LA PONDERACION DE RIESGOS
Enviado por Juan Carlos Barragan B. • 27 de Enero de 2016 • Apuntes • 637 Palabras (3 Páginas) • 177 Visitas
DEFINICION DE IMPACTO A LA ORGANIZACIÓN | |||||
Impacto | Descripción | ||||
Muy alto | Objetivos críticos (la mayor parte de ellos) del proyecto están seriamente impactados o no se cumplirán (coste, calendario, calidad o satisfacción del cliente). | ||||
Alto | Objetivos críticos (muchos de ellos) del proyecto están amenazados | ||||
Medio | Algunos objetivos del proyecto pueden verse afectados. | ||||
Bajo | Fácilmente remediable. Los objetivos del proyecto no serán afectados. | ||||
DEFINICION DE PROBABILIDAD DE OCURRENCIA | |||||
Probabilidad | Descripción | PROB. RECOMENDAD | |||
Muy alta 85% + | Es muy probable que ocurra el evento. | 0.90 | |||
Alta 65% - < 85% | El evento ocurrirá probablemente | 0.70 | |||
Media 35% - < 65% | El evento podría ocurrir. | 0.45 | |||
Baja < 35% | Aunque es improbable que ocurra el | 0.15 evento, podría ocurrir | |||
Probabilidad de riesgo | |||||
Muy alto | Alto | Medio | Bajo | ||
| Muy alto | Muy alto | Alto | Alto | Alto |
Imapcto del riesgo | Alto | Alto | Alto | Medio | Medio |
| Medio | Alto | Medio | Medio | Bajo |
| Bajo | Bajo | Bajo | Bajo | Bajo |
POSIBILIDAD DE OCURRENCIA | IMPACTO A LA ORGANIZACIÓN | FACTOR DE RIESGO TOTAL ESTIMADO | POSIBLE CONTROL (SOLUCION) |
|
|
|
|
Alto | Alto | Alto | Proteger las posibles vias de escape de la informacion, definir politicas de confidencialidad laboral |
Bajo | Alto | Bajo | auditoria de codigo fuente |
Bajo | Medio | Bajo | capacitacion de personal |
Bajo | Alto | Bajo | Respaldos en servicios de almacenamiento en la nube |
Alto | Medio | Medio | Pentest de vulnerabilidades |
|
|
|
|
medio | bajo | bajo | implementar un sistema de decteccion cuando se intente modifiar el funcionamiento sin autorizacion, para bloquear al usuario. |
alto | bajo | bajo | especificar al usuario los requerimientos para la operación de la app |
bajo | medio | Bajo | redactar avisos de privacidad |
|
|
|
|
Medio | Alto | Medio | Definir el manual de operación para el tratado de la informacion y las sanciones pertenecientes a cada actividad no comtemplada dentro del mismo. |
Medio | Medio | Medio | |
Bajo | Medio | Bajo | Respaldos en servidores |
Bajo | Medio | Bajo | Respaldos en servidores |
Alto | Medio | Alto | Revisiones periódicas |
Alto | Alto | Alto | Planeación para su elaboración |
|
|
|
|
baja | alta | alta | desarrollo de sistema de Monitoreo de conexiones |
baja | alta | alta | Revision periodica de usuarios |
baja | alta | alta | configuracion de respaldos automaticos |
baja | alta | alta | Corregir los errores detectados |
media | alta | alta | Politicas de control de acceso |
alta | alta | alta | Pruebas de pentest periodicas |
media | media | media | respaldo en servidores externos |
|
|
|
|
Bajo | Bajo | Bajo | Almacenamiento distribuido, Copias de Seguridad recurrentes, Unidades de almacenamiento adicionales. Política de Creación de Copias de Seguridad. |
Bajo | Bajo | Bajo | Implementacion de medidas correctivas |
Medio | Alto | Medio | Procedimientos Operativos para Sistemas de Información. |
Bajo | Bajo | Bajo | Procedimientos Operativos para Sistemas de Información. UPS y Plantas de Energía Adicionales. |
Medio | Alto | Medio | Plan de Recuperación ante desastres, Política de Continuidad del Negocio. |
Alto | Muy alto | Alto | Política de Control de Acceso, Política de Contraseñas. Perfilamiento. |
Medio | Bajo | Bajo | Política de Control de Acceso al sistema, Accesos biométricos y camaras de seguridad (CCTV). |
Medio | Bajo | Bajo | Procedimientos Operativos para Sistemas de Información. |
Alto | Bajo | Bajo | Correlacionador de Eventos (SIEM). |
Medio | Bajo | Bajo | Política de Control de Acceso, Procedimientos Operativos para Sistemas de Información. |
Bajo | Alto | Bajo | Política de Control de Acceso, Política de Contraseñas. Perfilamiento. |
|
|
|
|
Bajo | Medio | Bajo | Contratar personal capacitado |
Alto | Alto | Alto | Incrementar la seguridad de las contraseñas (Longitud / Cifrado) |
Alto | ALto | Alto | Definir personal responsable para almacen de contraseñas, Establecer un nivel de confidencialidad acerca del resguardo de contraseñas, Solicitar contraseñas por medio de oficio y hacer bitacoras de los usos de los usuarios y contraseñas |
Medio | Bajo | Bajo | Rediseñar la infraestructura de red usando los activos |
Alto | Alto | Alto | implementar controles de accesos |
Bajo | Bajo | Bajo | Reasignar al personal autorizado |
Medio | Alto | Medio | Plan de Recuperación ante desastres, Política de Continuidad del Negocio. |
Bajo | Medio | Bajo | Implementacion de Ups, Candados seguridad |
|
|
|
|
Medio | Medio | Medio | Política de Auditoría Interna, Procedimientos Operativos para Sistemas de Información. |
Muy Alto | Medio | Alto | Procedimientos Operativos para Sistemas de Información. |
Medio | Medio | Medio | Política de Auditoría Interna, Procedimientos Operativos para Sistemas de Información. |
Bajo | Alto | Medio | Correlacionador de Eventos, Política de Antivirus, Política de Control de Acceso. |
Bajo | Medio | Bajo | Correlacionador de Eventos, Política de Antivirus, Política de Control de Acceso. |
Muy Alto | Muy Alto | Muy Alto | Correlacionador de Eventos, Bitacoras de Firewall Activadas. |
Bajo | Bajo | Bajo | Procedimientos Operativos para Sistemas de Información. |
Alto | Bajo | Medio | Procedimientos Operativos para Sistemas de Información. |
Muy Alto | Bajo | Alto | IPS/IDS |
|
|
|
|
Medio | Alto | Alto | Implementacion de controles de acceso biometricos |
Bajo | Bajo | Bajo | Garantía |
Alto | Medio | Alto | Procedimientos Operativos para Sistemas de Información. UPS y Plantas de Energía Adicionales. |
Alto | Bajo | Medio | Concientizacion y capacitacion |
Bajo | Medio | Bajo | Politicas de concientizacion y capacitacion |
Bajo | Medio | Bajo | Plan de Recuperación ante desastres, Política de Continuidad del Negocio. |
Bajo | Alto | Medio | Respaldo de Infraestructura |
Bajo | Alto | Bajo | Implementacion de controles de acceso biometricos |
|
|
|
|
Bajo | Alto | Bajo | Almacenamiento seguro de documentos |
Bajo | Alto | Bajo | Respaldos en servidor |
Bajo | Bajo | Bajo | control de accesos |
Bajo | Medio | Medio | Revisiones periódicas |
Alto | Medio | Alto | Revisiones periódicas |
Bajo | Medio | Bajo | Respaldos en servidores |
Bajo | Medio | Bajo | Respaldos en servidores |
Alto | Alto | Alto | Planeación para su elaboración |
|
|
|
|
Bajo | Alto | Bajo | control de dispositivos |
Medio | Alto | Bajo | Registro y copia de respaldo de documentos, incluido el escaneado; |
Bajo | Alto | Bajo | controles de fisico o logico |
Bajo | Alto | Bajo | Cifrar la Informacion, Bloquear Puertos USB, Monitorear la conexión de perifericos externos a los equipos de la organización. |
Bajo | Alto | Bajo | politicas de concientizacion y capacitacion |
Bajo | Medio | Bajo | Respaldos en servidores |
Bajo | Medio | Bajo | Respaldos en servidores |
|
|
|
|
Bajo | Bajo | Bajo | control de acceso logico |
Bajo | Bajo | Bajo | respaldo en servidores |
Medio | Bajo | Bajo | Registro y copia de respaldo de documentos, incluido el escaneado |
Bajo | Bajo | Bajo | control de acceso fisico |
Bajo | Medio | Bajo | Respaldos en servidores |
Bajo | Medio | Bajo | Respaldos en servidores |
|
|
|
|
alto | alto | alto | control de acceso logico |
bajo | Medio | bajo | respaldo en servidores |
Bajo | medio | bajo | Registro y copia de respaldo de documentos, incluido el escaneado |
...