pérdida financiera por re trabajo

Falta de planes de mantenimiento contínuo pérdida financiera por re trabajo
Cumplimiento de tiempo de vida útil pérdida de la disponibilidad

Uso de equipos obsoletos pérdida de la disponibilidad

Defectos de fábrica pérdida financiera con una multa contractual o legale

Instalación indebida de SW pérdida de la disponibilidad
Mala manipulación pérdida de la integridad
Falta de planes de mantenimiento preventivo afecta a la imagen y la reputación
Falta de conocimiento en el uso del sistema pérdida de la disponibilidad

Personal con falta de conocimiento pérdida de la disponibilidad
SW desactualizado pérdida de autenticidad

Servidor de acceso no disponible pérdida de la disponibilidad
Falta de ancho de banda pérdida de la disponibilidad
Pagos indebidos por desactualización de infromación pérdida financiera por re trabajo

Caida del servidor pérdida de la disponibilidad

Desactualización del sistema pérdida de autenticidad
Creación de cuentas de usuarios inexistentes pérdida de autenticidad

Creación de cuentas erróneas pérdida de autenticidad
Información incompleta pérdida de la integridad
Daños por acceso de muchos usuarios administradores pérdida de la integridad
Falta de recurso humano afecta a la imagen y la reputación

Falta de personal capacitado afecta a la imagen y la reputación
Contrato de personal sin los procedimientos adecuados pérdida de la integridad

Falta de conocimiento de las normas académicas para el personal de TI pérdida de la integridad

Solicitudes indebidas de cambios pérdida de la integridad

Uso de personal de otras áreas sin porevia notificación y autorización pérdida de la integridad
Publicación insuficiente del aplicativo y sus procesos pérdida de autenticidad

Falta de capacitación previa en el uso del sistema afecta a la imagen y la reputación
Falla en los equipos de red que cintienen el aplicativo pérdida de la disponibilidad

Falta de conocimiento sobre el funcionamiento del aplicativo afecta a la imagen y la reputación

Falta de interes de conociemiento del usuario afecta a la imagen y la reputación
Manipulación indebida del software aplicativo pérdida de la integridad

Cambios no registrados por mantenimientos no planificados pérdida financiera por re trabajo
Daño de los equipos de red pérdida de la disponibilidad

Falla de servidor pérdida de la disponibilidad
Falta de conocimiento afecta a la imagen y la reputación

Uso inapropiado de sus aplicaciones pérdida de la integridad
Alteración de información por infiltración pérdida de la integridad


Acceso no autorizado pérdida de la integridad




Falta de personal capacitado pérdida financiera por re trabajo

Falta de recursos para el óptimo funcionamiento afecta a la imagen y la reputación
Cortes imprevistos de energía eléctrica pérdida de la disponibilidad

Falla de equipos generadores de energía pérdida de la disponibilidad
Mala manipulación de los equipos por parte de los usuarios pérdida financiera por re trabajo
Falta de mantenimiento preventivo contínuo pérdida financiera por re trabajo
Ubicación en lugares inadecuados pérdida financiera por re trabajo

Falta de control en los dispositivos externos que contienen el SW pérdida financiera por re trabajo
Servicio deficiente de soporte por parte del proveedor pérdida financiera por re trabajo
Falta de conociemiento del personal de soporte del proveedor pérdida financiera por re trabajo
Falta de contratación del mantenimiento pérdida financiera por re trabajo
Justificación / Evidencias
sesión
Sesión 5
evaluación CUALITATIVA del riesgo.
En las dos actividades que forman parte de esta sesión, se verá a los conceptos apre
5.1 Evaluación de las consecuencias -

Relevancia de los Activos
5.2 Evaluación de las consecuencias -

Gravedad
prender y desarrollar un proceso de

ructor.
uencias -
uencias -

Evaluación de las consecuencias - Relevancia de los Activ
Activo Amenazas Nr Vulnerabilidades Encontradas
Falta de control en la conservación y restricción de

1
Hurto de documentos
Falta e información
de control en el acceso de personas externas
2
medios o al área
proceso de 3 Falta de conocimiento sobre politicas de seguridad
documentos
matriculaci 4 0
At 01 ón
pregrado y 5 0
posgrado Espionaje 6 Falta de políticas de control documentadas
Infiltración en la red por falta de niveles de
remoto 7
seguridad
8 0
1 0
2 0
0
3 0
4 0
At 02 0
5 0
6 0
0
7 0
8 0
1 Personas no éticas como parte del personal
Procesamiento Falta de información previa de las partes
2
ilegal de los interesadas
Procesos 3 Personal no capacitado
datos
sistemático 4 0
At 03 s de
Información no sustentada, ni debidamente
Gestión Datos 5
manejada
académica provenientes de 6 Personal no capacitado
fuentes no 7 Falta de organización en las actividades
confiables 8 0
1 0
2 0
0
3 0
4 0
At 04 0
5 0
6 0
0
7 0
8 0
1 Falta de control en el acceso de personas externas

Hurto de Dejar documentos sin protección sobre los
2
medios o escritorios
3 infiltración en la red de datos
documentos
Procedimie 4 0
At 05 ntos de
Caida de la página durante el proceso de
Titulación Falla em el 5
postulación
equipo de 6 Pérdida de conectividad a internet
telecomunicacio 7 Corte imprevisto de electricidad
nes 8 0
1 Demora en la preparación de los datos a procesar

Corrupción de 2 #REF!
los datos 3 Falta de tiempo
Proceso de 4 0
concursos
At 06
de méritos
y oposición Procesamiento
6 Fuente no confiable de información
ilegal de los
7 0
datos
8 0
Imparten a otras personas sus claves de usuario
1
de uso personal
2 Colocar claves en lugares visibles
Error em el uso
3 Mantener claves demaciado fáciles
Proceso de 4 El usuario no cambia claves constantemente
autenticaci
At 07
ón de
5 Creación de usuarios con datos erróneos
usuarios Infiltración en los sistemas para alteraciones en la
Corrupción de 6
información
los datos 7 0
8 0
1 Alteración de notas
Procesamiento
2 0
ilegal de los
3 0
datos
Procedimie 4 0
At 08 ntos de
Titulación 5 Infiltración en el sistema y alteración de datos
Corrupción de 6 Mal manejo de los datos por falta de conocimiento
los datos 7 0
8 0
Alteración en la información por favoritismo o

1
perjuicio
Corrupción de 2 0
Historial de los datos 3 0
datos 4 0
At 09 académicos
Generar la manipulación de datos sin la respectiva
de los 5
autorización
Docentes. Procesamiento 6 0
ilegal de los
7 0
datos
8 0
1 Acceso sin permisos para alterar los datos

Base de Corrupción de 2 Información desactualizada
información los datos 3 Información inconsistente
personal de 4 0
At 10 todos los
funcionario 5 Proporción de Base de datos a agentes externos
s de la Procesamiento
6 0
7 0
datos
8 0
No hay niveles de seguridad suficientemente
1
restringidos
Espionaje 2 Los usuarios graban sus contraseñas en los equipos
remoto 3 0
4 0
Sistema
At 11
Académico
5 Datos incosistentes
Corrupción de 6 Datos desactualizados
los datos 7 Muchos usuarios tienen acceso de administrador
8 0
1 Sistema con software desactualizado

Procesamiento
2 Falta de niveles de seguridad
ilegal de los
3 Inconsistencia de datos
datos
Sistema de 4 0
At 12 Talento
Humano 5 No hay seguridad física
Hurto de
6 No hay restricción de acceso en el equipo servidor
medios o
7 0
documentos
8 0
Incumplimiento 1 Desactualización de SW
em el Pérdida de datos por la falta de control en el
2
mantenimiento sistema
3 0
del sistema de
información 4 0
Sistema de
At 13
Titulación
5 Mal manejo del sistema por cambios mal realizados
Manipulación 6 Cambios indebidos sin autorización previa
com software 7 0
8 0
1 Ubicación en lugares indebidos

Polvo,
2 Falta de planes de mantenimiento contínuo
corrosión,
3 0
congelamiento
Computado 4 0
At 14 ras de la
institución 5 Cumplimiento de tiempo de vida útil
Mal
6 Uso de equipos obsoletos
funcionamiento
7 0
del equipo
8 0
1 Cumplimiento de tiempo de vida útil
Mal
funcionamiento
3 0
del equipo
4 0
Equipos de
At 15
red
5 Defectos de fábrica
6 Instalación indebida de SW
Falla del equipo
7 Mala manipulación
8 Falta de planes de mantenimiento preventivo
1 Falta de conocimiento en el uso del sistema

2 Personal con falta de conocimiento
Error em el uso
3 0
4 0
Sistema
At 16
financiero
5 SW desactualizado
Mal
6 Servidor de acceso no disponible
funcionamiento
7 Falta de ancho de banda
del sofatware
8 0
Pagos indebidos por desactualización de

Datos 1
infromación
provenientes de 2 0
fuentes no 3 0
Sistema de confiables 4 0
At 17 Rol de
Pagos 5 0
Negación de 6 0
acciones 7 0
8 0
1 Caida del servidor

Accidente 2 Desactualización del sistema
importante 3 0
Gestión de 4 0
At 18 Active
Directory 5 Creación de cuentas de usuarios inexistentes
Procesamiento
6 Creación de cuentas erróneas
ilegal de los
7 Información incompleta
datos Daños por acceso de muchos usuarios
8
administradores
Incumplimiento 1 Falta de recurso humano
em la 2 Falta de personal capacitado
disponibilidad 3 0
del personal 4 0
Personal de
At 19
TI Contrato de personal sin los procedimientos
5
Procesamiento adecuados
6 0
ilegal de los
7 0
datos
8 0
Falta de conocimiento de las normas académicas

Incumplimiento 1
para el personal de TI
em la 2 0
disponibilidad 3 0
personal TI del personal 4 0
para la
At 20
Gestión
5 Solicitudes indebidas de cambios
académica Uso de personal de otras áreas sin porevia
Abuso de 6
notificación y autorización
derechos 7 0
8 0
1 0
2 0
0
3 0
4 0
At 21 0
5 0
6 0
0
7 0
8 0
1 Publicación insuficiente del aplicativo y sus procesos

2 Falta de capacitación previa en el uso del sistema
Divulgación
3 0
Sistema de 4 0
At 22 emisión de
Falla en los equipos de red que cintienen el
títulos 5
Mal aplicativo
6 0
funcionamiento
7 0
del equipo
8 0
Falta de conocimiento sobre el funcionamiento del
1
aplicativo
2 Falta de interes de conociemiento del usuario
Error em el uso
3 0
Sistema de 4 0
registro
At 23
funcionario
5 Manipulación indebida del software aplicativo
s Cambios no registrados por mantenimientos no
Manipulación 6
planificados
com software 7 0
8 0
1 Daño de los equipos de red

2 Falla de servidor
Falla del equipo
3 0
4 0
Plataforma
At 24
office365
5 Falta de conocimiento
6 Uso inapropiado de sus aplicaciones
Error em el uso
7 0
8 0
1 Alteración de información por infiltración

Espionaje 2 0
remoto 3 0
Bases de 4 0
At 25 datos de
estudiantes 5 Falta de conocimiento
6 Acceso no autorizado
Error em el uso
8 0
Error em el uso
3 0
Bases de 4 0
At 26 datos del
personal 5 Alteración de información por infiltración
Espionaje 6 0
remoto 7 0
8 0
1 #REF!
2 #REF!
0
3 #REF!
4 #REF!
#REF! #REF!
5 #REF!
6 #REF!
0
7 #REF!
8 #REF!
Incumplimiento 1 Falta de personal capacitado

em la 2 Falta de recursos para el óptimo funcionamiento
disponibilidad 3 0
Data del personal 4 0
Center -
At 28
red de
5 Cortes imprevistos de energía eléctrica
datos
6 Falla de equipos generadores de energía
Falla del equipo
7 0
8 0
Mala manipulación de los equipos por parte de los

1
Destruicción del usuarios
2 Falta de mantenimiento preventivo contínuo
equipo o los
3 0
medios
impresoras 4 0
At 29 institucional
es 5 Ubicación en lugares inadecuados
Polvo,
corrosión,
7 0
congelamiento
8 0
Falta de control en los dispositivos externos que

1
Hurto de contienen el SW
2 0
medios o
3 0
documentos
Software 4 0
At 30 adquirido
Incumplimiento Servicio deficiente de soporte por parte del
por UCE 5
em el proveedor
Falta de conociemiento del personal de soporte del
6
mantenimiento proveedor
7 Falta de contratación del mantenimiento
del sistema de
información 8 0
encias - Relevancia de los Activos
Consecuencia La relevancia de lo activo para el negocio Justificación / Evidencia
pérdida de confidencialidad
pérdida de la integridad
afecta a la imagen y la reputación
DEFINIR LAS CONSECUENCIAS:
Importante
Perda de Integridade
pérdida de la disponibilidad
CRÍTICO
pérdida de autenticidad
pérdida financiera por re trabajo
Crítico
CRÍTICO
Crítico

Significativo
Importante
Importante
Significativo
Significativo
Crítico
Significativo
Crítico

Significativo
Importante
Crítico

Crítico
Importante
Significativo
Bajo
CRÍTICO
Significativo
Bajo
Crítico
Crítico
DEFINIR LAS CONSECUENCIAS:
Importante
CRÍTICO

Crítico

Bajo

Bajo
sesión
DEFINA A CONSEQUÊNCIA:
Perda de confidencialidade
Perda de Disponibilidade
Perda de Autenticidade
Prejuizo financeiro por retrabalho
Afeta imagem e reputação
Evidencia
al principio de la
Evaluación de las consecuencias - Gravedad
Falta de control en la conservación y restricción de documentos e

1
Hurto de información
2 Falta de control en el acceso de personas externas al área
medios o
proceso de 3 Falta de conocimiento sobre politicas de seguridad
documentos
matriculaci 4 0
At 01 ón
pregrado y 5 0
posgrado Espionaje 6 Falta de políticas de control documentadas
remoto 7 Infiltración en la red por falta de niveles de seguridad
8 0
1 0
2 0
0
3 0
4 0
At 02 0
5 0
6 0
0
0
7 0
8 0

Procesamiento
2 Falta de información previa de las partes interesadas
ilegal de los
Procesos 3 Personal no capacitado
datos
sistemático 4 0
At 03 s de
Gestión Datos 5 Información no sustentada, ni debidamente manejada
académica provenientes de 6 Personal no capacitado
confiables 8 0
1 0
2 0
0
3 0
4 0
At 04 0
5 0
6 0
0
7 0
8 0

Hurto de
2 Dejar documentos sin protección sobre los escritorios
medios o
3 infiltración en la red de datos
documentos
Procedimie 4 0
At 05 ntos de
Titulación Falla em el 5 Caida de la página durante el proceso de postulación
nes 8 0

Proceso de 4 0
concursos
At 06
de méritos
6 Fuente no confiable de información
ilegal de los
datos
ilegal de los
7 0
datos
8 0
1 Imparten a otras personas sus claves de usuario de uso personal

Error em el uso
autenticaci
At 07
ón de
usuarios
Corrupción de 6 Infiltración en los sistemas para alteraciones en la información
los datos 7 0
8 0
Procesamiento
2 0
ilegal de los
3 0
datos
Procedimie 4 0
At 08 ntos de
los datos 7 0
8 0
1 Alteración en la información por favoritismo o perjuicio

Corrupción de 2 0
Historial de los datos 3 0
datos 4 0
At 09 académicos
de los 5 Generar la manipulación de datos sin la respectiva autorización
Docentes. Procesamiento 6 0
ilegal de los
7 0
datos
8 0

Base de Corrupción de 2 Información desactualizada
información los datos 3 Información inconsistente
personal de 4 0
At 10 todos los
6 0
datos
7 0
datos
8 0
1 No hay niveles de seguridad suficientemente restringidos

remoto 3 0
4 0
Sistema
At 11
Académico
8 0

Procesamiento
2 Falta de niveles de seguridad
ilegal de los
3 Inconsistencia de datos
datos
Sistema de 4 0
At 12 Talento
Hurto de
6 No hay restricción de acceso en el equipo servidor
medios o
7 0
documentos
8 0
Incumplimiento 1 Desactualización de SW
em el
2 Pérdida de datos por la falta de control en el sistema
mantenimiento
3 0
del sistema de
información 4 0
Sistema de
At 13
Titulación
com software 7 0
8 0

Polvo,
2 Falta de planes de mantenimiento contínuo
corrosión,
3 0
congelamiento
Computado 4 0
At 14 ras de la
Mal
funcionamiento
del equipo
Mal
funcionamiento
7 0
del equipo
8 0

Mal
funcionamiento
3 0
del equipo
4 0
Equipos de
At 15
red
Falla del equipo

Error em el uso
3 0
4 0
Sistema
At 16
financiero
5 SW desactualizado
Mal
6 Servidor de acceso no disponible
funcionamiento
7 Falta de ancho de banda
del sofatware
8 0
Datos 1 Pagos indebidos por desactualización de infromación

provenientes de 2 0
fuentes no 3 0
Sistema de confiables 4 0
At 17 Rol de
Pagos 5 0
Negación de 6 0
acciones 7 0
8 0

importante 3 0
Gestión de 4 0
At 18 Active
Procesamiento
6 Creación de cuentas erróneas
ilegal de los
datos
Procesamiento
ilegal de los
7 Información incompleta
datos
8 Daños por acceso de muchos usuarios administradores
Incumplimiento 1 Falta de recurso humano

disponibilidad 3 0
del personal 4 0
Personal de
At 19
TI
5 Contrato de personal sin los procedimientos adecuados
Procesamiento
6 0
ilegal de los
7 0
datos
8 0
Falta de conocimiento de las normas académicas para el personal

Incumplimiento 1
de TI
em la 2 0
disponibilidad 3 0
personal TI del personal 4 0
para la
At 20
Gestión
académica Uso de personal de otras áreas sin porevia notificación y
Abuso de 6
autorización
derechos 7 0
8 0
1 0
2 0
0
3 0
4 0
At 21 0
5 0
6 0
0
7 0
8 0

Divulgación
3 0
Sistema de 4 0
At 22 emisión de
títulos 5 Falla en los equipos de red que cintienen el aplicativo
Mal
6 0
funcionamiento
del equipo
Mal
funcionamiento
7 0
del equipo
8 0
1 Falta de conocimiento sobre el funcionamiento del aplicativo

Error em el uso
3 0
Sistema de 4 0
registro
At 23
funcionario
s
Manipulación 6 Cambios no registrados por mantenimientos no planificados
com software 7 0
8 0

2 Falla de servidor
Falla del equipo
3 0
4 0
Plataforma
At 24
office365
Error em el uso
7 0
8 0

Espionaje 2 0
remoto 3 0
Bases de 4 0
At 25 datos de
Error em el uso
8 0
Error em el uso
3 0
Bases de 4 0
At 26 datos del
Espionaje 6 0
remoto
Espionaje
remoto 7 0
8 0
1 #REF!
2 #REF!
0
3 #REF!
4 #REF!
#REF! #REF!
5 #REF!
6 #REF!
0
7 #REF!
8 #REF!
Incumplimiento 1 Falta de personal capacitado

disponibilidad 3 0
Data del personal 4 0
Center -
At 28
red de
datos
Falla del equipo
7 0
8 0
1 Mala manipulación de los equipos por parte de los usuarios

Destruicción del
equipo o los
3 0
medios
impresoras 4 0
At 29 institucional
Polvo,
corrosión,
7 0
congelamiento
8 0
1 Falta de control en los dispositivos externos que contienen el SW

Hurto de
2 0
medios o
3 0
documentos
Software 4 0
At 30 adquirido
por UCE Incumplimiento 5 Servicio deficiente de soporte por parte del proveedor
em el
6 Falta de conociemiento del personal de soporte del proveedor
mantenimiento
del sistema de
em el
mantenimiento
7 Falta de contratación del mantenimiento
del sistema de
información 8 0
cuencias - Gravedad
La relevancia de lo activo para el

Consecuencia Gravedad / consecuencias Justificació
negocio
,
pérdida de confidencialidad Alta
pérdida de la integridad Alta
afecta a la imagen y la reputación Bajo
DEFINIR LAS CONSECUENCIAS: Insignificante
Importante
Perda de Integridade Insignificante
pérdida de la integridad Promedio
pérdida de la disponibilidad Promedio

CRÍTICO
pérdida de confidencialidad Bajo

pérdida de autenticidad Bajo
pérdida financiera por re trabajo Promedio
Crítico
pérdida de autenticidad Alta
pérdida financiera por re trabajo Insignificante

CRÍTICO
pérdida de confidencialidad Muy Alta

pérdida de confidencialidad Promedio
Crítico
pérdida de la disponibilidad Muy Alta
pérdida de la disponibilidad Alta

afecta a la imagen y la reputación Promedio
Significativo
pérdida de confidencialidad Promedio Robo de datos

Importante
afecta a la imagen y la reputación Insignificante
pérdida de la integridad Insignificante

Importante
pérdida de confidencialidad Insignificante

Significativo

Significativo

Crítico

Significativo

Crítico

Significativo
pérdida de la disponibilidad Insignificante

Importante
pérdida financiera con una multa contractual o legale Insignificante

Crítico
pérdida de autenticidad Insignificante

Crítico

Importante

Significativo

Bajo

CRÍTICO

Significativo

Bajo

Crítico

Crítico

Importante

CRÍTICO

Crítico

Bajo

Bajo
Volver al p
sesión
ustificación / Evidencia
atos
ver al principio de la
ión
Sesión 6
Objetivo: Aplicar los conocimientos adquiridos en la sesión 6. Entender, desarrolla
En las tres actividades que forman parte de esta sesión, se verá a los conceptos apre
6.1 Clasificación de probabilidad
6.2 Definição das Estimativas (pesos)
6.3 Resultado de la estimación

nder, desarrollar la estimación del riesgo.

ructor.
dad
s (pesos)
ón

Clasificación de pro
Activo Amenazas Controle Existente Nr
Controle
Hurto de medios o sistemas 2
proceso de documentos 3
Controle No existe
matriculaci 4
At 01 ón
pregrado y Restricción en el acceso a la 5
posgrado Controle
ared 6
Espionaje remoto
7
Controle No existe
8
1
Controle No existe
2
0
3
Controle No existe
4
At 02 0
5
Controle No existe
6
0
0
7
Controle No existe
8
1
Controle No existe
Procesamiento ilegal de los 2
Procesos datos 3
Controle No existe
sistemático 4
At 03 s de
Gestión 5
académica Controle Cobertura
Datos provenientes de 6
fuentes no confiables 7
Controle No existe
8
1
Controle No existe
2
0
3
Controle No existe
4
At 04 0
5
Controle Cobertura
6
0
7
Controle No existe
8
Controle
Hurto de medios o sistemas 2
documentos 3
Controle No existe
Procedimie 4
At 05 ntos de
Titulación Cobertura, monitoreo 5
Controle
Falla em el equipo de constante de la funcionalidad 6
telecomunicaciones 7
Controle No existe
8
1
Controle No existe
2
3
Proceso de Controle No existe
4
concursos
At 06
de méritos
5
y oposición Controle Cobertura
datos
y oposición
Procesamiento ilegal de los
datos 7
Controle No existe
8
Restricción y control de acceso 1

Controle
a servicios 2
Error em el uso
3
4
autenticaci
At 07
ón de
5
usuarios Controle Cobertura
6
7
Controle No existe
8
1
Controle No existe
datos 3
Controle No existe
Procedimie 4
At 08 ntos de
Titulación 5
Controle Cobertura
6
7
Controle No existe
8
1
Controle No existe
2
Historial de 3
Controle No existe
datos 4
At 09 académicos
de los 5
Docentes. Controle Cobertura
datos 7
Controle No existe
8
1
Controle No existe
Base de 2
información 3
Controle No existe
personal de 4
At 10 todos los
funcionario 5
s de la Controle Cobertura
institución. datos
s de la Procesamiento ilegal de los
institución. datos 7
Controle No existe
8
1
Controle No existe
2
Espionaje remoto
3
Controle No existe
4
Sistema
At 11
Académico
5
Controle Cobertura
6
7
Controle No existe
8
1
Controle No existe
datos 3
Controle No existe
Sistema de 4
At 12 Talento
Humano 5
Controle Cobertura
Hurto de medios o 6
documentos 7
Controle No existe
8
1
Incumplimiento em el Controle No existe
2
mantenimiento del sistema de
3
información Controle No existe
4
Sistema de
At 13
Titulación
5
Controle Cobertura
6
7
Controle No existe
8
1
Controle No existe
Polvo, corrosión, 2
congelamiento 3
Controle No existe
Computado 4
At 14 ras de la
institución Limitación de configuración de
5
Controle equipos para evitar daños del
Mal funcionamiento del 6
sistema.
equipo
Mal funcionamiento del
equipo 7
Controle No existe
8
1
Controle No existe
equipo 3
Controle No existe
4
Equipos de
At 15
red
5
Controle Cobertura
6
Falla del equipo
7
Controle No existe
8
1
Controle No existe
2
Error em el uso
3
Controle No existe
4
Sistema
At 16
financiero
5
Controle Cobertura
sofatware 7
Controle No existe
8
1
Controle No existe
Datos provenientes de 2
fuentes no confiables 3
Controle No existe
Sistema de 4
At 17 Rol de
Pagos 5
Controle Cobertura
6
7
Controle No existe
8
1
Controle No existe
2
Accidente importante
3
Controle No existe
Gestión de 4
At 18 Active
Directory 5
Controle Cobertura
datos
Procesamiento ilegal de los
datos 7
Controle No existe
8
1
Controle No existe
Incumplimiento em la 2
disponibilidad del personal 3
Controle No existe
4
Personal de
At 19
TI
5
Controle Cobertura
datos 7
Controle No existe
8
1
Controle No existe
personal TI Controle No existe
4
para la
At 20
Gestión
5
académica Controle Cobertura
6
Abuso de derechos
7
Controle No existe
8
1
Controle No existe
2
0
3
Controle No existe
4
At 21 0
5
Controle Cobertura
6
0
7
Controle No existe
8
1
Controle No existe
2
Divulgación
3
Controle No existe
Sistema de 4
At 22 emisión de
títulos 5
Controle Cobertura
equipo
equipo 7
Controle No existe
8
1
Controle No existe
2
Error em el uso
3
Sistema de Controle No existe
4
registro
At 23
funcionario
5
s Controle Cobertura
6
7
Controle No existe
8
1
Controle No existe
2
Falla del equipo
3
Controle No existe
4
Plataforma
At 24
office365
5
Controle Cobertura
6
Error em el uso
7
Controle No existe
8
1
Controle No existe
2
Espionaje remoto
3
Controle No existe
Bases de 4
At 25 datos de
estudiantes 5
Controle Cobertura
6
Error em el uso
7
Controle No existe
8
1
Controle No existe
2
Error em el uso
3
Controle No existe
Bases de 4
At 26 datos del
personal 5
Controle Cobertura
6
Espionaje remoto
Espionaje remoto
7
Controle No existe
8
1
Controle No existe
2
0
3
Controle No existe
4
#REF! #REF!
5
Controle Cobertura
6
0
7
Controle No existe
8
1
Controle No existe
Data Controle No existe
4
Center -
At 28
red de
5
datos Controle Cobertura
6
Falla del equipo
7
Controle No existe
8
1
Controle No existe
Destruicción del equipo o los 2
medios 3
Controle No existe
impresoras 4
At 29 institucional
es 5
Controle Cobertura
Polvo, corrosión, 6
congelamiento 7
Controle No existe
8
1
Controle No existe
Hurto de medios o 2
documentos 3
Controle No existe
Software 4
At 30 adquirido
por UCE 5
Incumplimiento em el Controle Cobertura
6
información
Incumplimiento em el
7
8
Clasificación de probabilidad
Vulnerabilidades Encontradas Consecuencia
Falta de control en la conservación y restricción de documentos e información pérdida de confidencialidad

Falta de control en el acceso de personas externas al área pérdida de la integridad
Falta de conocimiento sobre politicas de seguridad afecta a la imagen y la reputación
Falta de políticas de control documentadas pérdida de la integridad
Infiltración en la red por falta de niveles de seguridad pérdida de la disponibilidad

Falta de información previa de las partes interesadas pérdida de autenticidad
Personal no capacitado pérdida financiera por re trabajo
Información no sustentada, ni debidamente manejada pérdida de autenticidad

Personal no capacitado pérdida de la integridad
Falta de organización en las actividades pérdida financiera por re trabajo
Falta de control en el acceso de personas externas pérdida de confidencialidad

Dejar documentos sin protección sobre los escritorios pérdida de confidencialidad
infiltración en la red de datos pérdida de confidencialidad
Caida de la página durante el proceso de postulación pérdida de la disponibilidad

Pérdida de conectividad a internet pérdida de la disponibilidad
Corte imprevisto de electricidad pérdida de la disponibilidad
Demora en la preparación de los datos a procesar pérdida financiera por re trabajo

Falta de tiempo afecta a la imagen y la reputación

Fuente no confiable de información pérdida de la integridad
Imparten a otras personas sus claves de usuario de uso personal pérdida de confidencialidad
Colocar claves en lugares visibles pérdida de confidencialidad
Mantener claves demaciado fáciles pérdida de confidencialidad
El usuario no cambia claves constantemente pérdida de confidencialidad
Creación de usuarios con datos erróneos afecta a la imagen y la reputación

Infiltración en los sistemas para alteraciones en la información pérdida de la integridad
Alteración de notas pérdida de la integridad

Infiltración en el sistema y alteración de datos pérdida de confidencialidad

Mal manejo de los datos por falta de conocimiento pérdida financiera por re trabajo
Alteración en la información por favoritismo o perjuicio pérdida de la integridad

Generar la manipulación de datos sin la respectiva autorización pérdida de confidencialidad

Acceso sin permisos para alterar los datos pérdida de confidencialidad

Información desactualizada pérdida de la integridad
Información inconsistente pérdida de la integridad
Proporción de Base de datos a agentes externos afecta a la imagen y la reputación

No hay niveles de seguridad suficientemente restringidos pérdida de confidencialidad

Los usuarios graban sus contraseñas en los equipos pérdida de confidencialidad
Datos incosistentes pérdida de la integridad

Datos desactualizados pérdida de la integridad
Muchos usuarios tienen acceso de administrador pérdida de confidencialidad
Sistema con software desactualizado pérdida de la integridad

Falta de niveles de seguridad pérdida de la integridad
Inconsistencia de datos Perda de Integridade
No hay seguridad física pérdida de confidencialidad

No hay restricción de acceso en el equipo servidor pérdida de confidencialidad
Desactualización de SW pérdida de la integridad

Pérdida de datos por la falta de control en el sistema pérdida de la integridad
Mal manejo del sistema por cambios mal realizados pérdida de la integridad
Cambios indebidos sin autorización previa pérdida de la integridad
Ubicación en lugares indebidos pérdida financiera por re trabajo

Falta de planes de mantenimiento contínuo pérdida financiera por re trabajo


Defectos de fábrica pérdida financiera con una multa contractual o legale

Instalación indebida de SW pérdida de la disponibilidad
Falta de planes de mantenimiento preventivo afecta a la imagen y la reputación
Falta de conocimiento en el uso del sistema pérdida de la disponibilidad

Personal con falta de conocimiento pérdida de la disponibilidad
SW desactualizado pérdida de autenticidad

Servidor de acceso no disponible pérdida de la disponibilidad
Falta de ancho de banda pérdida de la disponibilidad
Pagos indebidos por desactualización de infromación pérdida financiera por re trabajo

Caida del servidor pérdida de la disponibilidad

Desactualización del sistema pérdida de autenticidad
Creación de cuentas de usuarios inexistentes pérdida de autenticidad

Creación de cuentas erróneas pérdida de autenticidad
Información incompleta pérdida de la integridad
Daños por acceso de muchos usuarios administradores pérdida de la integridad
Falta de recurso humano afecta a la imagen y la reputación

Falta de personal capacitado afecta a la imagen y la reputación
Contrato de personal sin los procedimientos adecuados pérdida de la integridad

Falta de conocimiento de las normas académicas para el personal de TI pérdida de la integridad

Solicitudes indebidas de cambios pérdida de la integridad

Uso de personal de otras áreas sin porevia notificación y autorización pérdida de la integridad
Publicación insuficiente del aplicativo y sus procesos pérdida de autenticidad

Falta de capacitación previa en el uso del sistema afecta a la imagen y la reputación
Falla en los equipos de red que cintienen el aplicativo pérdida de la disponibilidad

Falta de conocimiento sobre el funcionamiento del aplicativo afecta a la imagen y la reputación

Falta de interes de conociemiento del usuario afecta a la imagen y la reputación
Manipulación indebida del software aplicativo pérdida de la integridad

Cambios no registrados por mantenimientos no planificados pérdida financiera por re trabajo
Daño de los equipos de red pérdida de la disponibilidad

Falla de servidor pérdida de la disponibilidad

Uso inapropiado de sus aplicaciones pérdida de la integridad






Falta de personal capacitado pérdida financiera por re trabajo

Falta de recursos para el óptimo funcionamiento afecta a la imagen y la reputación
Cortes imprevistos de energía eléctrica pérdida de la disponibilidad

Falla de equipos generadores de energía pérdida de la disponibilidad
Mala manipulación de los equipos por parte de los usuarios pérdida financiera por re trabajo
Ubicación en lugares inadecuados pérdida financiera por re trabajo

Falta de control en los dispositivos externos que contienen el SW pérdida financiera por re trabajo
Servicio deficiente de soporte por parte del proveedor pérdida financiera por re trabajo
Falta de conociemiento del personal de soporte del proveedor pérdida financiera por re trabajo
Falta de contratación del mantenimiento pérdida financiera por re trabajo
La relevancia de lo activo para el
Gravedad / consecuencias Probabilidad Justificación
negocio
Alta Provável
Alta Provável
Bajo Provável
Insignificante Ocasional
Importante
Promedio Provável
Promedio Remoto
CRÍTICO
Bajo Provável
Bajo Provável
Promedio Ocasional
Crítico
Alta Provável
Promedio Ocasional
Insignificante Provável
CRÍTICO
Muy Alta Ocasional

Promedio Frequente
Muy Alta Remoto
Crítico
Muy Alta Ocasional
Alta Remoto
Alta Remoto
Promedio Frequente
Promedio Provável
Significativo
Promedio Provável
Promedio Provável
Promedio Frequente
Alta Frequente
Bajo Frequente
Bajo Frequente
Importante
Insignificante Frequente
Insignificante Remoto
Importante
Significativo
Significativo
Crítico
Significativo
Crítico
Significativo
Importante
Insignificante Improvável
Crítico
Crítico
Importante
Significativo
Bajo
CRÍTICO
Significativo
Bajo
Crítico
Crítico
Importante
CRÍTICO
Crítico
Bajo
Bajo
sesión
de la
Definição das Estimativas (pes
PREENCHA APENAS OS PESOS
Criterio de probabilidad
Nível Definição
Frequente Han habido por lo menos una vez al mes
Es posible que se produzca cada 6 meses o menos. En los últimos seis

Provável
que ya se ha producido
Ocasional En el año pasado se han producido al menos 1 vez.
Remoto En los últimos cinco años se ha producido al menos 3 veces
Improvável Nunca se le ocurrió
Relevância do Ativo
Nível Definição
Insignificante De acuerdo con su organización - No afecta a la institución para contin
De acuerdo con su organización - Afecta de forma mínima pero no ev

Bajo
continuidad del negocio.
Significativo Importante para el negocio, porque todos los procesos pasan a través
De acuerdo con su organización - que el personal cuente con el entorn

Importante
trabajo lo suficientemente equipado.
De acuerdo con su organización - Los activos no reporten los custodio
Crítico
serán responsables.
Severidade das Consequencias

Nível Definição
Los acontecimientos no afectan a la empresa y no causan listas durant
Insignificante
de cinco minutos.
De acuerdo con su organización - Afectan a la organización con bajo im
Bajo
pero deben ser resueltos.
De acuerdo con su organización - Dificultan la continuidad de los proc
Promedio
afectando una parte de la organización.
De acuerdo con su organización - Detienen parte de los procesos e
Alta
ejecución que permiten continuidad parcial.
De acuerdo con su organización - Dependiendo de las consecuencias
Muy Alta
mayoria de los procesos detienen la continuidad evitando culminar
Impacto
Nível Definição
Despreciable De acuerdo con su organización - AJUSTE DURANTE EL EJERCICIO
Significativo De acuerdo con su organización - AJUSTE DURANTE EL EJERCICIO
Afectar a la imagen de la organización y causar interrupciones de 12 ho

Importante
el negocio. La empresa deja de funcionar / producción durante 12 ho
Desastre De acuerdo con su organización - AJUSTE DURANTE EL EJERCICIO
Critério de Risco
Nível Descrição
La organización interrumpe totalmente sus servicios durante más de
horas, parando de realizar servicios y productos, que afecta
Extremo
significativamente su imagen pública. Las pérdidas finacieras son alt
demandas en la justicia


das Estimativas (pesos)
ENAS OS PESOS
robabilidad
Definição Peso
o menos una vez al mes 4
meses o menos. En los últimos seis meses

3
e ha producido
an producido al menos 1 vez. 2
e ha producido al menos 3 veces 1
se le ocurrió 0
do Ativo
Definição Peso
No afecta a la institución para continuidad 1
Afecta de forma mínima pero no evita la

2
ad del negocio.
e todos los procesos pasan a través de él. 3
que el personal cuente con el entorno de

4
ientemente equipado.
Los activos no reporten los custodios que
5
responsables.
Consequencias
Definição Peso
a empresa y no causan listas durante más
1
nco minutos.
fectan a la organización con bajo impacto,
2
en ser resueltos.
Dificultan la continuidad de los procesos,
3
arte de la organización.
n - Detienen parte de los procesos en
4
miten continuidad parcial.
Dependiendo de las consecuencias en la
5
nen la continuidad evitando culminar.
mpacto
Definição Peso Cálculo
ón - AJUSTE DURANTE EL EJERCICIO 1 5
ón y causar interrupciones de 12 horas en

4 20
uncionar / producción durante 12 horas.
Critério de Risco
escrição De Até Prioridade

mente sus servicios durante más de 48
servicios y productos, que afecta
81 100 1
blica. Las pérdidas finacieras son altas,
as en la justicia
ón - AJUSTE DURANTE EL EJERCICIO 49 80 2

Nenhuma
Estudo Futuro
sesión
Resultado de la estimación
Activo Amenazas Control Existente Nr Vulnerabilidades Encontradas

Control Seguridades en el acceso a 1
documentos e información
Hurto de e sistemas Falta de control en el acceso de personas externas
2
medios o al área
documentos Control 3 Falta de conocimiento sobre politicas de seguridad
proceso de No existe
e 4 0
matriculaci
At 01 ón
pregrado y 5 0
Control Restricción en el acceso a la
posgrado
e ared 6 Falta de políticas de control documentadas
Espionaje
remoto Infiltración en la red por falta de niveles de
Control 7
No existe seguridad
e 8 0
Control 1 0
No existe
e
Control
No existe
e 2 0
0
Control 3 0
No existe
e 4 0
At 02 0
Control 5 0
No existe
e 6 0
0
Control 7 0
No existe
e 8 0
Control 1 Personas no éticas como parte del personal

No existe Falta de información previa de las partes
Procesamiento e 2
datos Control 3 Personal no capacitado
Procesos No existe
e 4 0
sistemático
At 03 s de
Gestión Información no sustentada, ni debidamente
Control 5
académica Cobertura manejada
Datos e
provenientes de 6 Personal no capacitado
confiables Control
No existe
e 8 0
Control 1 0
No existe
e 2 0
0
Control 3 0
No existe
e 4 0
At 04 0
Control 5 0
Cobertura
e 6 0
0
Control 7 0
No existe
e 8 0
Control Seguridades en el acceso a 1 Falta de control en el acceso de personas externas
Hurto de e sistemas Dejar documentos sin protección sobre los
2
documentos Control 3 infiltración en la red de datos
No existe
e 4 0
Procedimie
At 05 ntos de
Titulación Caida de la página durante el proceso de
Control Cobertura, monitoreo 5
postulación
Falla em el e constante de la funcionalidad
nes Control
No existe
e 8 0
Control 1 Demora en la preparación de los datos a procesar

No existe
e 2 #REF!
Corrupción de
Control
No existe
Proceso de e 4 0
concursos
At 06
de méritos
y oposición Control 5 Personas no éticas como parte del personal
Cobertura
Procesamiento e 6 Fuente no confiable de información
ilegal de los
datos Control 7 0
No existe
e 8 0

Control Restricción y control de 1
de uso personal
e acceso a servicios 2 Colocar claves en lugares visibles
Error em el uso
Control 3 Mantener claves demaciado fáciles
No existe
Proceso de e 4 El usuario no cambia claves constantemente
autenticaci
At 07
ón de
usuarios Control 5 Creación de usuarios con datos erróneos
Cobertura Infiltración en los sistemas para alteraciones en la
e 6
Corrupción de información
los datos 7 0
Control
No existe
e 8 0
Control 1 Alteración de notas
No existe
Procesamiento e 2 0
ilegal de los
datos Control 3 0
No existe
e 4 0
Procedimie
At 08 ntos de
Control
Cobertura
e 6 Mal manejo de los datos por falta de conocimiento
Corrupción de
los datos 7 0
Control
No existe
e 8 0

Control 1
No existe perjuicio
e 2 0
Corrupción de
los datos 3 0
Control
Historial de No existe
e 4 0
datos
At 09 académicos
de los Generar la manipulación de datos sin la respectiva
Control 5
Docentes. Cobertura autorización
Procesamiento e 6 0
ilegal de los
datos Control 7 0
No existe
e 8 0
Control 1 Acceso sin permisos para alterar los datos

No existe
e 2 Información desactualizada
Corrupción de
Base de los datos 3 Información inconsistente
Control
información No existe
e 4 0
personal de
At 10 todos los
Control
s de la Cobertura
e
institución. Procesamiento 6 0
ilegal de los
datos Control 7 0
No existe
e
datos Control
No existe
e 8 0

Control 1
No existe restringidos
e 2 Los usuarios graban sus contraseñas en los equipos
Espionaje
remoto 3 0
Control
No existe
e 4 0
Sistema
At 11
Académico
Control 5 Datos incosistentes
Cobertura
e 6 Datos desactualizados
Corrupción de
Control
No existe
e 8 0
Control 1 Sistema con software desactualizado

No existe
Procesamiento e 2 Falta de niveles de seguridad
ilegal de los
datos Control 3 Inconsistencia de datos
No existe
e 4 0
Sistema de
At 12 Talento
Control
Cobertura
Hurto de e 6 No hay restricción de acceso en el equipo servidor
medios o
documentos Control 7 0
No existe
e 8 0
1 Desactualización de SW
Incumplimiento Control No existe
em el e Pérdida de datos por la falta de control en el
2
del sistema de Control 3 0
e 4 0
Sistema de
At 13
Titulación
Control 5 Mal manejo del sistema por cambios mal realizados
Cobertura
e 6 Cambios indebidos sin autorización previa
Manipulación
com software
Manipulación
com software 7 0
Control
No existe
e 8 0
Control 1 Ubicación en lugares indebidos

No existe
Polvo, e 2 Falta de planes de mantenimiento contínuo
corrosión,
congelamiento Control 3 0
No existe
e 4 0
Computado
At 14 ras de la
institución Limitación de configuración de 5 Cumplimiento de tiempo de vida útil
Control
equipos para evitar daños del
Mal e 6 Uso de equipos obsoletos
sistema.
funcionamiento
del equipo Control 7 0
No existe
e 8 0
Control 1 Cumplimiento de tiempo de vida útil

No existe
Mal e 2 Uso de equipos obsoletos
funcionamiento
No existe
e 4 0
Equipos de
At 15
red
Control 5 Defectos de fábrica
Cobertura
e 6 Instalación indebida de SW
Falla del equipo
Control 7 Mala manipulación
No existe
e 8 Falta de planes de mantenimiento preventivo
Control 1 Falta de conocimiento en el uso del sistema

No existe
e 2 Personal con falta de conocimiento
Error em el uso
Control 3 0
No existe
e 4 0
Sistema
At 16
financiero
Control 5 SW desactualizado
Cobertura
Mal e
Control
Cobertura
Mal e 6 Servidor de acceso no disponible
funcionamiento
del sofatware Control 7 Falta de ancho de banda
No existe
e 8 0

Control 1
No existe infromación
Datos e
provenientes de 2 0
fuentes no 3 0
confiables Control
No existe
e 4 0
Sistema de
At 17 Rol de
Pagos 5 0
Control
Cobertura
e 6 0
Negación de
acciones 7 0
Control
No existe
e 8 0
Control 1 Caida del servidor

No existe
e 2 Desactualización del sistema
Accidente
importante 3 0
Control
No existe
e 4 0
Gestión de
At 18 Active
Control
Cobertura
Procesamiento e 6 Creación de cuentas erróneas
ilegal de los
datos Control 7 Información incompleta
No existe Daños por acceso de muchos usuarios
e 8
administradores
Control 1 Falta de recurso humano

Incumplimiento No existe
e 2 Falta de personal capacitado
em la
disponibilidad 3 0
del personal Control No existe
e 4 0
Personal de
At 19
TI
Personal de
At 19
Control 5
Cobertura adecuados
Procesamiento e 6 0
ilegal de los
datos Control 7 0
No existe
e 8 0

Control 1
No existe para el personal de TI
Incumplimiento e
em la 2 0
disponibilidad 3 0
personal TI e 4 0
para la
At 20
Gestión
académica Control 5 Solicitudes indebidas de cambios
Cobertura Uso de personal de otras áreas sin porevia
e 6
Abuso de notificación y autorización
derechos 7 0
Control
No existe
e 8 0
Control 1 0
No existe
e 2 0
0
Control 3 0
No existe
e 4 0
At 21 0
Control 5 0
Cobertura
e 6 0
0
Control 7 0
No existe
e 8 0
Control 1 Publicación insuficiente del aplicativo y sus procesos

No existe
e 2 Falta de capacitación previa en el uso del sistema
Divulgación
Control 3 0
No existe
e
Sistema de
At 22 emisión de
Control
No existe
e 4 0
Sistema de
At 22 emisión de
títulos Falla en los equipos de red que cintienen el
Control 5
Cobertura aplicativo
Mal e 6 0
funcionamiento
No existe
e 8 0

Control 1
No existe aplicativo
e 2 Falta de interes de conociemiento del usuario
Error em el uso
Control 3 0
No existe
Sistema de e 4 0
registro
At 23
funcionario
s Control 5 Manipulación indebida del software aplicativo
Cobertura Cambios no registrados por mantenimientos no
e 6
Manipulación planificados
com software 7 0
Control
No existe
e 8 0
Control 1 Daño de los equipos de red

No existe
e 2 Falla de servidor
Falla del equipo
Control 3 0
No existe
e 4 0
Plataforma
At 24
office365
Control 5 Falta de conocimiento
Cobertura
e 6 Uso inapropiado de sus aplicaciones
Error em el uso
Control 7 0
No existe
e 8 0
Control 1 Alteración de información por infiltración

No existe
e 2 0
Espionaje
remoto
Espionaje
remoto 3 0
Control
No existe
e 4 0
Bases de
At 25 datos de
Control
Cobertura
e 6 Acceso no autorizado
Error em el uso
No existe
e 8 0

No existe
e 2 Acceso no autorizado
Error em el uso
Control 3 0
No existe
e 4 0
Bases de
At 26 datos del
Control
Cobertura
e 6 0
Espionaje
remoto 7 0
Control
No existe
e 8 0
Control 1 #REF!
No existe
e 2 #REF!
0
Control 3 #REF!
No existe
e 4 #REF!
#REF! #REF!
Control 5 #REF!
Cobertura
e 6 #REF!
0
Control 7 #REF!
No existe
e 8 #REF!
Control 1 Falta de personal capacitado

e
em la
Control
e 2 Falta de recursos para el óptimo funcionamiento
em la
disponibilidad 3 0
Data e 4 0
Center -
At 28
red de
datos Control 5 Cortes imprevistos de energía eléctrica
Cobertura
e 6 Falla de equipos generadores de energía
Falla del equipo
Control 7 0
No existe
e 8 0

Control 1
No existe usuarios
Destruicción del e 2 Falta de mantenimiento preventivo contínuo
equipo o los
medios Control 3 0
No existe
e 4 0
impresoras
At 29 institucional
Control
Cobertura
Polvo, e 6 Falta de mantenimiento preventivo contínuo
corrosión,
congelamiento Control 7 0
No existe
e 8 0

Control 1
No existe contienen el SW
Hurto de e 2 0
medios o
documentos Control 3 0
No existe
e 4 0
Software
At 30 adquirido
por UCE Servicio deficiente de soporte por parte del
5
Incumplimiento Control Cobertura proveedor
em el e Falta de conociemiento del personal de soporte del
6
del sistema de Control 7 Falta de contratación del mantenimiento
e 8 0
ción
Consecuencia La relevancia de lo activo para el negocio Gravedad / consecuencias

Importante 4

CRÍTICO 5

Crítico 5

CRÍTICO 5
Crítico 5

Significativo 3

Importante 4
Importante 4

Significativo 3

Significativo 3

Crítico 5

Significativo 3

Crítico 5

Significativo 3

Importante 4

Crítico 5

Crítico 5

Importante 4

Significativo 3
Significativo 3

Bajo 2

CRÍTICO 5

Significativo 3
Significativo 3

Bajo 2

Crítico 5

Crítico 5

Importante 4

CRÍTICO 5

Crítico 5

Bajo 2

Bajo 2
IMPACTO= RELEVANCIA DEL
ACTIVO * GRAVEDAD
Impacto Probabilidad Justificación
4 16 Significativo Provável 3
2 8 Despreciable Provável 3
1 4 Ocasional 2
1 4 Ocasional 2
3 12 Bajo Provável 3
3 12 Bajo Remoto 1
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
3 12 Bajo Ocasional 2
1 4 Ocasional 2
3 12 Bajo Ocasional 2
1 4 Provável 3
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
5 20 Importante Ocasional 2
3 12 Bajo Frequente 4
5 20 Importante Remoto 1
1 4 Ocasional 2
5 20 Importante Ocasional 2
4 16 Significativo Remoto 1
4 16 Significativo Remoto 1
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
4 16 Significativo Frequente 4
2 8 Despreciable Frequente 4
2 8 Despreciable Frequente 4
1 4 Frequente 4
1 4 Remoto 1
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Remoto 1
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Remoto 1
1 4 Frequente 4
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Remoto 1
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Provável 3
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Remoto 1
1 4 Frequente 4
1 4 Provável 3
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Frequente 4
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Frequente 4
1 4 Provável 3
1 4 Frequente 4
1 4 Ocasional 2
1 4 Frequente 4
1 4 Provável 3
1 4 Frequente 4
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Frequente 4
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Remoto 1
1 4 Remoto 1
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Remoto 1
1 4 Remoto 1
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Provável 3
1 4 Provável 3
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Remoto 1
1 4 Improvável 0
1 4 Provável 3
1 4 Remoto 1
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Remoto 1
1 4 Improvável 0
1 4 Ocasional 2
1 4 Provável 3
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Improvável 0
1 4 Provável 3
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Provável 3
1 4 Provável 3
1 4 Frequente 4
1 4 Provável 3
1 4 Provável 3
1 4 Frequente 4
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Provável 3
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Frequente 4
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Frequente 4
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Frequente 4
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Improvável 0
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Frequente 4
1 4 Frequente 4
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Provável 3
1 4 Remoto 1
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Improvável 0
1 4 Improvável 0
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Frequente 4
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Remoto 1
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Frequente 4
1 4 Provável 3
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Provável 3
1 4 Frequente 4
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Remoto 1
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Improvável 0
1 4 Provável 3
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Improvável 0
1 4 Improvável 0
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Frequente 4
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Frequente 4
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Frequente 4
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Ocasional 2
1 4 Remoto 1
1 4 Ocasional 2
1 4 Frequente 4
1 4 Ocasional 2
sesión
Sesión 7
cualitativa del proceso riesgo y calcular el riesgo.
En las dos actividades que forman parte de esta sesión, se verá a los conceptos aprendidos e
7.1 Calcular el Riesgo
7.2 Evaluación de los Riesgos

prender y desarrollar una evaluación
tos aprendidos en la sesión 7, la norma 27005.

ructor.

Calcular el Riesgo

1
Hurto de Falta de control en el acceso de personas externas
2
medios o al área
documentos 3 Falta de conocimiento sobre politicas de seguridad
proceso de
matriculaci 4 0
At 01 ón
pregrado y 5 0
posgrado
Espionaje 6 Falta de políticas de control documentadas
remoto Infiltración en la red por falta de niveles de
7
seguridad
8 0
1 0
0
2 0
0
3 0
4 0
At 02 0
5 0
6 0
0
7 0
8 0

Procesamiento Falta de información previa de las partes
2
datos 3 Personal no capacitado
Procesos
sistemático 4 0
At 03 s de
5
académica manejada
Datos
confiables
8 0
1 0
2 0
0
3 0
4 0
At 04 0
5 0
6 0
0
7 0
8 0
Hurto de Dejar documentos sin protección sobre los
2
documentos 3 infiltración en la red de datos
Procedimie 4 0
At 05 ntos de
5
postulación
Falla em el
nes
8 0
Proceso de 4 0
concursos
At 06
de méritos
y oposición 5 Personas no éticas como parte del personal
Procesamiento 6 Fuente no confiable de información
ilegal de los
datos 7 0
8 0

1
de uso personal
Error em el uso
autenticaci
At 07
ón de
usuarios 5 Creación de usuarios con datos erróneos
Infiltración en los sistemas para alteraciones en la
Corrupción de 6
información
los datos 7 0
8 0
Procesamiento 2 0
ilegal de los
datos 3 0
Procedimie 4 0
At 08 ntos de

los datos 7 0
8 0

1
perjuicio
Corrupción de 2 0
los datos 3 0
Historial de
datos 4 0
At 09 académicos
5
Docentes. autorización
Procesamiento 6 0
ilegal de los
datos 7 0
8 0
Corrupción de 2 Información desactualizada

información
personal de 4 0
At 10 todos los
s de la
ilegal de los
datos 7 0
datos
8 0

1
restringidos
remoto 3 0
4 0
Sistema
At 11
Académico

8 0

Procesamiento 2 Falta de niveles de seguridad
ilegal de los
datos 3 Inconsistencia de datos
Sistema de 4 0
At 12 Talento
Hurto de 6 No hay restricción de acceso en el equipo servidor
medios o
documentos 7 0
8 0
Incumplimiento
em el Pérdida de datos por la falta de control en el
2
del sistema de 3 0
información
4 0
Sistema de
At 13
Titulación

com software
Manipulación
com software 7 0
8 0

Polvo, 2 Falta de planes de mantenimiento contínuo
corrosión,
congelamiento 3 0
Computado 4 0
At 14 ras de la
Mal 6 Uso de equipos obsoletos
funcionamiento
del equipo 7 0
8 0

funcionamiento
del equipo 3 0
4 0
Equipos de
At 15
red
Falla del equipo

Error em el uso
3 0
4 0
Sistema
At 16
financiero
5 SW desactualizado
Mal
Mal 6 Servidor de acceso no disponible
funcionamiento
del sofatware 7 Falta de ancho de banda
8 0

1
infromación
Datos
provenientes de 2 0
fuentes no 3 0
confiables
Sistema de 4 0
At 17 Rol de
Pagos 5 0
Negación de 6 0
acciones 7 0
8 0

importante 3 0
Gestión de 4 0
At 18 Active
Procesamiento 6 Creación de cuentas erróneas
ilegal de los
datos 7 Información incompleta
Daños por acceso de muchos usuarios
8
administradores
1 Falta de recurso humano

Incumplimiento
disponibilidad 3 0
del personal
4 0
Personal de
At 19
TI
Personal de
At 19
5
adecuados
Procesamiento 6 0
ilegal de los
datos 7 0
8 0

1
para el personal de TI
Incumplimiento
em la 2 0
disponibilidad 3 0
del personal
personal TI 4 0
para la
At 20
Gestión
académica 5 Solicitudes indebidas de cambios
Uso de personal de otras áreas sin porevia
Abuso de 6
notificación y autorización
derechos 7 0
8 0
1 0
2 0
0
3 0
4 0
At 21 0
5 0
6 0
0
7 0
8 0

Divulgación
3 0
Sistema de
At 22 emisión de
Sistema de 4 0
At 22 emisión de
5
aplicativo
Mal 6 0
funcionamiento
del equipo 7 0
8 0

1
aplicativo
Error em el uso
3 0
Sistema de 4 0
registro
At 23
funcionario
s 5 Manipulación indebida del software aplicativo
Cambios no registrados por mantenimientos no
Manipulación 6
planificados
com software 7 0
8 0

2 Falla de servidor
Falla del equipo
3 0
4 0
Plataforma
At 24
office365
Error em el uso
7 0
8 0
Espionaje 2 0
remoto
Espionaje
remoto 3 0
Bases de 4 0
At 25 datos de
Error em el uso
8 0
Error em el uso
3 0
Bases de 4 0
At 26 datos del
Espionaje 6 0
remoto 7 0
8 0
1 #REF!
2 #REF!
0
3 #REF!
4 #REF!
#REF! #REF!
5 #REF!
6 #REF!
0
7 #REF!
8 #REF!
1 Falta de personal capacitado

Incumplimiento
em la
Incumplimiento
disponibilidad 3 0
del personal
Data 4 0
Center -
At 28
red de
datos 5 Cortes imprevistos de energía eléctrica
Falla del equipo
7 0
8 0

1
usuarios
Destruicción del 2 Falta de mantenimiento preventivo contínuo
equipo o los
medios 3 0
impresoras 4 0
At 29 institucional
Polvo, 6 Falta de mantenimiento preventivo contínuo
corrosión,
congelamiento 7 0
8 0

1
contienen el SW
Hurto de 2 0
medios o
documentos 3 0
Software 4 0
At 30 adquirido
5
Incumplimiento proveedor
em el Falta de conociemiento del personal de soporte del
6
del sistema de 7 Falta de contratación del mantenimiento
información
8 0
r el Riesgo

Importante 4

CRÍTICO 5

Crítico 5

CRÍTICO 5
Crítico 5

Significativo 3

Importante 4
Importante 4

Significativo 3

Significativo 3

Crítico 5

Significativo 3

Crítico 5

Significativo 3

Importante 4

Crítico 5

Crítico 5

Importante 4

Significativo 3
Significativo 3

Bajo 2

CRÍTICO 5

Significativo 3
Significativo 3

Bajo 2

Crítico 5

Crítico 5

Importante 4

CRÍTICO 5

Crítico 5

Bajo 2

Bajo 2
Impacto Probabilidad Riesgo = Probabilidad x Impacto
4 16 Significativo Provável 3 48 Promedio

2 8 Despreciable Provável 3 24 Promedio
1 4 Ocasional 2 8 Bajo
3 12 Bajo Provável 3 36 Promedio
3 12 Bajo Remoto 1 12 Bajo

3 12 Bajo Ocasional 2 24 Promedio

3 12 Bajo Ocasional 2 24 Promedio
1 4 Provável 3 12 Bajo
5 20 Importante Ocasional 2 40 Promedio
3 12 Bajo Frequente 4 48 Promedio
5 20 Importante Remoto 1 20 Promedio
5 20 Importante Ocasional 2 40 Promedio

4 16 Significativo Remoto 1 16 Bajo
4 16 Significativo Remoto 1 16 Bajo



4 16 Significativo Frequente 4 64 Alto
2 8 Despreciable Frequente 4 32 Promedio
2 8 Despreciable Frequente 4 32 Promedio
1 4 Frequente 4 16 Bajo
1 4 Remoto 1 4 Irrelevante
1 4 Improvável 0 0 Irrelevante
sesión
Evaluación de los Riesgos

Controle documentos e información
sistemas Falta de control en el acceso de personas externas
Hurto de medios o 2
al área
proceso de Controle No existe
matriculaci 4 0
At 01 ón
pregrado y 5 0
Restricción en el acceso a la
posgrado Controle
ared 6 Falta de políticas de control documentadas
Espionaje remoto Infiltración en la red por falta de niveles de
7
Controle No existe seguridad
8 0
1 0
Controle No existe
Controle No existe
2 0
0
3 0
Controle No existe
4 0
At 02 0
5 0
Controle No existe
6 0
0
7 0
Controle No existe
8 0

Controle No existe Falta de información previa de las partes
interesadas
Procesos Controle No existe
sistemático 4 0
At 03 s de
5
académica Controle Cobertura manejada
Datos provenientes de 6 Personal no capacitado
fuentes no confiables 7 Falta de organización en las actividades
Controle No existe
8 0
1 0
Controle No existe
2 0
0
3 0
Controle No existe
4 0
At 04 0
5 0
Controle Cobertura
6 0
0
7 0
Controle No existe
8 0
Seguridades en el acceso a 1 Falta de control en el acceso de personas externas
Controle Dejar documentos sin protección sobre los
sistemas 2
Hurto de medios o escritorios
Controle No existe
Procedimie 4 0
At 05 ntos de
Cobertura, monitoreo 5
Controle postulación
constante de la funcionalidad 6 Pérdida de conectividad a internet
Falla em el equipo de
telecomunicaciones 7 Corte imprevisto de electricidad
Controle No existe
8 0

Controle No existe
2 #REF!
3 Falta de tiempo
Controle No existe
Proceso de 4 0
concursos
At 06
de méritos
Controle Cobertura
Procesamiento ilegal de los 6 Fuente no confiable de información
datos 7 0
Controle No existe
8 0

Restricción y control de 1
Controle de uso personal
acceso a servicios 2 Colocar claves en lugares visibles
Error em el uso
Controle No existe
autenticaci
At 07
ón de
Controle Cobertura Infiltración en los sistemas para alteraciones en la
6
Corrupción de los datos información
7 0
Controle No existe
8 0
Controle No existe
Procesamiento ilegal de los 2 0
datos 3 0
Controle No existe
Procedimie 4 0
At 08 ntos de
Controle Cobertura
6 Mal manejo de los datos por falta de conocimiento
7 0
Controle No existe
8 0

1
Controle No existe perjuicio
2 0
3 0
Historial de Controle No existe
datos 4 0
At 09 académicos
5
Docentes. Controle Cobertura autorización
datos 7 0
Controle No existe
8 0

Controle No existe
2 Información desactualizada
Base de 3 Información inconsistente
personal de 4 0
At 10 todos los
institución. Procesamiento ilegal de los 6 0
datos 7 0
Controle No existe
datos
Controle No existe
8 0

1
Controle No existe restringidos
2 Los usuarios graban sus contraseñas en los equipos
Espionaje remoto
3 0
Controle No existe
4 0
Sistema
At 11
Académico
Controle Cobertura
6 Datos desactualizados
7 Muchos usuarios tienen acceso de administrador
Controle No existe
8 0

Controle No existe
Procesamiento ilegal de los 2 Falta de niveles de seguridad
Controle No existe
Sistema de 4 0
At 12 Talento
Controle Cobertura
Hurto de medios o 6 No hay restricción de acceso en el equipo servidor
documentos 7 0
Controle No existe
8 0
Controle No existe Pérdida de datos por la falta de control en el
Incumplimiento em el 2
mantenimiento del sistema sistema
de información 3 0
Controle No existe
4 0
Sistema de
At 13
Titulación
Controle Cobertura
6 Cambios indebidos sin autorización previa
7 0
Controle No existe
8 0

Controle No existe
Polvo, corrosión, 2 Falta de planes de mantenimiento contínuo
congelamiento 3 0
Controle No existe
Computado 4 0
At 14 ras de la
institución Limitación de configuración 5 Cumplimiento de tiempo de vida útil
Controle de equipos para evitar daños
Mal funcionamiento del del sistema. 6 Uso de equipos obsoletos
equipo 7 0
Controle No existe
8 0

Controle No existe
Mal funcionamiento del 2 Uso de equipos obsoletos
equipo 3 0
Controle No existe
4 0
Equipos de
At 15
red
Controle Cobertura
Falla del equipo
Controle No existe

Controle No existe
Error em el uso
3 0
Controle No existe
4 0
Sistema
At 16
financiero
5 SW desactualizado
Controle Cobertura
Controle Cobertura
Mal funcionamiento del 6 Servidor de acceso no disponible
sofatware 7 Falta de ancho de banda
Controle No existe
8 0

1
Controle No existe infromación
Datos provenientes de 2 0
fuentes no confiables 3 0
Controle No existe
Sistema de 4 0
At 17 Rol de
Pagos 5 0
Controle Cobertura
6 0
7 0
Controle No existe
8 0

Controle No existe
2 Desactualización del sistema
3 0
Controle No existe
Gestión de 4 0
At 18 Active
Controle Cobertura
Procesamiento ilegal de los 6 Creación de cuentas erróneas
Controle No existe Daños por acceso de muchos usuarios
8
administradores

Controle No existe
Incumplimiento em la 2 Falta de personal capacitado
disponibilidad del personal 3 0
Controle No existe
4 0
Personal de
At 19
TI
Personal de
At 19
5
Controle Cobertura adecuados
datos 7 0
Controle No existe
8 0

1
Controle No existe para el personal de TI
Incumplimiento em la 2 0
Controle No existe
personal TI 4 0
para la
At 20
Gestión
Controle Cobertura Uso de personal de otras áreas sin porevia
6
Abuso de derechos notificación y autorización
7 0
Controle No existe
8 0
1 0
Controle No existe
2 0
0
3 0
Controle No existe
4 0
At 21 0
5 0
Controle Cobertura
6 0
0
7 0
Controle No existe
8 0

Controle No existe
Divulgación
3 0
Controle No existe
Sistema de
At 22 emisión de
Controle No existe
Sistema de 4 0
At 22 emisión de
5
Controle Cobertura aplicativo
Mal funcionamiento del 6 0
equipo 7 0
Controle No existe
8 0

1
Controle No existe aplicativo
Error em el uso
3 0
Controle No existe
Sistema de 4 0
registro
At 23
funcionario
Controle Cobertura Cambios no registrados por mantenimientos no
6
Manipulación com software planificados
7 0
Controle No existe
8 0

Controle No existe
2 Falla de servidor
Falla del equipo
3 0
Controle No existe
4 0
Plataforma
At 24
office365
Controle Cobertura
Error em el uso
7 0
Controle No existe
8 0

Controle No existe
2 0
Espionaje remoto
Espionaje remoto
3 0
Controle No existe
Bases de 4 0
At 25 datos de
Controle Cobertura
Error em el uso
Controle No existe
8 0
Controle No existe
Error em el uso
3 0
Controle No existe
Bases de 4 0
At 26 datos del
Controle Cobertura
6 0
Espionaje remoto
7 0
Controle No existe
8 0
1 #REF!
Controle No existe
2 #REF!
0
3 #REF!
Controle No existe
4 #REF!
#REF! #REF!
5 #REF!
Controle Cobertura
6 #REF!
0
7 #REF!
Controle No existe
8 #REF!

Controle No existe
Incumplimiento em la
Controle No existe
Incumplimiento em la 2 Falta de recursos para el óptimo funcionamiento
Controle No existe
Data 4 0
Center -
At 28
red de
Controle Cobertura
Falla del equipo
7 0
Controle No existe
8 0

1
Controle No existe usuarios
Destruicción del equipo o los 2 Falta de mantenimiento preventivo contínuo
medios 3 0
Controle No existe
impresoras 4 0
At 29 institucional
Controle Cobertura
Polvo, corrosión, 6 Falta de mantenimiento preventivo contínuo
congelamiento 7 0
Controle No existe
8 0

1
Controle No existe contienen el SW
Hurto de medios o 2 0
documentos 3 0
Controle No existe
Software 4 0
At 30 adquirido
5
Controle Cobertura proveedor
Incumplimiento em el Falta de conociemiento del personal de soporte del
6
mantenimiento del sistema proveedor
de información 7 Falta de contratación del mantenimiento
Controle No existe
8 0

Importante 4

CRÍTICO 5

Crítico 5

CRÍTICO 5
Crítico 5

Significativo 3

Importante 4
Importante 4

Significativo 3

Significativo 3

Crítico 5

Significativo 3

Crítico 5

Significativo 3

Importante 4

Crítico 5

Crítico 5

Importante 4

Significativo 3
Significativo 3

Bajo 2

CRÍTICO 5

Significativo 3
Significativo 3

Bajo 2

Crítico 5

Crítico 5

Importante 4

CRÍTICO 5

Crítico 5

Bajo 2

Bajo 2
4 16 Significativo Provável 3 48 Promedio 0

2 8 Despreciable Provável 3 24 Promedio 0
1 4 Ocasional 2 8 Bajo 0
3 12 Bajo Provável 3 36 Promedio 0
3 12 Bajo Remoto 1 12 Bajo 0

3 12 Bajo Ocasional 2 24 Promedio 0

1 4 Provável 3 12 Bajo 0
5 20 Importante Ocasional 2 40 Promedio 0
3 12 Bajo Frequente 4 48 Promedio 0
5 20 Importante Remoto 1 20 Promedio 0

4 16 Significativo Remoto 1 16 Bajo 0



4 16 Significativo Frequente 4 64 Alto 0
2 8 Despreciable Frequente 4 32 Promedio 0
1 4 Frequente 4 16 Bajo 0
1 4 Remoto 1 4 Irrelevante 0
1 4 Improvável 0 0 Irrelevante 0
Evaluación de Riesgos
Justificación
Prioridad
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
PRIORIDADE:
Sesión 8
riesgo y realizar la aceptación del riesgo.
En las cuatro actividades que forman parte de esta sesión, se verá a los conceptos apr
8.1 Definición de tratamiento del riesgo
8.2 Levantamiento de los Controles
8.3 Inspecciòn de Riesgos residuales
8.4 Aceitación de los Riesgos

prender y desarrollar el tratamiento del
os conceptos aprendidos en la sesión 8.

ructor.
del riesgo
ntroles
siduales

Definición de tratamiento del riesgo

1
Hurto de Falta de control en el acceso de personas externas al
2
medios o área
proceso de
matriculaci 4 0
At 01 ón
pregrado y 5 0
posgrado
Espionaje 6 Falta de políticas de control documentadas
remoto 7 Infiltración en la red por falta de niveles de seguridad
8 0
1 0
2 0
0
0
3 0
4 0
At 02 0
5 0
6 0
0
7 0
8 0

Procesamiento 2 Falta de información previa de las partes interesadas
ilegal de los
Procesos
sistemático 4 0
At 03 s de
Gestión 5 Información no sustentada, ni debidamente manejada
académica Datos
confiables
8 0
1 0
2 0
0
3 0
4 0
At 04 0
5 0
6 0
0
7 0
8 0

Hurto de
Hurto de 2 Dejar documentos sin protección sobre los escritorios
medios o
Procedimie 4 0
At 05 ntos de
Titulación 5 Caida de la página durante el proceso de postulación
Falla em el
nes
8 0
Proceso de 4 0
concursos
At 06
de méritos
Procesamiento 6 Fuente no confiable de información
ilegal de los
datos 7 0
8 0
Imparten a otras personas sus claves de usuario de

1
uso personal
Error em el uso
autenticaci
At 07
ón de
Infiltración en los sistemas para alteraciones en la
Corrupción de 6
información
los datos 7 0
8 0
Procesamiento 2 0
ilegal de los
datos 3 0
Procedimie 4 0
At 08 ntos de

los datos 7 0
8 0
1 Alteración en la información por favoritismo o perjuicio
Corrupción de 2 0
los datos 3 0
Historial de
datos 4 0
At 09 académicos
5
Docentes. autorización
Procesamiento 6 0
ilegal de los
datos 7 0
8 0
Corrupción de 2 Información desactualizada

información
personal de 4 0
At 10 todos los
s de la
ilegal de los
datos 7 0
8 0
1
restringidos
remoto 3 0
4 0
Sistema
At 11
Académico

8 0

Procesamiento 2 Falta de niveles de seguridad
ilegal de los
Sistema de 4 0
At 12 Talento
Hurto de 6 No hay restricción de acceso en el equipo servidor
medios o
documentos 7 0
8 0
Incumplimiento
em el 2 Pérdida de datos por la falta de control en el sistema
mantenimiento
del sistema de 3 0
información
4 0
Sistema de
At 13
Titulación

com software 7 0
com software
8 0

Polvo, 2 Falta de planes de mantenimiento contínuo
corrosión,
congelamiento 3 0
Computado 4 0
At 14 ras de la
funcionamiento
del equipo 7 0
8 0

funcionamiento
del equipo 3 0
4 0
Equipos de
At 15
red
Falla del equipo

Error em el uso
3 0
4 0
Sistema
At 16
financiero
5 SW desactualizado
Mal 6 Servidor de acceso no disponible
funcionamiento
del sofatware
Mal
funcionamiento
del sofatware 7 Falta de ancho de banda
8 0
1 Pagos indebidos por desactualización de infromación

Datos
provenientes de 2 0
fuentes no 3 0
confiables
Sistema de 4 0
At 17 Rol de
Pagos 5 0
Negación de 6 0
acciones 7 0
8 0

importante 3 0
Gestión de 4 0
At 18 Active
Procesamiento 6 Creación de cuentas erróneas
ilegal de los
8 Daños por acceso de muchos usuarios administradores

Incumplimiento
disponibilidad 3 0
del personal
4 0
Personal de
At 19
TI
5 Contrato de personal sin los procedimientos adecuados
Procesamiento
Procesamiento 6 0
ilegal de los
datos 7 0
8 0
Falta de conocimiento de las normas académicas para el

1
personal de TI
Incumplimiento
em la 2 0
disponibilidad 3 0
del personal
personal TI 4 0
para la
At 20
Gestión
Uso de personal de otras áreas sin porevia notificación y
Abuso de 6
autorización
derechos 7 0
8 0
1 0
2 0
0
3 0
4 0
At 21 0
5 0
6 0
0
7 0
8 0

Divulgación
3 0
Sistema de 4 0
At 22 emisión de
títulos
Sistema de
At 22 emisión de
títulos 5 Falla en los equipos de red que cintienen el aplicativo
Mal 6 0
funcionamiento
del equipo 7 0
8 0

1
aplicativo
Error em el uso
3 0
Sistema de 4 0
registro
At 23
funcionario
Cambios no registrados por mantenimientos no
Manipulación 6
planificados
com software 7 0
8 0

2 Falla de servidor
Falla del equipo
3 0
4 0
Plataforma
At 24
office365
Error em el uso
7 0
8 0
Espionaje 2 0
remoto 3 0
Bases de
At 25 datos de
remoto
Bases de 4 0
At 25 datos de
Error em el uso
8 0
Error em el uso
3 0
Bases de 4 0
At 26 datos del
Espionaje 6 0
remoto 7 0
8 0
1 #REF!
2 #REF!
0
3 #REF!
4 #REF!
#REF! #REF!
5 #REF!
6 #REF!
0
7 #REF!
8 #REF!

Incumplimiento
disponibilidad
em la
disponibilidad 3 0
del personal
Data 4 0
Center -
At 28
red de
Falla del equipo
7 0
8 0

1
usuarios
equipo o los
medios 3 0
impresoras 4 0
At 29 institucional
Polvo, 6 Falta de mantenimiento preventivo contínuo
corrosión,
congelamiento 7 0
8 0

1
contienen el SW
Hurto de 2 0
medios o
documentos 3 0
Software 4 0
At 30 adquirido
por UCE 5 Servicio deficiente de soporte por parte del proveedor
Incumplimiento
em el Falta de conociemiento del personal de soporte del
6
del sistema de 7 Falta de contratación del mantenimiento
información
8 0
amiento del riesgo

Importante 4

CRÍTICO 5

Crítico 5

CRÍTICO 5

Crítico 5

Significativo 3

Importante 4
Importante 4

Significativo 3

Significativo 3
Crítico 5

Significativo 3

Crítico 5

Significativo 3

Importante 4

Crítico 5

Crítico 5

Importante 4

Significativo 3

Bajo 2

CRÍTICO 5

Significativo 3
Significativo 3

Bajo 2

Crítico 5

Crítico 5
Crítico 5

Importante 4

CRÍTICO 5

Crítico 5

Bajo 2

Bajo 2








Evaluación de Riesgos Tratamiento Justificación
2 medidas para evitar el riesgo
3 modificaciones de los riesgos
1 medidas para evitar el riesgo
2 ESCOLHA O TRATAMENTO:
PRIORIDADE: ESCOLHA O TRATAMENTO:
PRIORIDADE: retención de riesgos
PRIORIDADE: medidas para evitar el riesgo
PRIORIDADE: REDUÇÃO DO RISCO

PRIORIDADE: modificaciones de los riesgos









sesión
Levantamiento de los Controles
rel
Activo Amenazas Control Existente Nr Vulnerabilidades Encontradas de l
p
ne
Hurto de medios o 2 I
al área
documentos m
3 Falta de conocimiento sobre politicas de seguridad p
4 0 o
matriculaci
r
At 01 ón
t
pregrado y 5 0
Restricción en el acceso a la a
posgrado Controle
ared 6 Falta de políticas de control documentadas n
Espionaje remoto t
7 e
8 0
1 0
Controle No existe
2 0
0
3 0 C
Controle No existe R
4 0 Í
At 02 0 T
5 0 I
Controle No existe C
6 0 O
0
7 0
Controle No existe
8 0
interesadas
datos 3 Personal no capacitado C
Procesos Controle No existe r
sistemático 4 0 í
At 03 s de t
Gestión Información no sustentada, ni debidamente i
5
académica Controle Cobertura manejada c
Datos provenientes de 6 Personal no capacitado o
Controle No existe
8 0
1 0
Controle No existe
2 0
0
3 0 C
4 0 Í
At 04 0 T
5 0 I
Controle Cobertura C
6 0 O
0
7 0
Controle No existe
8 0

sistemas 2
documentos 3 infiltración en la red de datos C
Controle No existe r
Procedimie 4 0 í
At 05 ntos de t
Titulación Caida de la página durante el proceso de i
Cobertura, monitoreo 5
Controle postulación c
constante de la funcionalidad 6 Pérdida de conectividad a internet
Falla em el equipo de o
Controle No existe
telecomunicaciones
Controle No existe
8 0
1 Demora en la preparación de los datos a procesar S

Controle No existe i
2 #REF!
Corrupción de los datos g
3 Falta de tiempo n
Proceso de 4 0 f
concursos
At 06 i
de méritos
5 Personas no éticas como parte del personal c
y oposición
Controle Cobertura a
Procesamiento ilegal de los 6 Fuente no confiable de información t
datos i
7 0
Controle No existe v
8 0 o

acceso a servicios 2 Colocar claves en lugares visibles I
Error em el uso m
3 Mantener claves demaciado fáciles p
Controle No existe
Proceso de 4 El usuario no cambia claves constantemente o
autenticaci r
At 07
ón de t
usuarios 5 Creación de usuarios con datos erróneos a
Controle Cobertura Infiltración en los sistemas para alteraciones en la
6 n
Corrupción de los datos información t
7 0 e
Controle No existe
8 0
Controle No existe
Procesamiento ilegal de los 2 0 I
datos m
3 0 p
Controle No existe
4 0 o
Procedimie
r
At 08 ntos de
t
Titulación 5 Infiltración en el sistema y alteración de datos a
Controle Cobertura
6 Mal manejo de los datos por falta de conocimiento n
Corrupción de los datos t
e
7 0
Controle No existe
8 0

1 S
i
2 0
3 0 n
Historial de Controle No existe i
datos 4 0 f
At 09 académicos i
de los Generar la manipulación de datos sin la respectiva c
5
Docentes. Controle Cobertura autorización a
Procesamiento ilegal de los 6 0 t
datos i
7 0
8 0 o
1 Acceso sin permisos para alterar los datos S

Base de 3 Información inconsistente n
información Controle No existe i
personal de 4 0 f
At 10 todos los i
funcionario 5 Proporción de Base de datos a agentes externos c
s de la Controle Cobertura a
institución. Procesamiento ilegal de los 6 0 t
datos i
7 0
8 0 o

1
Espionaje remoto
3 0 C
4 0 í
Sistema
At 11 t
Académico
5 Datos incosistentes i
Controle Cobertura c
o
Controle Cobertura
Controle No existe
8 0
1 Sistema con software desactualizado S

g
datos 3 Inconsistencia de datos n
Sistema de 4 0 f
At 12 Talento i
Humano 5 No hay seguridad física c
Controle Cobertura a
Hurto de medios o 6 No hay restricción de acceso en el equipo servidor t
documentos i
7 0
8 0 o
de información 3 0 C
4 0 í
Sistema de
At 13 t
Titulación
5 Mal manejo del sistema por cambios mal realizados i
6 Cambios indebidos sin autorización previa o
7 0
Controle No existe
8 0
1 Ubicación en lugares indebidos S

g
congelamiento 3 0 n
Computado 4 0 f
At 14 ras de la i
institución c
Computado
At 14 ras de la
Controle de equipos para evitar daños
Mal funcionamiento del del sistema. 6 Uso de equipos obsoletos
equipo 7 0
Controle No existe
8 0

Controle No existe
Mal funcionamiento del 2 Uso de equipos obsoletos I
equipo m
3 0 p
Controle No existe
4 0 o
Equipos de r
At 15
red t
5 Defectos de fábrica a
Controle Cobertura
6 Instalación indebida de SW n
Falla del equipo t
7 Mala manipulación e
Controle No existe

Controle No existe
Error em el uso
3 0 C
4 0 í
Sistema
At 16 t
financiero
5 SW desactualizado i
Mal funcionamiento del 6 Servidor de acceso no disponible o
Controle No existe
8 0

1
fuentes no confiables 3 0 C
Sistema de í
At 17 Rol de t
fuentes no confiables
Controle No existe
Sistema de 4 0
At 17 Rol de
Pagos 5 0
Controle Cobertura
6 0
7 0
Controle No existe
8 0

Controle No existe
2 Desactualización del sistema I
Accidente importante m
3 0 p
Controle No existe
4 0 o
Gestión de
r
At 18 Active
t
Directory 5 Creación de cuentas de usuarios inexistentes a
Controle Cobertura
6 Creación de cuentas erróneas n
Procesamiento ilegal de los t
datos 7 Información incompleta e
8
administradores
1 Falta de recurso humano S

g
disponibilidad del personal 3 0 n
4 0 f
Personal de
At 19 i
5 c
Controle Cobertura adecuados a
Procesamiento ilegal de los 6 0 t
datos i
7 0
8 0 o

1
disponibilidad del personal
Incumplimiento em la
Controle No existe
personal TI 4 0
para la
At 20
Gestión
6
7 0
Controle No existe
8 0
1 0
Controle No existe
2 0
0
3 0 C
4 0 Í
At 21 0 T
5 0 I
6 0 O
0
7 0
Controle No existe
8 0
1 Publicación insuficiente del aplicativo y sus procesos S

Divulgación g
3 0 n
Sistema de 4 0 f
At 22 emisión de i
títulos Falla en los equipos de red que cintienen el c
5
Controle Cobertura aplicativo a
Mal funcionamiento del 6 0 t
equipo i
7 0
8 0 o

1
Controle No existe
Error em el uso
3 0
Controle No existe
Sistema de 4 0
registro
At 23
funcionario
Controle Cobertura Cambios no registrados por mantenimientos no
6
7 0
Controle No existe
8 0

Controle No existe
2 Falla de servidor
Falla del equipo
3 0 C
4 0 í
Plataforma
At 24 t
office365
5 Falta de conocimiento i
6 Uso inapropiado de sus aplicaciones o
Error em el uso
7 0
Controle No existe
8 0

Controle No existe
2 0
Espionaje remoto
3 0 C
Bases de 4 0 í
At 25 datos de t
estudiantes 5 Falta de conocimiento i
6 Acceso no autorizado o
Error em el uso
Controle No existe
8 0
Controle No existe
2 Acceso no autorizado I
Error em el uso m
3 0 p
Controle No existe
4 0 o
Bases de
r
At 26 datos del
t
personal 5 Alteración de información por infiltración a
Controle Cobertura
6 0 n
Espionaje remoto t
7 0 e
Controle No existe
8 0
1 #REF!
Controle No existe
2 #REF!
0
3 #REF! C
4 #REF! Í
#REF! #REF! T
5 #REF! I
6 #REF! O
0
7 #REF!
Controle No existe
8 #REF!

Controle No existe
disponibilidad del personal 3 0 C
Data 4 0 í
Center -
At 28 t
red de
5 Cortes imprevistos de energía eléctrica i
datos
6 Falla de equipos generadores de energía o
Falla del equipo
7 0
Controle No existe
8 0
1
Destruicción del equipo o los 2 Falta de mantenimiento preventivo contínuo
medios 3 0
Controle No existe
4 0 B
impresoras
a
At 29 institucional
j
es 5 Ubicación en lugares inadecuados o
Controle Cobertura
congelamiento 7 0
Controle No existe
8 0

1
documentos 3 0
Controle No existe
4 0 B
Software
a
At 30 adquirido
Servicio deficiente de soporte por parte del j
por UCE 5
proveedor o
Controle Cobertura Falta de conociemiento del personal de soporte del
Controle No existe
8 0
La
relevancia
de lo activo Gravedad / consecuencias Impacto Probabilidad Ries
para el IMPACTO= RELEVANCIA DEL
negocio ACTIVO * GRAVEDAD
Alta 4 16 Significativo Provável 3 48

Bajo 2 8 Despreciable Provável 3 24
Insignificante 1 4 Ocasional 2 8
4
Promedio 3 12 Bajo Provável 3 36
Promedio 3 12 Bajo Remoto 1 12
5
Promedio 3 12 Bajo Ocasional 2 24
5
Promedio 3 12 Bajo Ocasional 2 24
Insignificante 1 4 Provável 3 12
5
Muy Alta 5 20 Importante Ocasional 2 40

Promedio 3 12 Bajo Frequente 4 48
Muy Alta 5 20 Importante Remoto 1 20
5
Muy Alta 5 20 Importante Ocasional 2 40
Alta 4 16 Significativo Remoto 1 16
Alta 4 16 Significativo Remoto 1 16

3

Alta 4 16 Significativo Frequente 4 64
Bajo 2 8 Despreciable Frequente 4 32
Bajo 2 8 Despreciable Frequente 4 32
4
Insignificante 1 4 Frequente 4 16
Insignificante 1 4 Remoto 1 4
4
3
3
5
3
5
3
3
4
Insignificante 1 4 Improvável 0 0
5
5
5
4
3
2
5
3
2
5
5
4
5
5
2
2
sgo = Probabilidad x Impacto Evaluación de Riesgos Tratamiento Control 1
Promedio 0 2 medidas para evitar el riesgo 8.2.1 (clasif. Informac)
Promedio 0 3 modificaciones de los riesgos 9.1.1 (politica control acceso)
Promedio 0 1 medidas para evitar el riesgo 7.2.1 (responsabil. Informacción)
Bajo 0 2 ESCOLHA O TRATAMENTO:
Bajo 0 PRIORIDADE: ESCOLHA O TRATAMENTO:

Promedio 0 PRIORIDADE: retención de riesgos 5.1.1 politicas seg. Información
Bajo 30 PRIORIDADE: medidas para evitar el riesgo 13.1.1 controles de redes

Bajo 0 PRIORIDADE: REDUÇÃO DO RISCO

Promedio 0 PRIORIDADE: modificaciones de los riesgos 7.2.3 Proceso disciplinario
Promedio 0 PRIORIDADE: medidas para evitar el riesgo 7.2.1 (responsabil. Informacción)
Promedio 0 PRIORIDADE: modificaciones de los riesgos


Bajo 0 PRIORIDADE: medidas para evitar el riesgo



Promedio 0 PRIORIDADE: medidas para evitar el riesgo




Alto 0 PRIORIDADE: medidas para evitar el riesgo
Bajo 0 PRIORIDADE: modificaciones de los riesgos

Irrelevante 0 PRIORIDADE: medidas para evitar el riesgo











Irrelevante 0 PRIORIDADE: modificaciones de los riesgos




























Irrelevante 0 PRIORIDADE: medidas para evitar el riesgo 11.2.2 Servicios de suministro




Control 2 Justificación
8.2.3 (manejo activos)
9.2.2 (suministro acceso usuarios)
7.1.2 (Terminos y controles del empleo)
5.1.2 revisión políticas seg. Informacion
13.1.2 Seguridad de servicios de red

6.1.1 roles y responsabilidades para la
seguridadd de la inforación
11.2.4 Mantenimiento de equipos
sesión
Inspecciòn de Riesgos residuales
Falta de control en la conservación y

1
Seguridades en el acceso a restricción de documentos e información
Controle
sistemas
Hurto de medios o Falta de control en el acceso de personas
2
documentos externas al área
Falta de conocimiento sobre politicas de

proceso de 3
matriculaci
At 01 ón 4 0
pregrado y
posgrado 5 0
Restricción en el acceso a la
Controle
Espionaje remoto
7
8 0
1 0
Controle No existe
2 0
0
3 0
Controle No existe
4 0
At 02 0
At 02 0
5 0
Controle No existe
6 0
0
7 0
Controle No existe
8 0

Procesamiento ilegal 2
interesadas
de los datos 3 Personal no capacitado
sistemático 4 0
At 03 s de
5
académica Controle Cobertura manejada
Controle No existe
8 0
1 0
Controle No existe
2 0
0
3 0
Controle No existe
4 0
At 04 0
5 0
Controle Cobertura
6 0
0
7 0
Controle No existe
8 0
Falta de control en el acceso de personas

Controle externas
sistemas Dejar documentos sin protección sobre los
Hurto de medios o 2
escritorios
documentos
Hurto de medios o
Controle No existe
Procedimie 4 0
At 05 ntos de
Titulación Cobertura, monitoreo Caida de la página durante el proceso de
5
Controle constante de la postulación
Falla em el equipo de funcionalidad 6 Pérdida de conectividad a internet
Controle No existe
8 0
Demora en la preparación de los datos a

1
Controle No existe procesar
Corrupción de los 2 #REF!
datos 3 Falta de tiempo
Controle No existe
Proceso de 4 0
concursos
At 06
de méritos
Controle Cobertura
Procesamiento ilegal 6 Fuente no confiable de información
de los datos 7 0
Controle No existe
8 0
Imparten a otras personas sus claves de

Controle usuario de uso personal
Error em el uso
Controle No existe
4 El usuario no cambia claves constantemente
Proceso de
autenticaci
At 07
ón de 5 Creación de usuarios con datos erróneos
usuarios
Controle Cobertura
Corrupción de los Infiltración en los sistemas para alteraciones
datos 6
en la información
7 0
Controle No existe
Controle No existe
8 0
Controle No existe
Procesamiento ilegal 2 0
de los datos 3 0
Controle No existe
Procedimie 4 0
At 08 ntos de
Controle Cobertura Mal manejo de los datos por falta de
Corrupción de los 6
conocimiento
datos 7 0
Controle No existe
8 0

1
Corrupción de los 2 0
datos 3 0
datos 4 0
At 09 académicos
de los Generar la manipulación de datos sin la
5
Docentes. Controle Cobertura respectiva autorización
de los datos 7 0
Controle No existe
8 0

Controle No existe
Corrupción de los 2 Información desactualizada
Base de datos 3 Información inconsistente
personal de 4 0
At 10 todos los
funcionario Proporción de Base de datos a agentes
5
s de la Controle Cobertura externos
institución. Procesamiento ilegal
funcionario
institución. Procesamiento ilegal 6 0
de los datos 7 0
Controle No existe
8 0

1
Los usuarios graban sus contraseñas en los
2
Espionaje remoto equipos
3 0
Controle No existe
4 0
Sistema
At 11
Académico
Controle Cobertura
Corrupción de los 6 Datos desactualizados
datos Muchos usuarios tienen acceso de
7
Controle No existe administrador
8 0

Controle No existe
Procesamiento ilegal 2 Falta de niveles de seguridad
de los datos 3 Inconsistencia de datos
Controle No existe
Sistema de 4 0
At 12 Talento
Controle Cobertura No hay restricción de acceso en el equipo
Hurto de medios o 6
servidor
documentos 7 0
Controle No existe
8 0
mantenimiento del sistema
sistema de información 3 0
Controle No existe
Sistema de
At 13
sistema de información
Controle No existe
4 0
Sistema de
At 13
Titulación Mal manejo del sistema por cambios mal
5
Controle Cobertura realizados
Manipulación com 6 Cambios indebidos sin autorización previa
software 7 0
Controle No existe
8 0

Controle No existe
congelamiento 3 0
Controle No existe
Computado 4 0
At 14 ras de la
Controle de equipos para evitar
Mal funcionamiento del daños del sistema. 6 Uso de equipos obsoletos
equipo 7 0
Controle No existe
8 0

Controle No existe
equipo 3 0
Controle No existe
4 0
Equipos de
At 15
red
Controle Cobertura
Falla del equipo
Controle No existe

Controle No existe
Controle No existe
Error em el uso
3 0
Controle No existe
4 0
Sistema
At 16
financiero
5 SW desactualizado
Controle Cobertura
Controle No existe
8 0

1
Controle No existe
Sistema de 4 0
At 17 Rol de
Pagos 5 0
Controle Cobertura
6 0
7 0
Controle No existe
8 0

Controle No existe
3 0
Controle No existe
Gestión de 4 0
At 18 Active
Controle Cobertura
Procesamiento ilegal 6 Creación de cuentas erróneas
de los datos 7 Información incompleta
8
administradores
Controle No existe
disponibilidad del
personal 3 0
Controle No existe
4 0
Personal de
At 19
5
de los datos 7 0
Controle No existe
8 0
Falta de conocimiento de las normas

1
Controle No existe académicas para el personal de TI
disponibilidad del
personal 3 0
Controle No existe
personal TI 4 0
para la
At 20
Gestión
6
7 0
Controle No existe
8 0
1 0
Controle No existe
2 0
0
3 0
Controle No existe
4 0
At 21 0
5 0
Controle Cobertura
6 0
0
0
7 0
Controle No existe
8 0
Publicación insuficiente del aplicativo y sus

1
Controle No existe procesos
Falta de capacitación previa en el uso del
2
Divulgación sistema
3 0
Controle No existe
Sistema de 4 0
At 22 emisión de
5
equipo 7 0
Controle No existe
8 0
Falta de conocimiento sobre el

1
Controle No existe funcionamiento del aplicativo
Error em el uso
3 0
Controle No existe
Sistema de 4 0
registro
At 23
funcionario
Controle Cobertura Cambios no registrados por mantenimientos
Manipulación com 6
no planificados
software 7 0
Controle No existe
8 0

Controle No existe
2 Falla de servidor
Falla del equipo
3 0
Controle No existe
4 0
Plataforma
At 24
office365
Plataforma
At 24
office365
Controle Cobertura
Error em el uso
7 0
Controle No existe
8 0

Controle No existe
2 0
Espionaje remoto
3 0
Controle No existe
Bases de 4 0
At 25 datos de
Controle Cobertura
Error em el uso
Controle No existe
8 0
Controle No existe
Error em el uso
3 0
Controle No existe
Bases de 4 0
At 26 datos del
Controle Cobertura
6 0
Espionaje remoto
7 0
Controle No existe
8 0
1 #REF!
Controle No existe
2 #REF!
0
0
3 #REF!
Controle No existe
4 #REF!
#REF! #REF!
5 #REF!
Controle Cobertura
6 #REF!
0
7 #REF!
Controle No existe
8 #REF!

Controle No existe Falta de recursos para el óptimo
disponibilidad del funcionamiento
personal 3 0
Controle No existe
Data 4 0
Center -
At 28
red de
Controle Cobertura
Falla del equipo
7 0
Controle No existe
8 0
Mala manipulación de los equipos por parte

1
Controle No existe de los usuarios
equipo o los medios 3 0
Controle No existe
impresoras 4 0
At 29 institucional
Controle Cobertura
congelamiento 7 0
Controle No existe
8 0
Falta de control en los dispositivos externos
1
Controle No existe que contienen el SW
documentos 3 0
Controle No existe
Software 4 0
At 30 adquirido
5
Incumplimiento em el Falta de conociemiento del personal de
6
mantenimiento del soporte del proveedor
sistema de información 7 Falta de contratación del mantenimiento
Controle No existe
8 0
uales
DEFINIR LAS CONSECUENCIAS: Importante 4 Insignificante

CRÍTICO 5
CRÍTICO 5

Crítico 5

CRÍTICO 5

Crítico 5

Significativo 3

Importante 4


Importante 4

Significativo 3

Significativo 3

Crítico 5

Significativo 3

Crítico 5
Crítico 5

Significativo 3

Importante 4

Crítico 5

Crítico 5

Importante 4
Significativo 3

Bajo 2

CRÍTICO 5

Significativo 3

Bajo 2

Crítico 5
Crítico 5

Crítico 5

Importante 4

CRÍTICO 5

Crítico 5

Bajo 2
Bajo 2







Evaluación de Riesgos Tratamiento Control 1 Control 2
2 medidas para evitar el riesgo 8.2.1 (clasif. Informac) 8.2.3 (manejo activos)
3 modificaciones de los riesgos 9.1.1 (politica control acceso) 9.2.2 (suministro acceso usuarios)
1 medidas para evitar el riesgo 7.2.1 (responsabil. Informacción) 7.1.2 (Terminos y controles del empleo)
2 ESCOLHA O TRATAMENTO: 0 0
PRIORIDADE: ESCOLHA O TRATAMENTO: 0 0
PRIORIDADE: retención de riesgos 5.1.1 politicas seg. Información 5.1.2 revisión políticas seg. Informacion
PRIORIDADE: medidas para evitar el riesgo 13.1.1 controles de redes 13.1.2 Seguridad de servicios de red

PRIORIDADE: REDUÇÃO DO RISCO 0 0
PRIORIDADE: modificaciones de los riesgos 7.2.3 Proceso disciplinario 0

PRIORIDADE: medidas para evitar el riesgo 7.2.1 (responsabil. Informacción)
6.1.1 roles y responsabilidades para la seguridadd de la inforación
PRIORIDADE: modificaciones de los riesgos 0 0

PRIORIDADE: medidas para evitar el riesgo 0 0















































PRIORIDADE: medidas para evitar el riesgo 11.2.2 Servicios de suministro 11.2.4 Mantenimiento de equipos



¿Existen riesgos residuales? ¿Cuales? Descreción Justificación /Evidencia Nueva Gravedad
si Insignificante 1
si Promedio 3
Cuentas de correos
si Falta de compromiso del personal duplicados/herramienta de gestion de Promedio 3
correo
RISCOS RESIDUAIS: Nível:
si El alcance no esta bien definido Nível:
si Nível:












Nueva Probabilidad
Remoto 1 4 Bajo
Ocasional 2 24 Alto
Ocasional 2 24 Alto
Nível: 0 Irrelevante
Nível: 0 Irrelevante ERRO - RISCO DEVERIA SER MENOR!!!















sesión
Aceitación de los Riesgos
Ativo Ameaças Controle Existente Nr Vulnerabilidades Encontradas

Hurto de medios o 2
al área
matriculaci 4 0
At 01 ón
pregrado y Restricción en el acceso a la 5 0
posgrado Controle
Espionaje remoto Infiltración en la red por falta de niveles de
7
8 0
1 0
Controle No existe
0
Controle No existe
2 0
0
3 0
Controle No existe
4 0
At 02 0
5 0
Controle No existe
6 0
0
7 0
Controle No existe
8 0

interesadas
sistemático 4 0
At 03 s de
Información no sustentada, ni debidamente
Gestión 5
Controle Cobertura manejada
académica
Controle No existe
8 0
1 0
Controle No existe
2 0
0
3 0
Controle No existe
4 0
At 04 0
5 0
Controle Cobertura
6 0
0
7 0
Controle No existe
8 0
sistemas 2
Controle No existe
Procedimie 4 0
At 05 ntos de
Cobertura, monitoreo Caida de la página durante el proceso de
Titulación 5
Controle constante de la postulación
Falla em el equipo de funcionalidad 6 Pérdida de conectividad a internet
Controle No existe
8 0

Controle No existe
2 #REF!
3 Falta de tiempo
4 0
concursos
At 06
de méritos
y oposición Controle Cobertura
Procesamiento ilegal de los 6 Fuente no confiable de información
datos 7 0
Controle No existe
8 0

Error em el uso
4 El usuario no cambia claves constantemente
autenticaci
At 07
ón de
usuarios Controle Cobertura Infiltración en los sistemas para alteraciones en la
6
Corrupción de los datos información
7 0
Controle No existe
8 0
Controle No existe
datos 3 0
Controle No existe
Procedimie 4 0
At 08 ntos de
Controle Cobertura
6 Mal manejo de los datos por falta de conocimiento
7 0
Controle No existe
8 0

1
2 0
3 0
datos 4 0
At 09 académicos
Generar la manipulación de datos sin la respectiva
de los 5
Controle Cobertura autorización
Docentes.
datos 7 0
Controle No existe
8 0

Controle No existe
Base de 3 Información inconsistente
personal de 4 0
At 10 todos los
institución. Procesamiento ilegal de los 6 0
datos 7 0
Controle No existe
datos
Controle No existe
8 0

1
Espionaje remoto
3 0
Controle No existe
4 0
Sistema
At 11
Académico
Controle Cobertura
Controle No existe
8 0

Controle No existe
Controle No existe
Sistema de 4 0
At 12 Talento
Controle Cobertura
Hurto de medios o 6 No hay restricción de acceso en el equipo servidor
documentos 7 0
Controle No existe
8 0
de información 3 0
Controle No existe
4 0
Sistema de
At 13
Titulación
Controle Cobertura
6 Cambios indebidos sin autorización previa
7 0
Controle No existe
8 0

Controle No existe
congelamiento 3 0
Controle No existe
Computado 4 0
At 14 ras de la
Controle de equipos para evitar
Mal funcionamiento del daños del sistema. 6 Uso de equipos obsoletos
equipo 7 0
Controle No existe
8 0

Controle No existe
equipo 3 0
Controle No existe
4 0
Equipos de
At 15
red
Controle Cobertura
Falla del equipo
Controle No existe

Controle No existe
Error em el uso
3 0
Controle No existe
4 0
Sistema
At 16
financiero
5 SW desactualizado
Controle Cobertura
financiero
Controle Cobertura
Controle No existe
8 0

1
Controle No existe
Sistema de 4 0
At 17 Rol de
Pagos 5 0
Controle Cobertura
6 0
7 0
Controle No existe
8 0

Controle No existe
3 0
Controle No existe
Gestión de 4 0
At 18 Active
Controle Cobertura
Procesamiento ilegal de los 6 Creación de cuentas erróneas
8
administradores

Controle No existe
Controle No existe
4 0
Personal de
At 19
TI
Personal de
At 19
5
datos 7 0
Controle No existe
8 0

1
personal TI Controle No existe
4 0
para la
At 20
Gestión
académica Controle Cobertura Uso de personal de otras áreas sin porevia
6
7 0
Controle No existe
8 0
1 0
Controle No existe
2 0
0
3 0
Controle No existe
4 0
At 21 0
5 0
Controle Cobertura
6 0
0
7 0
Controle No existe
8 0

Controle No existe
Divulgación
3 0
Controle No existe
Sistema de
Controle No existe
Sistema de 4 0
At 22 emisión de
Falla en los equipos de red que cintienen el
títulos 5
equipo 7 0
Controle No existe
8 0

1
Error em el uso
3 0
Sistema de Controle No existe
4 0
registro
At 23
funcionario
s Controle Cobertura Cambios no registrados por mantenimientos no
6
7 0
Controle No existe
8 0

Controle No existe
2 Falla de servidor
Falla del equipo
3 0
Controle No existe
4 0
Plataforma
At 24
office365
Controle Cobertura
Error em el uso
7 0
Controle No existe
8 0

Controle No existe
2 0
Espionaje remoto
Espionaje remoto
3 0
Controle No existe
Bases de 4 0
At 25 datos de
Controle Cobertura
Error em el uso
Controle No existe
8 0
Controle No existe
Error em el uso
3 0
Controle No existe
Bases de 4 0
At 26 datos del
Controle Cobertura
6 0
Espionaje remoto
7 0
Controle No existe
8 0
1 #REF!
Controle No existe
2 #REF!
0
3 #REF!
Controle No existe
4 #REF!
#REF! #REF!
5 #REF!
Controle Cobertura
6 #REF!
0
7 #REF!
Controle No existe
8 #REF!

Controle No existe
Controle No existe
Data Controle No existe
4 0
Center -
At 28
red de
datos Controle Cobertura
Falla del equipo
7 0
Controle No existe
8 0

1
Destruicción del equipo o 2 Falta de mantenimiento preventivo contínuo
los medios 3 0
Controle No existe
impresoras 4 0
At 29 institucional
Controle Cobertura
congelamiento 7 0
Controle No existe
8 0

1
documentos 3 0
Controle No existe
Software 4 0
At 30 adquirido
Servicio deficiente de soporte por parte del
por UCE 5
Incumplimiento em el Falta de conociemiento del personal de soporte del
6
Controle No existe
8 0
s
Consequências Relevância do Ativo p/ Negócio Severidade / Consequências

Importante 4

CRÍTICO 5

Crítico 5

CRÍTICO 5
Crítico 5

Significativo 3

Importante 4
Importante 4

Significativo 3

Significativo 3

Crítico 5

Significativo 3

Crítico 5

Significativo 3

Importante 4

Crítico 5

Crítico 5

Importante 4

Significativo 3
Significativo 3

Bajo 2

CRÍTICO 5

Significativo 3

Bajo 2

Crítico 5

Crítico 5

Importante 4

CRÍTICO 5

Crítico 5

Bajo 2

Bajo 2
IMPACTO= RELEVANCIA DO ATIVO
* SEVERIDADE
Impacto Probabilidade Risco=Probabilidade x Impacto







Avaliação de Risco Tratamento Controle 1 Controle 2
2 medidas para evitar el riesgo 8.2.1 (clasif. Informac) 8.2.3 (manejo activos)
3 modificaciones de los riesgos 9.1.1 (politica control acceso) 9.2.2 (suministro acceso usuarios)
1 medidas para evitar el riesgo 7.2.1 (responsabil. Informacción) 7.1.2 (Terminos y controles del empleo)
2 ESCOLHA O TRATAMENTO: 0 0

PRIORIDADE: retención de riesgos 5.1.1 politicas seg. Información 5.1.2 revisión políticas seg. Informacion
PRIORIDADE: medidas para evitar el riesgo 13.1.1 controles de redes 13.1.2 Seguridad de servicios de red


PRIORIDADE: modificaciones de los riesgos 7.2.3 Proceso disciplinario 0

PRIORIDADE: medidas para evitar el riesgo 7.2.1 (responsabil. Informacción)
6.1.1 roles y responsabilidades para la seguridadd de la inforación















































PRIORIDADE: medidas para evitar el riesgo 11.2.2 Servicios de suministro 11.2.4 Mantenimiento de equipos




RISCOS RESIDUAIS ACEITAÇÃO DO RISCO
Existem ricos residuais? Quais? Descreva Risco Residual é: Decisão
si 0 Bajo ACEPTACIÓN - DECISIÓN
si 0 Alto ACEPTACIÓN - DECISIÓN
si Falta de compromiso del personal Alto ACEPTACIÓN - DECISIÓN
RISCOS RESIDUAIS: 0 Irrelevante ACEPTACIÓN - DECISIÓN
RISCOS RESIDUAIS: 0 Irrelevante ACEPTACIÓN - DECISIÓN
si El alcance no esta bien definido Irrelevante ACEITAÇÃO - DECISÃO
si 0 Irrelevante ACEITAÇÃO - DECISÃO
RISCOS RESIDUAIS: 0 Irrelevante ACEITAÇÃO - DECISÃO











ACEITAÇÃO DO RISCO
Justificativa Responsável
sesión
Sesión 9
riesgos.
En la actividad que forma parte de esta sesión, se verá a los conceptos aprendido
9.1 La comunicación de los riesgos

prender y desarrollar la comunicación de
eptos aprendidos en la sesión de 9.

ructor.
esgos

La comunicación de los riesg
¿Como se debe hacer la

comunicación de riesgos en la Comunicación bidireccional, en toda la organización
organización?
¿Quienes son los responsables por la

comunicación de riesgos en el El coordinador del proyecto
equipo de análisis?
¿Quienes son responsables de la

comunicación de riesgos en la Es el punto focal
organización?
¿Quienes son responsables de la
comunicación de riesgos en la Es el punto focal
organización?
¿Cuál es el procedimiento de equipo

cuando identificar un riesgo con alta comunicar inmediatamente
gravedad?
¿Cuál es el procedimiento cuando el

equipo encontrar que surgió nuevas
amenazas en un activo en Actualizar la evaluación de Riesgos y hacer la comunicación de l
particular?
En el medio del proceso de revisión

del equipo se le dijo que la topología
Documentar el cambio, hacer la comunicacion para el equipo de
de la red va a cambiar. ¿Cual es el cambio.
procedimiento de la equipo para
comunicar este cambio?
Exhibir el diagrama de flujo de

comunicación que va a trabajar para Coordinador de la Gestion Riesgo con el equipo y Coordinador co
la realización de este proyecto.
¿Cómo es la comunicación de los

resultados a la agencia que solicitó Prsentación durante todo el proceso, acerca del estado del proye
el análisis?
¿Cómo es la comunicación de los
resultados a la agencia que solicitó Prsentación durante todo el proceso, acerca del estado del proye
el análisis?
¿En qué momento inicia la

comunicación en la gestión del Desde el inicio del proyecto.
riesgo?
¿Cuando la equipo de análisis de

riesgos comunicará las Inmediatamente que las detecta.
vulnerabilidades consideradas como
críticas identificadas en la Sección 3?
¿Teniendo en cuenta esta tarea en

que momentos realmente se lleva a
En las reuniones de estado.
cabo "comunicaciones" a los
interesados en el proyecto?
¿Teniendo en cuenta esta tarea,

quiem debe asistir a la reunión final Alta Dirección y las partes interesadas.
de la presentación de los resultados?
¿Qué temas serán presentados por

el equipo de análisis de riesgos
Activos, amenazas, vulnerabilidades, riesgos y tratamientos.
durante la comunicación de los
resultados finales?
¿Qué temas serán presentados por
el equipo de análisis de riesgos
Activos, amenazas, vulnerabilidades, riesgos y tratamientos.
durante la comunicación de los
resultados finales?
Ejemplificando con las actividades

llevadas a cabo un evento
desencadenante que implique una Riesgo de caida del sistema durante proceso de matriculación.
comunicación inmediata. ¿Cómo se
formaliza la comunicación? Justificar.
¿En qué momento termina la

comunicación dentro de la gestión
Caundo se hace la conclusión de todo el proyecto y la implemen
de riesgos? Un ejemplo de este
ejercicio.
icación de los riesgos
onal, en toda la organización
yecto
ente
n de Riesgos y hacer la comunicación de la nueva amenaza
, hacer la comunicacion para el equipo de Gestion de Riesgo indicando que se va a hacer el
ion Riesgo con el equipo y Coordinador con el punto focal bidireccionalmente
do el proceso, acerca del estado del proyecto.

do el proceso, acerca del estado del proyecto.
yecto.
as detecta.
tado.
tes interesadas.
nerabilidades, riesgos y tratamientos.

nerabilidades, riesgos y tratamientos.
tema durante proceso de matriculación.
clusión de todo el proyecto y la implementación de todo el tratamiento.
sesión
Sesión 10
Objetivo: Aplicar los conocimientos adquiridos en la sesión 10. Entender, desarrol
seguimiento de los riesgos.
En las dos actividades que forman parte de esta sesión, se ven los conceptos aprendidos en l
un ejemplo con los gráficos de los resultados del análisis de riesg
Recuerde, estas actividades deben realizarse en secuencia y con el acompañamien
10.1 El monitoreo y revisión de los

riesgos de seguridad de la información
10.2 El monitoreo, revisión y mejora del

proceso de gestión de riesgos
10.3 Tablero
ender, desarrollar y llevar a cabo el
aprendidos en la sesión 10. La actividad 10.3 es

l análisis de riesgos.
l acompañamiento de la norma 27005.
tructor.
10
de los
formación
mejora del
s

El monitoreo y revisión de los riesgos de seguri
¿Cómo funciona el monitoreo en el Verificando si hay cmbios, continua observacion y registro regula
equipo de análisis?
¿Cuál es el procedimiento para

Realizar actividades de monitoreo y análisis crítico durante toda
identificar una nueva información de correciones necesarias a la brevedad posible.
eventos de seguridad?
Lo que se controla mientras se Se realiza la evaluación de las consecuencias, evaluación de la p

realizan los trabajos de análisis de Coordinar haciendo la observacion de los riesgos rrsiduales y las
todo el proceso
riesgos?
Lo que se controla mientras se Se realiza la evaluación de las consecuencias, evaluación de la p
realizan los trabajos de análisis de Coordinar haciendo la observacion de los riesgos rrsiduales y las
todo el proceso
riesgos?
¿Quién es responsable de la
El Coordinador del equipo de Gestión de Riesgos
supervisión del monitoreo?
¿En qué momento se lleva a cabo el

Durante todo el proceso de Gestión del Riesgo
monitoreo?
Cuál es el propósito de la realización Obtener información que apoya a una toma de decisión eficaz en
de la revisión en este trabajo? los riesgos.
Se recoge toda la información sobre los riesgos obtenidos y las a

Se realizan los procedimientos de monitoreo y análisis crítico par
¿Cómo es el análisis crítico en este contexto.
trabajo? Alinear la Gestipon de Riesgos con los objetivos del negocio y co
es una evaaluacion general detallada sobre los resultados y accio
requisotos preestablecidos con el objetivo de hacer el levantamie
¿Cuál es la relación entre el Proporcionar información que qpoya a una toma de decisiones e
monitoreo y el análisis crítico? ocurrencias de los riesgos. Los resultados de la monitorización se
¿Cuál es la relación entre el Proporcionar información que qpoya a una toma de decisiones e
monitoreo y el análisis crítico? ocurrencias de los riesgos. Los resultados de la monitorización se
¿Cuál es el procedimiento para la Obtener los resultados del monitoreo para conocer los factores
análisis crítica? Análisis critico para la Mejora continua,
¿Que se hará mediante la

Realizar la identificación de los riesgos que generan el problema
identificación de un problema una nueva interaccion para la identificacion del nuevo riesgo
durante la revisión/análisis crítica?
¿Cuál es el procedimiento para el

seguimiento y revisión, para ser las
una nueva interaccion para la identificacion del nuevo riesgo
nuevas amenazas descubiertas? Y
para los nuevos activos?
Teniendo en cuenta el ejercicio de

análisis de riesgo, ¿que actividades Identificacion de los riegos y el tratamiento de lso riesgos
requieren un monitoreo muy
estricto?
¿Como el equipo de análisis de

riesgo puede hacer el monitoreo de verificando la efectividad de los controles
los riesgos residuales?
¿Como el equipo de análisis de
riesgo puede hacer el monitoreo de verificando la efectividad de los controles
los riesgos residuales?
¿Como el equipo de análisis debe

hacer un análisis crítica de la Acompañamiento detallado de un proceso de aceptacion de ries
aceptación del riesgo?
¿Como debe ser realizado la análisis

a traves de identificación de vulnerabilidad, vulnerabilidades actu
crítica de la identificación de amenaza del activo, vulnerabilidades anunciadas por empresas e
vulnerabilidades?
s riesgos de seguridad de la información
ios, continua observacion y registro regular de las actividades
monitoreo y análisis crítico durante toda la fase de Gestión de Riesgo con el fin de hacer
a la brevedad posible.
n de las consecuencias, evaluación de la probabilidad y la determinación del nivel del riesgo.

observacion de los riesgos rrsiduales y lasconsecuencias para el analisis de riesgos durante
ipo de Gestión de Riesgos
o de Gestión del Riesgo
ue apoya a una toma de decisión eficaz en relación a la aparición de nuevas ocurrencias de
mación sobre los riesgos obtenidos y las activiades desarrolladas

mientos de monitoreo y análisis crítico para la identificación de eventuales cambios en el
Riesgos con los objetivos del negocio y con los criterios de aceptación del riesgo.
neral detallada sobre los resultados y acciones de la gestion del riesgo en relacion con
dos con el objetivo de hacer el levantamiento e identificación de problemas.
ón que qpoya a una toma de decisiones eficaz en relación de la aparición de nuevas

gos. Los resultados de la monitorización se usan como entrada para el análisis crítico.
del monitoreo para conocer los factores de riesgo y realizar el análisis crítico.
Mejora continua,
n de los riesgos que generan el problema para realizar conjuntamente el tratamiento

para la identificacion del nuevo riesgo
para la identificacion del nuevo riesgo
egos y el tratamiento de lso riesgos
ad de los controles
ad de los controles
lado de un proceso de aceptacion de riesgos.
ón de vulnerabilidad, vulnerabilidades actualizadas, perinencia de las vulnerabilidades ante la

lnerabilidades anunciadas por empresas especializadas.
sesión
El monitoreo, revisión y mejora del proceso d
¿Como se hace el monitoreo del

proceso de gestión de riesgos por la acompañamiento de los resultados
organización?
¿Cual es la participación del equipo

de revisión en el seguimiento del presentando las informaciones necesarias de su actividad de ges
proceso de gestión de riesgos?
¿Como se lleva a cabo el análisis

crítico de la organización? ¿En qué evaluacion de resultados, se hace al final del proceso de gestion
momento se hace?
¿Como se lleva a cabo el análisis
crítico de la organización? ¿En qué evaluacion de resultados, se hace al final del proceso de gestion
momento se hace?

de revisión en el análisis crítico del a traves de infromaciones y esclareciemientos necesarios de la a
proceso de gestión de riesgos?
¿Lo que hace la organización con los

resultados del monitoreo? Y la el acompañamiento del proceso y comparacion de lso resultados
revisión?
¿Cómo la organización lleva a cabo

la mejora del proceso de gestión de a traves de la revision a actualizacion del proceso
riesgos?

de gestión en la mejora del proceso a traves de las informaciones del acompañamiento dele proceso
de gestión de riesgos?
Com su conocimiento de la
organización por integrar el equipo
de análisis, lo que recomendaciones automatizacion y optimizacion del proceso de la fase de identific
vas a hacer para mejorar el
proceso?
Com su conocimiento de la
organización por integrar el equipo
de análisis, lo que recomendaciones automatizacion y optimizacion del proceso de la fase de identific
vas a hacer para mejorar el
proceso?
¿Cuando se deberia hacer una

anualmente o cuando ocurrieron grandes cambios de tecnología
nueva análisis de riesgos?
En el caso del ejercicio, como la

organización debe supervisar el
trabajo para mejorar el proceso de a traves del monitoreo de los resultados y los trabajos de los equ
gestión de riesgos?
En el caso de ejercicio, para

completar su trabajo, cuáles son su el seguimiento debe ser continuo
comentarios sobre la seguimiento
del proceso de gestión de riesgos?
En el caso de ejercicio, para

completar su trabajo, cuáles son sus
observaciones relativas a la mejora analisis critico, continuidad, observacion de resultados, interacci
continua del proceso de gestión de
riesgos?
ejora del proceso de gestión de riesgos
s resultados
aciones necesarias de su actividad de gestion de riesgos
os, se hace al final del proceso de gestion de riesgos.

os, se hace al final del proceso de gestion de riesgos.
nes y esclareciemientos necesarios de la alta dirección
l proceso y comparacion de lso resultados anteeriores
a actualizacion del proceso
ciones del acompañamiento dele proceso en el dia a día
mizacion del proceso de la fase de identificacion de los riesgos

mizacion del proceso de la fase de identificacion de los riesgos
ocurrieron grandes cambios de tecnología o amenazas o vulnerabilidades
de los resultados y los trabajos de los equipos de riego.
er continuo
idad, observacion de resultados, interaccion con el equipo de gestion de riesgo.

sesión
Tablero
5 mayores amenazas Consecuencia
0 0.5
0123456789
Error em el uso
Espionaje remoto pérdida financiera por re trabajo
Hurto de medios o documentos afecta a la imagen y la reputación
Gravedad / Consecuencia Impacto
0 50 100 150 200 250 0 2 4 6 8 10
Insignificante Bajo
Promedio Significativo
Alta Despreciable
Bajo Importante
Muy Alta Desastre
Riesgos Tratamiento
0 50 100 150 200 250 0 20
Bajo medidas para evitar el riesgo
Irrelevante
retención de riesgos
Promedio
la reducción del riesgo
Alto
Extremo la transferencia del riesgo

Tablero
Consecuencia Relevância do Ativo
0 0.5 1
0 2 4 6 8 10 12 14
Crítico
Significativo
Importante
pérdida financiera por re trabajo Bajo
érdida financiera con una multa contractual o legale
Probabilidad
0 2 4 6 8 10 12 0 0
0 40 80 12 16
Bajo Ocasional
Significativo Frequente
Despreciable Provável
Importante Remoto
Desastre Improvável
Tratamiento Riesgos Residuales

0 20 40 60 0 50 100 150 200 250
medidas para evitar el riesgo Irrelevante
Alto
retención de riesgos
Bajo
la reducción del riesgo
Extremo
la transferencia del riesgo Promedio
sesión
Identificación de los controles
Activos Amenazas
Hurto de control
medios o
documentos control
proceso de matriculación
At 01
pregrado y posgrado
control
Espionaje
remoto
control
control
0
control
At 02 0
control
0
control
Procesamien control
to ilegal de
los datos control
At 03
Gestión académica Datos
proveniente control
s de fuentes
no control
confiables
At 03
Gestión académica Datos
proveniente
s de fuentes
no control
confiables
control
0
control
At 04 0
control
0
control
control
Hurto de
medios o
documentos control
Falla em el control
equipo de
telecomunic
control
aciones
control
Corrupción
de los datos control
Proceso de concursos de
At 06
méritos y oposición control
Procesamien
to ilegal de
los datos control
control
Error em el
uso control
Proceso de autenticación de
At 07
usuarios control
Corrupción
control
Procesamien
to ilegal de
los datos control
control
Corrupción
control
Corrupción
Historial de datos
At 09
académicos de los Docentes. control
Procesamien
to ilegal de
los datos control
control
Corrupción
Base de información
At 10 personal de todos los
funcionarios de la institución. control
Procesamien
to ilegal de
los datos control
control
Espionaje
remoto control
At 11 Sistema Académico
control
Corrupción
control
Procesamien
to ilegal de
los datos control
At 12 Sistema de Talento Humano
control
Hurto de
medios o
documentos control
Incumplimie
nto em el control
mantenimie
nto del control
sistema de
At 13 Sistema de Titulación información
control
Manipulació
n com
software control
Polvo, control
corrosión,
congelamien control
to
Computadoras de la
At 14
institución control
Mal
funcionamie
nto del control
equipo
Mal control
funcionamie
nto del control
equipo
At 15 Equipos de red
control
Falla del
equipo control
control
Error em el
uso control
At 16 Sistema financiero
Mal control
funcionamie
nto del control
sofatware
Datos
control
proveniente
s de fuentes
no control
confiables
control
Negación de
acciones
control
Negación de
acciones control
control
Accidente
importante control
At 18 Gestión de Active Directory

control
Procesamien
to ilegal de
los datos control
Incumplimie
control
nto em la
disponibilida
d del control
personal
control
Procesamien
to ilegal de
los datos control
Incumplimie
control
nto em la
disponibilida
d del control
personal TI para la Gestión personal
At 20
académica control
Abuso de
derechos control
control
0
control
At 21 0
control
0
control
control
Divulgación

Divulgación
control

Mal control
funcionamie
nto del control
equipo
control
Error em el
uso control
Sistema de registro
At 23
funcionarios control
Manipulació
n com
software control
control
Falla del
equipo control
At 24 Plataforma office365
control
Error em el
uso control
control
Espionaje
remoto control
Bases de datos de
At 25
estudiantes control
Error em el
uso control
control
Error em el
uso control

control
Espionaje
remoto control
Espionaje
remoto control
control
0
control
#REF! #REF!
control
0
control
Incumplimie
control
nto em la
disponibilida
d del control
personal
control
Falla del
equipo control
control
Destruicción
del equipo o
los medios control
At 29 impresoras institucionales
Polvo, control
corrosión,
congelamien control
to
control
Hurto de
medios o
documentos control
At 30 Software adquirido por UCE Incumplimie
nto em el control
mantenimie
nto del control
sistema de
información
ficación de los controles existentes o com la ejecución prevista
Control existente o planeado Justifica
No existe
Restricción en el acceso a la ared
No existe
No existe
No existe
No existe
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
No existe
Cobertura
No existe
No existe
Cobertura, monitoreo constante de la funcionalidad
No existe
No existe
No existe
Cobertura
No existe
Restricción y control de acceso a servicios
No existe
Cobertura
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Limitación de configuración de equipos para evitar daños del sistema.
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Cobertura
Cobertura
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Cobertura
No existe
No existe
No existe
Cobertura
No existe
ución prevista
Justificación / Evidencia
sesión
sesión
Monitoramento de funcionários com acesso a informações
Documentação técnica, registro de ativos e procedimentos

Atribuições e responsabilidades associadas a segurança
Procedimento de back-up de conteúdo dos discos locais
Procedimento de back-up de conteúdo dos discos locais

Processo de solicitação, concessão e retirada direito de
Mecanismos de supervisão da atividade do fornecedor
Conscientização do pessoal sobre controle de acesso

Disponibilizar informações para consulta on-line dos
Procedimento de armazenamento em áreas de rede
Processos de negócio atualizados e documentados
Requisitos de segurança para desenvolvimento de
Meios de fiscalização e penalização para infrações
Procedimentos de descarte de mídias elaborado e

Procedimentos e ITs complementares elaborada e
Metodologia de análise de impacto em mudanças
Revisão dos procedimentos de entrada de dados
Procedimentos de restore elaborado e divulgado

Processo de autorização para os recursos de
Procedimento de back-up revisado, incluindo

Compra e legalização de todos os softwares
Área compartilhada do servidor de arquivos
Testes periódicos de recuperaçãode dados

Treinamento e conscientização do pessoal
Estrutura para a segurança da informação
Treinamento nos módulos do DATASUL

Política de Segurança da Informação
Revisão da área designada para RH

Política de tela limpa e mesa limpa
Cláusula contratual de quarentena

Controles
Política de uso mídias removíveis
Processos de negócio revisados

Segregação de funções críticas
Matriz de acesso a informação
Classificação das informações
processamento da informação
Ações de retenção de pessoal
Manual do usuário do sistema

Acordos de confidencialidade
Contratação de funcionários
armazenamento seguro
Adequação do sistema
Backup de funcionário
Backup de funcionário
vendedores externos
Revisão do cadastro
da informação
estratégicas
Job rotation
Job rotation
atualizada
atualizada
divulgado
Vulnerabilidades
sistemas
acesso
ORGANIZACIONAIS
Geral
Falta de política de segurança da informação X
Falta de uma estrutura para a gestão da segurança da
X X X X X X X
informação
Acesso de terceiros à rede Galena X X X X X X
Processos não documentados ou desatualizados X X X
Processos de negócio não suportados pelos sistemas X X X X X
Resistência a mudanças X X X
Motivação pessoal X X X X X
Não bloqueio da estação de trabalho X X
Marketing
Perfis de acesso não definidos ou desatualizados X X X
Falta de definição de papéis e responsabilidades X X X X
Falta conhecimento/treinamento do sistema Datasul X X
Informações não estão centralizadas no Datasul X X X X X
Uso de planilhas para manipulação de informações críticas X X X X X
Envio ou recebimento de informações críticas por e-mail X X X X X X
Tráfego informal de informações X X X X X
Lista de clientes entregue a terceiros X X
Falta de validação de dados de entrada no sistema X
Suprimentos
Armazenamento local de informações relevantes X X X X
Operação
Informações sem proprietário definido X X X X
Falta de backup de funcionários em papéis chaves X X X X X
Procedimentos e instruções de trabalho não documentados ou
X X
desatualizados
Dados de estoque não confiáveis X X X X X
Existência de usuário compartilhado X X X
Vendas
Limitação de acesso a informações críticas à função X X X X X
Dados de estoque não confiáveis X X X X X
Gestão de Recursos
Falta conhecimento/treinamento do sistema Datasul X X
Armazenamento local de informações relevantes X X X X
Falta de backup de funcionários em papéis chaves X X X X X
Cadastro de clientes no Datasul desatualizado X
Falta de procedimentos relacionados a contas de usuários X X X
Falta de segregação física da área para tratamento de
X
informações críticas
Pagina 609 / 629

Atribuições e responsabilidades associadas a segurança
da informação
Configuraração dos servidores para utilização de um único
serviço de sincronização de horário
acesso
Procedimento para controle de utilização de dispositivos
portáteis
Procedimento de padronização de configuração dos
computadores
Inclusão dos servidores de PABX nos ativos do
procedimento de backup
Elaboração de um sistema de monitoramento de
chamadas
Revisar a necessidade de habilitação de encaminhamento
de chamadas celular e de longa distância
Criação de uma nova partição para armazenamento de
arquivos
Realização da migração
Remoção da permissão de sincronização de diretórios dos
usuários
Remoção dos privilégios administrativos
Documentação das árvores, florestas e domínios
Procedimento de gestão de mudanças
Registro das contas com privilégios administrativos
Aquisição ou upgrade de equipamento de nobreak
Realocação do equipamento para um local isolado e com
acesso controlado
Implementação de um serviço DHCP
Segregação de serviços de informação, usuários e
sistemas em redes distintas
Documentação de ativos e procedimentos
Implantação de um servidor de e-mail interno
Atualização e manutenção dos softwares dos switches
Política de verificação e atualização dos softwares dos
switches
Documentação técnica, registro de ativos e procedimentos
Remodelagem da arquitetura da rede local

Sistema de gerência de rede aderente às necessidades e
porte da empresa
Criação de VLANs e configuração de ACLs
Modificação das comunidades SNMP de leitura e escrita
de todos os switches da rede
Plano de contingência para caso de falhas
Políticas de senhas para os elementos de rede
Configuração, nos elementos de rede, de envio de traps e
geração de logs de falhas e incidentes de segurança
Estabelecimento te tempo máximo de inatividade nos
acessos administrativos
Configuração de ACLs nos elementos de rede
Habilitação de acesso administrativo exclusivamente
através de conexões seguras
Configuração das funcionalidades de AAA na rede local da
empresa
Configurar restrição de MAC nas portas dos switches da
rede
Revisão do procedimento de abertura de chamados
Conscientização do pessoal sobre mecanismos de
abertura de chamada
Procedimento de suporte técnico
Elaboração e disponibilização de documentação técnica,
manuais e procedimentos
Processos de negócio atualizados e documentados
atualizada
Adequação do sistema
Integração da base de usuários do sistema Datasul ao
Active Directory
Envio de dados em claro para terceiros
Uso de um ambiente de teste para a preparação destes
dados
Uso do módulo de auditoria do sistema
Remoção da conta do usuário desligado da empresa, ou
que não necessite mais utilizá-la
acesso
Adotação de uma política de senhas fortes para todas as
contas
Adoção de uma regra para formação de identificadores de
usuários mais complexos
Adoção de mecanismo de notificação de alteração de
senhas
Adoção de funcionalidade “Esqueci minha senha” (seguro)
Bloqueio da conta do usuário após um número limite de

tentativas inválidas de autenticação
Adoção de autenticação mútua de entidades ao se
conectar ao banco de dados
Exibição da data e hora da última conexão realizada pelo
usuário à aplicação
Geração de trilha de auditoria para os eventos de
segurança relevantes
Monitoramento da taxa de ocupação das trilhas de
Pagina 610 / 629
auditoria do sistema Datasul

Proteção das trilhas de auditoria contra leitura e
modificações não autorizadas
Configuraração dos servidores para utilização de um único
serviço de sincronização de horário
Adoção de um limite superior para o número de sessões
simultâneas
Estabelecimento te tempo máximo para sessões ociosas
Proteção das informações sensíveis contidas no banco de
dados
Proteção das senhas de usuários por meio de salts e de
funções de hash criptográficas
Plano de recuperação de desastres para a aplicação
Modificação dos dados antes que sejam enviados para a
base de desenvolvimento
Impedir que uma mesma conta inicie sessões a partir de
IPs distintos
Registro das contas compartilhadas ou migrar para o uso
de contas individuais se possível
Implementação de um sistema de auditoria de logs
Utilização de SSL para trânsito de informações
Implementação de sistema de detecção de intrusões
Configuração da remoção das permissões de ACLs do
grupo “everyone” dos arquivos compartilhados dos
usuários
Desabilitação do logon no servidor dos grupos “everyone”
e “guest”
Desabilitação da opção que permite o shutdown sem a
necessidade de um logon
Habilitação da opção de limpeza da memória virtual na
ocasião de um shutdown
Habilitação da opção de exibição do aviso legal
Habilitação do timeout para conexões TCP de no máximo
300000
Troca do nome da conta de administrador
Habilitação da opção de ciframento do canal seguro
sempre
Procedimento de monitoração de log
Habilitação da opção de não mostrar o último usuário
Configuração do apagamento automático da lixeira
Remoção do utilitário tkprof dos ambientes de produção ou
protegê-lo contra acesso indevido
Uso de endereços IP na configuração do arquivo
listener.ora
Desabilitação do Oracle Trace
Configuração de uma porta não padrão para o Oracle
Listener
Adoção de uma regra para formação de identificadores de
usuários mais complexos
Criação de contas separadas de sistema operacional para
o Oracle
Definição de GLOBAL_NAMES = TRUE no arquivo init.ora
Atribuição de DB, OS ou TRUE para a variável
AUDIT_TRAIL no arquivo init.ora
Não uso do parâmetro UTL_FILE_DIR, que não é definido
por padrão
Definição de SQL92_SECURITY = TRUE em init.ora
Definição de ADMIN_RESTRICTIONS_<listener> = “on” no
arquivo listener.ora
Definição de um valor para
INBOUND_CONNECT_TIMEOUT_<listener> no arquivo
listener.ora
Definição no arquivo sqlnet.ora com novos parâmetros
Definição de um valor para
SQLNET.INBOUND_CONNECT_TIMEOUT no arquivo
sqlnet.ora
Impedir que usuários se conectem ao banco de dados com
contas que sejam proprietárias de esquemas de
aplicações
Procedimento para testar a capacidade de recuperar de
informações
Definição do melhor valor do parâmetro
CPU_PER_SESSION
Definição do melhor valor do parâmetro
LOGICAL_READS_PER_SESSION
Definição do limite superior para o número de sessões
simultâneas do Oracle
Concessão de privilégio de acesso à visão ALL_SOURCE
somente aos usuários que necessitarem
Concessão de privilégio de acesso à visão
USER_TAB_PRIVS somente aos usuários SYS e DBAs
Concessão de privilégio de acesso à visão
USER_ROLE_PRIVS somente aos usuários SYS e DBAs
Atribuição de privilégios somente a roles
Remoção do privilégio de execução sobre o pacote
UTL_FILE de PUBLIC
UTL_TCP de PUBLIC
UTL_HTTP de PUBLIC
UTL_SMTP de PUBLIC
DBMS_LOB de PUBLIC
Concessão de privilégio de execução sobre o
DBMS_SYS_SQL somente para DBAs
DBMS_JOB de PUBLIC
Proteção das informações sensíveis contidas no banco de
dados
Revogação dos privilégios de acesso às visões ALL_[*]
Pagina 611 / 629
Adoção de uma política de senhas fortes

DBMS_RANDOM de PUBLIC
Utilização do controle de acesso granular oferecido pelo
Oracle 10g
Remoção dos ambientes de produção os scripts de
criação de bancos de dados após o uso
Desabilitação da prática de envio de senhas na linha de
comando pela aplicação
Processo para recuperar as senhas de acesso ao banco
de dados
Armazenamento dos carimbos de tempo da criação,
recarga e compilação dos objetos do banco de dados
Utilização dos segmentos de rede diferentes para os
bancos de dados de produção e os de
desenvolvimento/testes
Remoção do acesso de grupos de desenvolvimento/teste
aos bancos de dados de produção
Criação de listeners separados para clientes e
administradores
Configuração do Oracle para registrar em trilhas de
auditoria toda execução do comando GRANT ALTER ANY
TABLE
auditoria toda execução do comando ALTER USER
auditoria toda execução de comandos CREATE
auditoria toda execução de comandos DROP
auditoria toda execução do comando GRANT ANY
PRIVILEGE
auditoria toda execução do comando GRANT ANY ROLE
Registro em trilhas de auditoria todo comando INSERT
cuja execução resulte em algum tipo de erro
Emprego de AUDIT ALL ON SYS.AUD$ BY ACCESS, para
proteção dos registros gerados
Definição de uma senha para acesso ao Unix em modo
“Single User”
Legalização do sistema operacional
Contratação de suporte de manutenção
Procedimento para aplicação de correções de segurança
publicadas pelos fornecedores
Criação e manutenção de baselines do sistema
Configuração do sistema operacional para desabilitar a
conta de usuário após três tentativas malsucedidas
Adicição de delay de quatro segundos para nova
solicitação de credenciais
Definição de um valor maior ou igual a 1 para o quarto
campo de cada usuário no arquivo /etc/shadow
Restrição das conexões da conta root somente ao console
Adoção das permissões sobre os arquivos e diretórios

Unix recomendadas pelas melhores práticas de segurança
Run control scripts executando somente programas

pertencentes a contas de sistema ou de aplicações
autorizadas
Incluisão do comando mesg –n nos arquivos de
inicialização global
Uso da opção "nosuid"
habilitação do sticky bit em todos os diretórios públicos
Diretórios públicos pertencentes à conta e ao grupo root
Remoção de todas as contas criadas por padrão e que
não sejam necessárias do sistema
Uso do valor 077 para a umask do sistema e dos usuários
Geração de trilha de auditoria, com proteção contra escrita
Agendamento no crontab uma tarefa a ser executada

diariamente para rotacionamento de logs
Habilitarção de trilhas de auditoria para o sistema de
arquivos raiz
Uso de white listing para o controle de acesso ao cron
Atribuição do valor 1 ao parâmetro
net.ipv4.icmp_echo_ignore_broadcasts
Remoção das ferramentas como tcpdump, ethereal e
snoop dos ambientes de produção
Desabilitação do comando HELP do Sendmail
Alteração do arquivo sendmail.cf
Procedimento para a execução periódica de varreduras de
vulnerabilidades contra o sistema
Adoção de uma senha forte para a BIOS dos servidores
Adoção de uma senha para o grub, protegida por uma
função de hash criptográfica
Desabilitação da seqüência de teclas Ctrl-Alt-Del
Inserção de comentários em todas as linhas que
referenciam o módulo pam_console.so no diretório
/etc/pam.d
Implementação de um sistema de controle de impressão
Emprego de protocolos que propiciem a confidencialidade
e integridade dos dados enviados/recebidos
Instalação somente os módulos necessários na máquina
de cada usuário
Exibição ao usuário mensagens de erro que não
contenham informações valiosas para um atacante
Criação de contas separadas no banco de dados para
cada usuário do sistema
Pagina 612 / 629
TECNOLÓGICAS
Gerais
Falta de documentação X
Controle de acesso físico falho X X
Falta de backup de funcionários X X X
Falta de funcionários X X
Softwares sem licença X
Inexistência de procedimento de descarte de mídias X
Inexistência de procedimento de restore X X
Transporte e armazenamento de backup inadequado X
Inexistência de backup de dados de usuários X
Serviço de sincronização de horário não integrado a todos os
sistemas
Falta de procedimento de gerenciamento de contas de usuário

Falta de controle na utilização de dispositivos portáteis
Configurações não padronizadas
PABX
Backup de chamadas não é feito
Monitoramento parcial de chamadas
Encaminhamento de chamadas celular e longa distância
habilitado
Active Directory
Arquivos do sistema localizados na mesma partição lógica dos
arquivos de usuários
Permissão de sincronização de diretórios associada a um
usuário
Existência de conta de usuário com privilégios de administrador
Falta de documentação de árvores, florestas e domínios
Mudanças em schemas não documentados
Falta de documentação para contas administrativas
Infra Estrutura
Nobreak sem contingência
Nobreak em local inadequado
Falta de controle de endereçamento IP
Rede não segregada
Falta de documentação de procedimentos e ativos
Servidor de e-mail controlado por terceiros
Ausência de política de atualização das versões dos softwares
dos switches
Falta de documentação
Arquitetura da rede local inadequada
Acesso à rede uniforme
Switches com comunidade SNMP padrão
Ausência de plano de contingência em caso de falhas
Acessos à administração dos elementos de rede sem uso de
criptografia
Políticas de senhas para os elementos de rede
Falta de configuração de traps e logs
Tempos de conexão máximos com inatividade no acesso
administrativo (telnet ou http) não configurados
Falta de ACL para conexões não seguras (telnet e http)
Não são utilizadas formas de conexão segura para acesso
administrativo e gerência (SSH, SNMPv3)
Falta de configuração de funcionalidades de AAA
Falta de configuração de restrição de MAC nas portas dos
switches
Suporte
Procedimento de abertura de chamados não é seguido
Falta de documentação de procedimentos
Falta de backup de funcionários X X X
Gerais
Falta de documentação do sistema
Não adequação ao negócio X X X X
Base de usuários não integradas ao Active Directory
Não conformidade com as especificações do órgão regulador X
Envio de dados em claro para terceiros
Módulo de auditoria desativado
Usuários Inativos não removidos
Política de senhas fortes não implementada
Identificadores fáceis de adivinhar
Notificação de alteração de senhas não é enviada
Recuperação de senha
O sistema permite múltiplas tentativas malsucedidas de
autenticação
Aplicação cliente não autentica o servidor
Data da última conexão não exibida
Eventos de segurança relevantes não são registrados
Capacidade das trilhas de auditoria não monitorada
Pagina 613 / 629
X X
X
X
X
X
X
X
X
X X
X
X
X
X
X
X
X
X
X
X
X X
X
X X
X X
X
X
X
X
X
X
X
X
X
X
X X
X
X X X X
X
X
X X
X
X X
X
X
X
X
X
X
X
X
X
Pagina 614 / 629
Pagina 615 / 629
Pagina 616 / 629
Trilhas de auditoria não são protegidas
Horários não são sincronizados
Inexistência de limite superior para número de sessões
Sessões ociosas não são encerradas
Dados armazenados em claro
Uso de método proprietário para proteção de senhas
Inexistência de plano de recuperação de desastres
Exportação de dados para a base de desenvolvimento
Conexão com a mesma conta a partir de IPs distintos
Windows 2003
Contas de usuário compartilhadas não documentadas
Auditoria de logs não é realizada
Acesso remoto não cifrado ao servidor é permitido
Servidor sem sistema de detecção de intrusões
Grupo "everyone" em ACLs de compartilhamento de arquivos
Grupos "everyone" e "guests" podem logar localmente
Servidor permite shutdown direto via tela de logon
System pagefile não é limpo com um shutdown
Aviso legal não é exibido após o logon
Servidor mantém conexões TCP ativas por tempo maior do que
o recomendável
Conta de administrador com nome padrão de instalação
Tráfego do canal seguro não cifrado
Falta de controle de logs de eventos
Último usuário é exibido na tela de logon
Lixeira não configurada para apagamento automático de
arquivos
Oracle
Utilitário tkprof instalado no sistema
Uso de nomes de domínio em listener.ora
Oracle Trace está habilitado
O listener utiliza a porta padrão
Conta única de SO para os processos/serviços Oracle
Parâmetros Oracle
GLOBAL_NAMES = FALSE
AUDIT_TRAIL = NONE
Uso do parâmetro UTL_FILE_DIR
SQL92_SECURITY diferente de TRUE em init.ora
ADMIN_RESTRICTIONS_<listener> não está definido em
listener.ora
INBOUND_CONNECT_TIMEOUT não é utilizado
Filtragem de conexão com base no IP não realizada
SQLNET.INBOUND_CONNECT_TIMEOUT não é utilizado
Contas proprietárias de esquemas de aplicação não estão
travadas
Backup e recuperação de desastres
Inexistência de processo para verificação de backups
Oracle Profile Setup
CPU_PER_SESSION = unlimited (valor padrão)
LOGICAL_READS_PER_SESSION = unlimited (valor padrão)
SESSIONS_PER_USER = unlimited (valor padrão)
Oracle Profile Access
Privilégios de acesso à visão ALL_SOURCE
Privilégio de acesso à visão USER_TAB_PRIVS
Privilégio de acesso à visão USER_ROLE_PRIVS
Privilégios atribuídos a roles e a usuários
Privilégio público de execução sobre o pacote UTL_FILE
Privilégio público de execução sobre o pacote UTL_TCP
Privilégio público de execução sobre o pacote UTL_HTTP
Privilégio público de execução sobre o pacote UTL_SMTP
Privilégio público de execução sobre o pacote DBMS_LOB
Privilégio público de execução sobre o pacote DBMS_SYS_SQL
Privilégio público de execução sobre o pacote DBMS_JOB
Acesso público às visões ALL_[*]
Não existem roles protegidas por senhas
Privilégio público de acesso ao pacote DBMS_RANDOM
Questões específicas da versão 10g
Controle de acesso granular não utilizado
Procedimentos e políticas gerais
Scripts de criação de bancos de dados não removidos
Senhas passadas na linha de comando
Arquivos em lote contêm usuários e senhas
Não é mantida uma baseline para verificação de integridade dos
objetos armazenados
Bancos de dados de desenvolvimento e produção no mesmo
segmento de rede
Pagina 617 / 629

X
X
Pagina 618 / 629

X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Pagina 619 / 629

X
X
X
X
X
Pagina 620 / 629

Grupos de desenvolvimento/teste possuem acesso ao banco de
produção
Não são utilizados listeners separados para clientes e
administradores
Procedimentos e políticas de auditoria
Uso de comandos GRANT ALTER ANY TABLE não é registrado
Uso do comando ALTER USER não é registrado pelo Oracle
Uso de comandos CREATE não é registrado pelo Oracle
Uso de comandos DROP não é registrado pelo Oracle
Uso de comandos GRANT ANY PRIVILEGE não é registrado
pelo Oracle
Uso de comandos GRANT ANY ROLE não é registrado pelo
Oracle
Falha na execução de comandos “INSERT” não é registrada
AUDIT ALL ON SYS.AUD$ BY ACCESS não é empregado
Linux
Modo Single User sem senha
Sistema operacional não suportado pelo fornecedor
Falta de aplicação de correções de segurança
Baseline para verificação de integridade não é mantida
A conta não é desabilitada após um número de tentativas
malsucedidas e autenticação
Um delay não é definido para nova solicitação de credenciais,
após uma autenticação malsucedida
Senhas podem ser alteradas mais de uma vez em um período
de 24 horas
Login da conta root não está restrito ao console
Permissões sobre arquivos e diretórios
Run control scripts executam programas potencialmente
maliciosos
Comando mesg não é utilizado
Opção "nosuid" não utilizada
Sticky bit não está habilitado em diretórios públicos
Contas e grupos proprietários dos diretórios públicos
Contas instaladas por padrão habilitadas
Umask padrão não é 077
Trilhas de auditoria não são rotacionadas diariamente
Trilhas de auditoria não habilitadas para o sistema de arquivos
raiz
Controle de acesso ao cron inadequado
Parâmetro de rede inseguro
Ferramentas de análise de rede habilitadas
Comando HELP do Sendmail habilitado
SMTP greeting exibe versão
Ferramentas de varredura de vulnerabilidades não são
executadas
Senha de supervisor da BIOS desabilitada
Não é utilizada uma senha protegida criptograficamente para o
grub
Ctrl-Alt-Del habilitado
Uso do módulo pam_console.so
Gerais
Falta de documentação
Não conformidade com as especificações da ANVISA X
Não são gerados logs de operações críticas X X X
Impressões não controladas
Base de usuários não integradas ao Active Directory
Desaparecimento de dados de clientes
Não adequação ao negócio X X X
Notificação de alteração de senhas não é enviada
Política de senhas fortes não implementada
O sistema permite múltiplas tentativas malsucedidas de
autenticação
Aplicação cliente não autentica o servidor
Data da última conexão não exibida
Horários não são sincronizados
Inexistência de limite superior para número de sessões
Dados em trânsito não protegidos
Uso de método proprietário para proteção de senhas
Módulos desnecessários são instalados
Exportação de dados para a base de desenvolvimento
Mensagem de erro não tratada
Conexão com a mesma conta a partir de IPs distintos
Credenciais de acesso armazenadas em arquivo de
configuração
Pagina 621 / 629

X
X
X
X
X
X
X
X
X
Pagina 622 / 629

X
X
X
Pagina 623 / 629

X
X
X
X
X
X
X
X
X
X
X X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Pagina 624 / 629

Tipo
1
2
3
Daño físico
4
5
6
7
8
9 Eventos naturales
10
11
12
13 Pérdida de los servicios esenciales
14
15
16 Perturbación debida a la radiación
17
18
19
20
21
22
23 Compromiso de la información
24
25
26
27
28
29
30
31 Fallas técnicas
32
33
34
35
36 Acciones no autorizadas
37
38
39
40
41 Compromiso de las funciones
42
43
Identificar una Amenaza:
Fuego
Daño por agua
Contaminación
Destruicción del equipo o los medios
Polvo, corrosión, congelamiento
Fenómenos climáticos
Fenómenos sismicos
Fenómeno volcánicos
Fenómenos metereológicos
Inundación
Falla em el sistema de suministro de agua o de aire acondicionado
Pérdida de suministro de energia
Falla em el equipo de telecomunicaciones
Radiación electromagnética
Radiación térmica
Impulsos electromagnéticos
Interceptación de señales de interferencia comprometedoras
Espionaje remoto
Escucha subrepticia
Hurto de medios o documentos
Hurto de equipo
Recuperación de medios reciclados o desechados
Divulgación
Datos provenientes de fuentes no confiables
Manipulación com hardware
Detección de la posición
Falla del equipo
Saturación del sistema de información
Mal funcionamiento del sofatware
Incumplimiento em el mantenimiento del sistema de información
Uso no autorizadodel equipo
Copia fraudulenta del software
Uso de software falso o copiado
Error em el uso
Abuso de derechos
Falsificación de derechos
Incumplimiento em la disponibilidad del personal
Onde Tudo Começa...
Origen
A, D, E
A, D, E
A, D, E
A, D, E
A, D, E
A, D, E
E
E
E
E
E
A, D
A, D, E
A, D
A, D, E
A, D, E
A, D, E
D
D
D
D
D
D
A, D
A, D
D
A, D
D
A
A
A, D
A
A, D
D
D
A, D
D
D
A
A, D
D
D
A, D, E
do Começa...

Hoja GRISCO 20170328 ES PaulinaOrtiz-Mcarrillo-UCE

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Hoja GRISCO 20170328 ES PaulinaOrtiz-Mcarrillo-UCE

Hochgeladen von

Copyright:

Verfügbare Formate

0 0 157

217 217 244

129 196 244

Sesión 2 Sesión 3 Sesión 4

Sesión 5 Sesión 6 Sesión 7

Sesión 8 Sesión 9 Sesión 10

Recuerde, estas actividades deben realizarse en secuencia y con el acompañamiento

2.1 Establecer el Contexto

2.2 Análisis de las Restricciones

2.3 Definición del alcance

2.4 Criterios para la evaluación de

acompañamiento de la norma 27005.

Donde empieza todo...

Formar y capacitar profesionales éticos, humanistas y competentes de pregra

El negocio de la organización Institución pública dedicada a la Educación Superior

Crear y difundir el conocimiento científico-tecnológico, arte y cultura, formarp

Educación superior de calidad.

Estructura divisional cuyas autoridades son las siguientes:

La Universidad Central Del Ecuador se fundamenta en los principios de autono

¿Cuál es el sector que solicitó el

Para proporcionar el servicio de Educación Superior los procesos que permiten

Profesionales preparados y titulados que proveen sus conocimientos en calida

¿Cuál es el número total de 4000 Docentes

y competentes de pregrado y postgrado, con excelencia

a ciencia, la filosofía, el arte y la tecnología, acorde con la

sión universitaria o de vinculación con la colectividad, de

o, arte y cultura, formarprofesionales, investigadores y

os procesos que permiten el cumplimento de este servicio

iantes, docentes y personal.

or escrito las líneas de conducta

s conocimientos en calidad de Docentes.

gánica de Educación Superior y su Reglamento General,

Volver al principio de la sesión

La falta de presupuesto ha dejado de lado proyectos planificados

Todos quienes conforman la institución, deben llevar su identific

El orden de ejecución para la adquisición de bienes o servicios de

La sistematización de la contratación de personal dificulta el cont

La contratación de personal que no esta preparado ni suficientem

Como entidad pública debe someterse a decisiones externas y su

Delimitan mucho los proyectos de applicación de seguridades co

Falta de organización de los procesos por parte de la unidad inte

En la parte académica los procesos que la Dirección encargada ll

técnicas La falta de equipos sofisticados interrumpe la productividad del p

El tiempo mal medido crea dificultades en la productividad yrefle

do proyectos planificados pensando en la

bajo desorganizan los procesos en ejecución y

deben llevar su identificación (carnet

n de bienes o servicios de calidad no toma en

personal dificulta el contrato de suficiente

preparado ni suficientemente calificado para

decisiones externas y sujetarse a las

ación de seguridades como: cámaras de

r parte de la unidad interna competente,

la Dirección encargada lleva impiden el

pe la productividad del personal

en la productividad yrefleja ineficiencia del

Descripción del alcance. Procesos de Gestión de las áreas de la Dirección de Tecnologías d

¿Cuáles son los procesos y sistemas involucrados

¿Cuántas personas (Talentos Humanos)

irección de Tecnologías de Información y Comunicación

an en conseguir el alcance de la institución, midentificándolos para

stración Central, que son alrededos de 60.

enes, servicios, personal con una capacidad de cubrir la necesidad de

al capacitado, falta de procesos de Gestión de Contratación,