Anexo H - Plan de Tratamiento de Riesgos

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) BASADO EN LA NORMA ISO 27001 Y 27002 PARA EL AREA DE PROCESO DE GESTIÓN
TIC DE LA GOBERNACIÓN DE NARIÑO

PLAN DE TRATAMIENTO DE RIESGOS - AREA DE PROCESO DE GESTIÓN TIC
CONTROL ACTIVO DE INFORMACIÓN ACTIVIDAD / DESCRIPCIÓN PRIORIDAD ESTADO
PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-06 Servidor NS2 PGT-15 Impresoras
A.5 Política de seguridad de la
PGT-13 Computadores de Escritorio PGT-16 Escáner

PGT-07 Correo Electrónico institucional PGT-04 Portal Web de la Gobernación de
PGT-08 Base de datos Correo Nariño El Area de Proceso de Gestion
Electrónico Institucional PGT-01 Soporte Técnico TIC debería aprobar y publicar un
información
A.5.1.1 Documento de PGT-03 Código fuente Portal Web de la documento de la política de

política de seguridad de Gobernación de Nariño, Portales. PGT- seguridad de la información y Alta Inicial
información 18 Switch hp 5500 comunicar la politíca a todos los
PGT-19 Red Telefonica empleados y las partes externas
relevantes.
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) BASADO EN LA NORMA ISO 27001 Y 27002 PARA EL AREA DE PROCESO DE GESTIÓN TIC DE LA
GOBERNACIÓN DE NARIÑO

PGT-07 Correo Electrónico PGT-04 Portal Web de la Gobernación de Nariño
institucional PGT-01 Soporte Técnico
A.6.1.3 Asignación de
PGT-08 Base de datos Correo PGT-03 Código fuente Portal Web de la Se deberían definir claramente todas las
responsabilidades para la Alta Inicial
Electrónico Institucional PGT- Gobernación de Nariño, Portales. PGT- responsabilidades para la seguridad de la información.
seguridad de la información
17 Sala de Servidores 18 Switch hp 5500
PGT-19 Red Telefonica

A.6.1.4 Proceso de institucional PGT-01 Soporte Técnico
autorización de recursos para PGT-08 Base de datos Correo PGT-03 Código fuente Portal Web de la Se debería definir y establecer un proceso de
Electrónico Institucional PGT- Gobernación de Nariño, Portales. Media Inexistente
el tratamiento de la autorizaciones para los nuevos activos de información.
información. 17 Sala de Servidores PGT-18 Switch hp 5500

institucional PGT-01 Soporte Técnico Se deberían identificar y revisar regularmente en los
A.6.1.5 Acuerdos de PGT-08 Base de datos Correo PGT-03 Código fuente Portal Web de la acuerdos aquellos requisitos de confidencialidad o no
Electrónico Institucional PGT- Gobernación de Nariño, Portales. PGT- Alta Inicial
confidencialidad divulgación que contemplan las necesidades de
17 Sala de Servidores 18 Switch hp 5500 protección de la información de la Organización.

institucional PGT-01 Soporte Técnico
A.6.1.6 Contacto con las PGT-08 Base de datos Correo PGT-03 Código fuente Portal Web de la Se deberían mantener los contactos apropiados con las
Electrónico Institucional PGT- Gobernación de Nariño, Portales. PGT- autoridades pertinentes. Media Repetible
autoridades
17 Sala de Servidores 18 Switch hp 5500

institucional PGT-01 Soporte Técnico Se deberían identificar los riesgos a la información de la
A.6.2.1 Identificación de los PGT-08 Base de datos Correo PGT-03 Código fuente Portal Web de la organización y a las instalaciones del procesamiento de
riesgos derivados del acceso Electrónico Institucional Gobernación de Nariño, Portales. PGT- información de los procesos de negocio que impliquen a Media Inexistente
de terceros PGT-17 Sala de Servidores 18 Switch hp 5500 terceros y se deberían implementar controles
PGT-19 Red Telefonica apropiados antes de conceder el acceso.
PGT-02 Servidor NS1

PGT-06 Servidor NS2
PGT-13 Computadores de Escritorio
PGT-07 Correo Electrónico institucional
A.7.2.1 Directrices de PGT-08 Base de datos Correo La información debería clasificarse en relación a su valor, requisitos legales, sensibilidad y
Electrónico Institucional Alta Inicial
clasificación. criticidad para la Organización.
PGT-18 Switch hp 5500
PGT-14 Computadores Portátiles

PGT-15 Impresoras
PGT-16 Escáner
PGT-04 Portal Web de la Gobernación
de Nariño
A.7.2.2 Marcado y tratamiento PGT-01 Soporte Técnico Se debería desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y
PGT-03 Código fuente Portal Web de la manejo de la información Alta Inexistente
de la información.
Gobernación de Nariño, Portales. PGT-
18 Switch hp 5500
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) BASADO EN LA NORMA ISO 27001 Y 27002 PARA EL AREA DE PROCESO DE GESTIÓN TIC DE LA GOBERNACIÓN DE NARIÑO

PGT-07 Correo Electrónico institucional PGT-04 Portal Web de la Gobernación de Nariño
A.8.1.1 Inclusión de la PGT-08 Base de datos Correo PGT-01 Soporte Técnico Se deberían definir y documentar los roles y responsabilidades de la seguridad de
seguridad en las Electrónico Institucional PGT-03 Código fuente Portal Web de la todo el personal en concordancia con la política de seguridad de la información de Alta Inicial
responsabilidades laborales. PGT-17 Sala de Servidores Gobernación de Nariño, Portales. PGT- la organización.
18 Switch hp 5500

PGT-08 Base de datos Correo PGT-01 Soporte Técnico
A.8.1.2 Selección y política de Electrónico Institucional PGT-03 Código fuente Portal Web de la
Se debería verificar antecedentes de todo candidato a empleado o contratista. Baja Inicial
personal. PGT-17 Sala de Servidores Gobernación de Nariño, Portales. PGT-
18 Switch hp 5500

PGT-08 Base de datos Correo PGT-01 Soporte Técnico Como parte de su obligación contractual, empleados, contratistas y terceros
A.8.1.3 Términos y condiciones Electrónico Institucional PGT-03 Código fuente Portal Web de la deberían aceptar y firmar los términos y condiciones del contrato de empleo, el cual
Baja Repetible
de la relación laboral. PGT-17 Sala de Servidores Gobernación de Nariño, Portales. PGT- establecerá sus obligaciones y las obligaciones de la organización para la seguridad
18 Switch hp 5500 de información. Se firman contratos donde se incluye las responsabilidades de SI.
A.8 Seguridad de los recursos humanos

A.8.2.1 Supervisión de las Electrónico Institucional PGT- PGT-03 Código fuente Portal Web de la La Dirección debería requerir a empleados aplicar la SI según la política de la
Media Definido
obligaciones. 17 Sala de Servidores Gobernación de Nariño, Portales. PGT- organización.
18 Switch hp 5500

PGT-08 Base de datos Correo PGT-01 Soporte Técnico Todos los empleados de la organización y donde sea relevante deberían recibir
A.8.2.2 Formación y Electrónico Institucional PGT- PGT-03 Código fuente Portal Web de la entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y
capacitación en seguridad de 17 Sala de Servidores Gobernación de Nariño, Portales. PGT- Alta Inicial
procedimientos organizacionales como sean relevantes para la función de su
la información. 18 Switch hp 5500 trabajo. Se sensibiliza, capacita y educa en SI pertinente a su función de trabajo.

A.8.2.3 Procedimiento Electrónico Institucional PGT-03 Código fuente Portal Web de la Debería existir un proceso formal disciplinario para empleados ante el
Baja Definido
disciplinario. PGT-17 Sala de Servidores Gobernación de Nariño, Portales. PGT- incumplimiento de SI.
18 Switch hp 5500

Electrónico Institucional PGT-03 Código fuente Portal Web de la Se deberían retirar los derechos de acceso para todos los empleados a la
A.8.3.3 Cancelación de
permisos de acceso. PGT-17 Sala de Servidores Gobernación de Nariño, Portales. PGT- información y a las instalaciones del procesamiento de información a la finalización Media Definido
18 Switch hp 5500 del empleo, contrato o acuerdo, o ser revisada en caso de cambio.

PGT-07 Correo Electrónico institucional PGT-04 Portal Web de la Gobernación de Nariño Se debe utilizar perímetros de seguridad
PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico (barreras tales como paredes y puertas de
A.9.1.1 Perímetro de seguridad Institucional PGT-17 Sala de PGT-03 Código fuente Portal Web de la ingreso controlado o recepcionistas) para
Alta Repetible
física. Servidores Gobernación de Nariño, Portales. PGT- proteger áreas que contienen información y
18 Switch hp 5500 medios de procesamiento de información.

PGT-07 Correo Electrónico institucional PGT-04 Portal Web de la Gobernación de Nariño Se deben proteger las áreas seguras mediante
PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico controles de entrada apropiados para asegurar
A.9.1.2 Controles físicos de Institucional PGT-17 Sala de PGT-03 Código fuente Portal Web de la que sólo se permita acceso al personal Alta Definido
entrada. Servidores Gobernación de Nariño, Portales. PGT- autorizado.
18 Switch hp 5500

PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico Se debe diseñar y aplicar seguridad física en las
A.9.1.3 Seguridad de oficinas, Institucional PGT-17 Sala PGT-03 Código fuente Portal Web de la oficinas, habitaciones y medios.
Media Repetible
despachos y recursos. de Servidores Gobernación de Nariño, Portales. PGT-
18 Switch hp 5500

A.9.1.4 Protección contra PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico Se debe diseñar y aplicar protección física contra daño por
amenazas externas y del Institucional PGT-17 Sala de PGT-03 Código fuente Portal Web de la fuego, inundación, terremoto, explosión, disturbios civiles y Media Inicial
entorno. Servidores Gobernación de Nariño, Portales. PGT- otras formas de desastre natural o humano
18 Switch hp 5500
A.9 Seguridad física y medioambiental

PGT-07 Correo Electrónico institucional PGT-04 Portal Web de la Gobernación de Nariño El equipo debe estar ubicado o protegido para
PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico reducir los riesgos de las amenazas y peligros
A.9.2.1 Instalación y protección Institucional PGT-17 Sala de PGT-03 Código fuente Portal Web de la ambientales, y las oportunidades para el acceso Alta Repetible
de equipos. Servidores Gobernación de Nariño, Portales. PGT- no autorizado.
18 Switch hp 5500

PGT-07 Correo Electrónico institucional PGT-04 Portal Web de la Gobernación de Nariño El cableado de la energía y las
PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico telecomunicaciones que llevan data o sostienen
A.9.2.3 Seguridad del Institucional PGT-17 Sala de PGT-03 Código fuente Portal Web de la los servicios de información deben ser protegidos Alta Inicial
cableado. Servidores Gobernación de Nariño, Portales. PGT- de la intercepción o daño.
18 Switch hp 5500

PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico El equipo debe ser mantenido correctamente
A.9.2.4 Mantenimiento de Institucional PGT-17 Sala de PGT-03 Código fuente Portal Web de la para permitir su continua disponibilidad e
Alta Repetible
equipos. Servidores Gobernación de Nariño, Portales. PGT- integridad.
18 Switch hp 5500

PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico Se debe aplicar seguridad al equipo fuera del
A.9.2.5 Seguridad de equipos
Institucional PGT-17 Sala PGT-03 Código fuente Portal Web de la local tomando en cuenta los diferentes riesgos de
fuera de los locales de la Media Repetible
Organización. de Servidores Gobernación de Nariño, Portales. PGT- trabajar fuera del local de la organización.
18 Switch hp 5500

PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico Equipos, información o software no deben ser
Institucional PGT-17 Sala de PGT-03 Código fuente Portal Web de la sacados fuera de la propiedad sin previa
A.9.2.7 Traslado de activos. Baja Repetible
Servidores Gobernación de Nariño, Portales. PGT- autorización.
18 Switch hp 5500
PGT-02 Servidor NS1 PGT- PGT-14 Computadores Portátiles

06 Servidor NS2 PGT-15 Impresoras
PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico
A.10.1.2 Control de cambios Institucional PGT-03 Código fuente Portal Web de la Se deberían controlar los cambios en los sistemas y en los recursos de tratamiento de la
PGT-17 Sala de Servidores Gobernación de Nariño, Portales. PGT- información. Alta Inicial
operacionales.
18 Switch hp 5500

A.10.2.2 Monitorización y Institucional PGT- PGT-03 Código fuente Portal Web de la
Los servicios, informes y registros suministrados por terceros deberían ser monitoreados y
revisión de los servicios 17 Sala de Servidores Gobernación de Nariño, Portales. PGT- Baja Definido
revisados regularmente, y las auditorias se deberían realizar a intervalos regulares.
contratados. 18 Switch hp 5500

A.10.3.1 Planificación de Institucional PGT- PGT-03 Código fuente Portal Web de la Se debería monitorear, afinar y realizar proyecciones de uso de recursos para asegurar
17 Sala de Servidores Gobernación de Nariño, Portales. PGT- buen desempeño. Alta Inicial
capacidades.
18 Switch hp 5500

Institucional PGT- PGT-03 Código fuente Portal Web de la Se debería manejar y controlar adecuadamente las redes para proteger la información e
A.10.6.1 Controles de red. 17 Sala de Servidores Gobernación de Nariño, Portales. PGT- infraestructura. Media Definido
18 Switch hp 5500

PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico Se deberían identificar e incluir, en cualquier acuerdo sobre servicios de red, las
A.10.6.2 Seguridad en los Institucional PGT-03 Código fuente Portal Web de la características de seguridad, los niveles de servicio y los requisitos de gestión de todos los
PGT-17 Sala de Servidores Gobernación de Nariño, Portales. PGT- Baja Definido
servicios de red. servicios de red, independientemente de que estos servicios sean provistos desde la propia
18 Switch hp 5500 organización o se contratan desde el exterior.

A.10.7.1 Gestión de soportes Institucional PGT-03 Código fuente Portal Web de la Se deberían establecer procedimientos para la gestión de los medios informáticos
PGT-17 Sala de Servidores Gobernación de Nariño, Portales. PGT- removibles. Media Inicial
extraíbles.
18 Switch hp 5500

A.10.7.2 Eliminación de Institucional PGT- PGT-03 Código fuente Portal Web de la Se deberían eliminar los medios de forma segura y sin riesgo cuando ya no sean
17 Sala de Servidores Gobernación de Nariño, Portales. PGT- requeridos, utilizando procedimientos formales. Baja Inicial
soportes.
18 Switch hp 5500

Institucional PGT-03 Código fuente Portal Web de la Se deberían establecer procedimientos para la manipulación y almacenamiento de la
A.10.7.3 Procedimientos de
utilización de la información. PGT-17 Sala de Servidores Gobernación de Nariño, Portales. PGT- información con el objeto de proteger esta información contra divulgaciones o usos no Alta Inicial
18 Switch hp 5500 autorizados o inadecuados.

A.10.8.1 Acuerdos para Institucional PGT- PGT-03 Código fuente Portal Web de la Se debería disponer de normativa para proteger la información durante su intercambio en
intercambio de información y 17 Sala de Servidores Gobernación de Nariño, Portales. PGT- cualquier medio de comunicación. Baja Inicial
software. 18 Switch hp 5500

A.10.10.2 Supervisión del uso Institucional PGT-03 Código fuente Portal Web de la Se deberían establecer procedimientos de monitoreo del uso de recursos y revisar
PGT-17 Sala de Servidores Gobernación de Nariño, Portales. PGT- regularemente los resultados de las actividades de monitoreo. Alta Inicial
de los sistemas.
18 Switch hp 5500

A.10.10.3 Protección de los Institucional PGT-03 Código fuente Portal Web de la Se debería proteger la información y los medios de registro frente a acceso manipulado o no
PGT-17 Sala de Servidores Gobernación de Nariño, Portales. PGT- autorizado. Media Inicial
registros de incidencias.
18 Switch hp 5500

A.10.10.4 Diarios de operación Institucional PGT-03 Código fuente Portal Web de la
Se deberían registrar las actividades del administrador y de los operadores del sistema. Alta Inicial
del administrador y operador. PGT-17 Sala de Servidores Gobernación de Nariño, Portales.

Institucional PGT-03 Código fuente Portal Web de la
A.10.10.5 Registro de fallos. PGT-17 Sala de Servidores Gobernación de Nariño, Portales. PGT- Se deberían registran las fallas, se analizan y se toma la acción apropiada. Media Inicial
18 Switch hp 5500

A.10.10.6 Sincronización de Institucional PGT-03 Código fuente Portal Web de la Se deberían sincronizar los relojes de todos los sistemas de procesamiento de información
PGT-17 Sala de Servidores Gobernación de Nariño, Portales. Baja Inexistente
reloj. dentro de la organización.

PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico Se debería disponer de una política de control de acceso con
A.11.1.1 Política de control de Institucional PGT-17 Sala de PGT-03 Código fuente Portal Web de la base en las necesidades de seguridad y de negocio de la Alta Inexistente
accesos. Servidores Gobernación de Nariño, Portales. organización.

PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico Debería existir un procedimiento formal de alta y baja de usuarios
A.11.2.1 Registro de usuario. Institucional PGT-17 Sala de PGT-03 Código fuente Portal Web de la con objeto de garantizar y cancelar los accesos a todos los Alta Inexistente
Servidores Gobernación de Nariño, Portales. sistemas y servicios de información.

Institucional PGT-17 Sala PGT-03 Código fuente Portal Web de la Se debería restringir y controlar la asignación y uso de los
A.11.2.2 Gestión de privilegios. Alta Definido
de Servidores Gobernación de Nariño, Portales. PGT- privilegios.
18 Switch hp 5500 PGT-19
Red Telefonica

A.11.2.3 Gestión de Institucional PGT-17 Sala de PGT-03 Código fuente Portal Web de la Se debería controlar la asignación de contraseñas mediante un
Media Repetible
contraseñas de usuario. Servidores Gobernación de Nariño, Portales. proceso de gestión formal.
PGT-18 Switch hp 5500 PGT-
19 Red Telefonica

A.11.2.4 Revisión de los PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico El órgano de Dirección debería revisar con regularidad los
derechos de acceso de los Institucional PGT-17 Sala PGT-03 Código fuente Portal Web de la derechos de acceso de los usuarios, siguiendo un procedimiento Media Inexistente
usuarios. de Servidores Gobernación de Nariño, Portales. PGT- formal. Se audita los derechos de acceso de manera regular.
Red Telefonica

A.11 Control de acceso (lógico)
Institucional PGT-17 Sala de PGT-03 Código fuente Portal Web de la Se debería exigir a los usuarios el uso de las buenas prácticas de
A.11.3.1 Uso de contraseña. Alta Inicial
Servidores Gobernación de Nariño, Portales. PGT- seguridad en la selección y uso de las contraseñas seguras.
Red Telefonica

A.11.4.2 Autenticación de PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico
Se deberían utilizar métodos de autenticación adecuados para el
usuario para conexiones Institucional PGT-17 Sala de PGT-03 Código fuente Portal Web de la Baja Definido
control del acceso remoto de los usuarios.
externas. Servidores Gobernación de Nariño, Portales. PGT-
Red Telefonica

A.11.5.1 Procedimientos de Institucional PGT-17 Sala PGT-03 Código fuente Portal Web de la Debería controlarse el acceso al sistema operativo mediante
Media Definido
conexión de terminales. de Servidores Gobernación de Nariño, Portales. PGT- procedimientos seguros de conexión.
Red Telefonica

PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico Todos los usuarios deberían disponer de un único identificador
A.11.5.2 Identificación y Institucional PGT-17 Sala PGT-03 Código fuente Portal Web de la propio para su uso personal y exclusivo. Se debería elegir una
Alta Definido
autenticación de usuario. de Servidores Gobernación de Nariño, Portales. técnica de autenticación adecuada que verifique la identidad
PGT-18 Switch hp 5500 PGT- reclamada por un usuario.
19 Red Telefonica

A.11.5.3 Sistema de gestión de Los sistemas de gestión de contraseñas deberían ser interactivos
Institucional PGT-17 Sala PGT-03 Código fuente Portal Web de la Media Inexistente
contraseñas. y garantizar la calidad de las contraseñas.
de Servidores Gobernación de Nariño, Portales.
PGT-18 Switch hp 5500 PGT-
19 Red Telefonica

A.11.5.5 Desconexión Institucional PGT-17 Sala PGT-03 Código fuente Portal Web de la Se deberían desconectar las sesiones tras un determinado
Alta Inicial
automática de terminales. de Servidores Gobernación de Nariño, Portales. PGT- periodo de inactividad.
Red Telefonica

Se debería restringir el acceso de los usuarios y el personal de
A.11.6.1 Restricción de acceso mantenimiento a la información y funciones de los sistemas de
Institucional PGT-17 Sala de PGT-03 Código fuente Portal Web de la Media Inicial
a la información. aplicaciones,
Servidores Gobernación de Nariño, Portales. PGT-
en relación a la política de control de accesos definida.
Red Telefonica
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) BASADO EN LA NORMA ISO 27001 Y 27002 PARA EL AREA DE PROCESO DE GESTIÓN TIC DE LA GOBERNACIÓN DE
NARIÑO

PGT-08 Base de datos Correo Nariño
Las demandas de nuevos sistemas de información para el negocio o
A.12.1.1 Análisis y especificación Electrónico Institucional PGT-01 Soporte Técnico
mejoras de los sistemas ya existentes deberían especificar los Media Inicial
de los requisitos de seguridad. PGT-17 Sala de Servidores PGT-03 Código fuente Portal Web de la
requisitos de los controles de seguridad.
18 Switch hp 5500

A.12.2.1 Validación de los datos Electrónico Institucional PGT-01 Soporte Técnico Se deberían validar los datos de entrada utilizados por las aplicaciones
Media Inicial
de entrada. PGT-17 Sala de Servidores PGT-03 Código fuente Portal Web de la para garantizar que estos datos son correctos y apropiados.
18 Switch hp 5500

PGT-08 Base de datos Correo Nariño Se deberían incluir chequeos de validación en las aplicaciones para la
A.12.2.2 Control del proceso Electrónico Institucional PGT-01 Soporte Técnico detección de una posible corrupción en la información debida a errores Media Inicial
interno. PGT-17 Sala de Servidores PGT-03 Código fuente Portal Web de la de procesamiento o de acciones deliberadas
18 Switch hp 5500
A.12 Adquisición, desarrollo y mantenimiento de sistemas de información

A.12.4.1 Control del software en Electrónico Institucional PGT-01 Soporte Técnico Se deberían establecer procedimientos con objeto de controlar la
Media Inicial
explotación. PGT-17 Sala de Servidores PGT-03 Código fuente Portal Web de la instalación de software en sistemas que estén operativos.
18 Switch hp 5500

A.12.4.3 Control de acceso a la Electrónico Institucional PGT-01 Soporte Técnico Se debería restringir el acceso al código fuente de los programas. Alta Inicial
librería de programas fuente. PGT-17 Sala de Servidores PGT-03 Código fuente Portal Web de la
18 Switch hp 5500

A.12.5.1 Procedimientos de Electrónico Institucional PGT-01 Soporte Técnico Se debería controlar la implantación de cambios mediante la aplicación
Alta Inicial
control de cambios. PGT-17 Sala de Servidores PGT-03 Código fuente Portal Web de la de procedimientos formales de control de cambios.
18 Switch hp 5500

A.12.5.3 Restricciones en los PGT-08 Base de datos Correo Nariño Se debería desaconsejar la modificación de los paquetes de software,
cambios a los paquetes de Electrónico Institucional PGT-01 Soporte Técnico restringiéndose a lo imprescindible y todos los cambios deberían ser Baja Inicial
software. PGT-17 Sala de Servidores PGT-03 Código fuente Portal Web de la estrictamente controlados.
18 Switch hp 5500

A.12.5.4 Canales encubiertos y Electrónico Institucional PGT-01 Soporte Técnico
código Troyano. PGT-17 Sala de Servidores PGT-03 Código fuente Portal Web de la Se debería prevenir las posibilidades de fuga de información. Media Inicial
18 Switch hp 5500

A.13.1.1 Comunicación de Electrónico Institucional PGT-03 Código fuente Portal Web de la Gobernación Se deberian comunicar los eventos en la seguridad de información lo Baja Repetible
eventos en seguridad. PGT-17 Sala de Servidores de Nariño, Portales. PGT-18 Switch más rápido posible mediante canales de gestión apropiados.
A.13 Gestión de incidentes de seguridad de información
hp 5500

A.13.1.2 Comunicación de Electrónico Institucional PGT-03 Código fuente Portal Web de la Gobernación Se promueve que todo el personal reporte las debilidades de SI, que
Alta Inicial
debilidades en seguridad. PGT-17 Sala de Servidores de Nariño, Portales. PGT-18 Switch hp observe o sospeche.
5500

A.13.2.1 Identificación de PGT-08 Base de datos Correo PGT-01 Soporte Técnico Se deberían establecer las responsabilidades y procedimientos de
responsabilidades y Electrónico Institucional PGT-03 Código fuente Portal Web de la Gobernación gestión para asegurar una respuesta rápida, efectiva y ordenada a los Alta Inicial
procedimientos. PGT-17 Sala de Servidores de Nariño, Portales. PGT-18 Switch hp incidentes en la seguridad de información.
5500

PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico Se debería desarrollar y mantener un proceso de gestión de la continuidad del
A.14.1.1 Proceso de la gestión Institucional PGT-03 Código fuente Portal Web de la Gobernación negocio en la organización que trate los requerimientos de seguridad de la Media Inicial
de continuidad del negocio. PGT-17 Sala de Servidores de Nariño, Portales. PGT-18 Switch hp información necesarios para la continuidad del negocio.
5500
A.14 Gestión de continuidad de operaciones

PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico Se deberían identificar los eventos que puedan causar interrupciones a los
A.14.1.2 Continuidad del Institucional PGT-03 Código fuente Portal Web de la Gobernación procesos de negocio junto con la probabilidad e impacto de dichas Media Inicial
negocio y análisis de impactos. PGT-17 Sala de Servidores de Nariño, Portales. PGT-18 Switch hp interrupciones y sus consecuencias para la seguridad de información.
5500

PGT-08 Base de datos Correo Electrónico PGT-01 Soporte Técnico Se deberían desarrollar e implantar planes de mantenimiento o recuperación de
A.14.1.3 Redacción e
implantación de planes de Institucional PGT-03 Código fuente Portal Web de la Gobernación las operaciones del negocio para asegurar la disponibilidad de la información en Media Inicial
continuidad. PGT-17 Sala de Servidores de Nariño, Portales. PGT-18 Switch hp el grado y en las escalas de tiempo requeridos, tras la interrupción o fallo de los
5500 procesos críticos de negocio.
PGT-02 Servidor NS1

PGT-06 Servidor NS2
PGT-13 Computadores de Escritorio
A.15.1.5 Evitar mal uso de los
PGT-07 Correo Electrónico institucional Se debería disuadir a los usuarios del uso de los recursos dedicados al tratamiento de la
dispositivos de tratamiento. de Media Inicial
PGT-08 Base de datos Correo información para propósitos no autorizados.
la información.
Electrónico Institucional
PGT-14 Computadores Portátiles

PGT-15 Impresoras
PGT-16 Escáner
PGT-04 Portal Web de la Gobernación
A.15.2.2 Comprobación de la Se debería comprobar regularmente la conformidad de los sistemas de información con los
de Nariño Media Inicial
conformidad técnica. estándares de implantación de la seguridad.
PGT-01 Soporte Técnico
PGT-03 Código fuente Portal Web de la
17 Sala de Servidores

Anexo H - Plan de Tratamiento de Riesgos

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Anexo H - Plan de Tratamiento de Riesgos

Hochgeladen von

Copyright:

Verfügbare Formate

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) BASADO EN LA NORMA ISO 27001 Y 27002 PARA EL AREA DE PROCESO DE GESTIÓN

TIC DE LA GOBERNACIÓN DE NARIÑO

CONTROL ACTIVO DE INFORMACIÓN ACTIVIDAD / DESCRIPCIÓN PRIORIDAD ESTADO

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-13 Computadores de Escritorio PGT-16 Escáner

A.5.1.1 Documento de PGT-03 Código fuente Portal Web de la documento de la política de

PLAN DE TRATAMIENTO DE RIESGOS - AREA DE PROCESO DE GESTIÓN TIC

CONTROL ACTIVO DE INFORMACIÓN ACTIVIDAD / DESCRIPCIÓN PRIORIDAD ESTADO

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PLAN DE TRATAMIENTO DE RIESGOS - AREA DE PROCESO DE GESTIÓN TIC

CONTROL ACTIVO DE INFORMACIÓN ACTIVIDAD / DESCRIPCIÓN PRIORIDAD ESTADO

PGT-02 Servidor NS1

PGT-14 Computadores Portátiles

PLAN DE TRATAMIENTO DE RIESGOS - AREA DE PROCESO DE GESTIÓN TIC

CONTROL ACTIVO DE INFORMACIÓN ACTIVIDAD / DESCRIPCIÓN PRIORIDAD ESTADO

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PLAN DE TRATAMIENTO DE RIESGOS - AREA DE PROCESO DE GESTIÓN TIC

CONTROL ACTIVO DE INFORMACIÓN ACTIVIDAD / DESCRIPCIÓN PRIORIDAD ESTADO

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PLAN DE TRATAMIENTO DE RIESGOS - AREA DE PROCESO DE GESTIÓN TIC

CONTROL ACTIVO DE INFORMACIÓN ACTIVIDAD / DESCRIPCIÓN PRIORIDAD ESTADO

PGT-02 Servidor NS1 PGT- PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT- PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT- PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT- PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT- PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT- PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT- PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT- PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT- PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT- PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT- PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT- PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT- PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT- PGT-14 Computadores Portátiles

PLAN DE TRATAMIENTO DE RIESGOS - AREA DE PROCESO DE GESTIÓN TIC

CONTROL ACTIVO DE INFORMACIÓN ACTIVIDAD / DESCRIPCIÓN PRIORIDAD ESTADO

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles

PGT-02 Servidor NS1 PGT-14 Computadores Portátiles