1

1. Políticas Específicas de Seguridad de la Información

A.6.2.2 Teletrabajo
 Los usuarios solo pueden acceder por medio de la laptop que la empresa les
brinda para realizar sus operaciones diarias.
 Las laptops solo podrán conectarse al wifi mediante el VPN utilizando Cisco
AnyConnect

 Los puertos USB de las laptops quedaran deshabilitados para evitar el robo de
información.
 En caso de perdidas las laptops contaran con BitLocker para evitar fuga de
información

A.9.1.2 Acceso a redes y servicios de red

 Definir los perfiles de acceso de usuarios.

 El acceso a los sistemas solo se brindará a usuarios identificados y
autentificados
 Los datos del usuario como la cuenta y contraseña deben ser individuales

A.9.2.1 Registro y baja de usuario

 Mediante la ejecución de tareas programadas se debe contar con un proceso

que actualice el estado de los usuarios de forma que cuando se inhabilite el usuario
este no pueda acceder a ningún proceso de la empresa

2
 Implementar un proceso que permita el registro de los usuarios que ingresan a
la empresa
 El proceso de cancelación de usuario debe contemplar la eliminación del ID
propio del usuario y sus accesos
 Proceso automático que realice la eliminación de usuarios repetitivos

A.9.4.2 Procedimientos de ingreso seguro

 El usuario debe tener un usuario y contraseña asignado

 El acceso a los sistemas será por perfiles de usuario

Ilustración 1: Añadir nuevo usuario

Fuente: Elaboración propia

 Se aplicará seguridad Oauth 2.0 para acceder a las aplicaciones de la organización

 Al intentar acceder 3 veces sin éxito los sistemas y aplicaciones desactivarán al usuario,
quien deberá solicitar su activación al responsable de la gestión de usuarios
correspondiente por correo corporativo

Ilustración 2: Mensaje de validación - intentos fallidos login

3
 Fuente: Elaboración propia

A.9.4.3 Sistema de gestión de contraseñas

 La contraseña debe tener 8 caracteres como mínimo

 La contraseña debe contener como mínimo un número, una letra mayúscula y una
minúscula

Ilustración 3: Mensaje de validación - contraseña incorrecta login

Fuente: Elaboración propia

 La contraseña debe caducar cada 120 días

 Se debe notificar al usuario desde 5 días antes la caducidad de su contraseña

Ilustración 4: Configuración de contraseña

Fuente: Elaboración propia

 La contraseña no puede ser reemplazada por otra que se haya registrado

4
A.9.4.5 Control de acceso a código fuente de los programas

 Para que los desarrolladores acceden a los repositorios de código fuente deberán
contar con un usuario y contraseña que no tenga fecha de caducidad

Ilustración 5: Acceso a repositorio git - Usuario inválido

Fuente: Elaboración propia

Ilustración 6: Acceso a repositorio git - Usuario válido

Fuente: Elaboración propia

 Sólo los usuarios responsables de la implementación y puesta en marcha del

proyecto tendrán acceso al ambiente productivo
 Los usuarios deberán contar con privilegios para clonar los repositorios a través de
HTTPS

A.11.1.1 Perímetro de seguridad física

 Delimitación de espacios que distinguen claramente las áreas protegidas y

públicas mediante cercas, puertas dentro de las instalaciones, esto añade una
capa adicional de seguridad antes de acceder al recinto y/o edificio.
 Cada bien protegido sostiene el nivel de seguridad necesario de vallas. Por otro
lado, los materiales utilizados para estas medidas en los tipos de cerca varían
entre el tipo y resistencia según el área delimitada (las puertas son puntos de
entrada y salida a través de una valla).
 Las puertas están construidas con bisagras endurecidas, mecanismos de
bloqueo y dispositivos de cierre. Asimismo, estas puertas son delimitadas en
cierto número para consolidar los recursos necesarios para protegerlas.
 Las cámaras de vigilancia monitorean las puertas cuando los guardias no están
en su posición.
 Existen puertas de tipo torniquete que permite el ingreso de una sola persona.
Los torniquetes funcionan girando en una dirección como una puerta giratoria,

5
 este mecanismo hace que una sola persona entre o salga de la instalación a la
vez.

A.12.1.4 Separación de los entornos de desarrollo, pruebas y operaciones

 Declarar un plan típico del proceso de gestión de cambios entre cada fase, y
diferentes propósitos u objetivos y definir los usuarios para cada entorno. Esto
hará que los cambios del sistema tomen cierta discreción, se tendrá ahora un
paso a paso en lugar de cambios incrementales o con brechas graduales.
 El entorno de seguridad estará protegido y fuertemente controlado, lo cual
comprende controles de seguridad, monitoreo, cuentas de usuario y
administrador, derechos de acceso, conexiones de red, parámetros de
configuración, niveles de parches, etc.
 En lo particular, los datos y la funcionalidad de producción no estarán
disponible o en vivo para los desarrolladores y testers.
 Para el entorno de pruebas, este ambiente permitirá a los evaluadores
planificar y realizar pruebas en una plataforma estable, este espacio está fuera
de los cambios que puedan hacer los desarrolladores, reduciendo así el riesgo
de que los datos de prueba se “flitren” en producción.
 Las alertas/alarmas de seguridad en producción se elevan cunado se tienen una
cierta prioridad con respecto a los problemas significativos que requieren
atención, claro está que si existe mucho “ruido de fondo” o “desorden” en
producción y prueba.

A.12.2.1 Controles contra códigos maliciosos

 Instalar y mantener el software antivirus. Usuarios deben visitar los sitios seguros de los
proveedores directamente en lugar de hacer click en anuncios o enlaces de correo
electrónico.
 Bloquear las ventanas emergentes de los navegadores.
 Usuarios solo tienen una cuenta con acceso limitado.
 Instalar un firewall para prevenir algunos tipos de infección al bloquear el tráfico malicioso
antes de que ingrese al ordenador del usuario.
 Incitar a los usuarios a cambiar sus contraseñas cada cierto tiempo, así si la contraseña está
guardada en algún cache de cierto navegador caducará cada vez que haga el cambio de
contraseña.

A.12.3.1. Respaldo de la información

 Se debe ejecutar un respaldo completo, que implica realizar la copia de
seguridad de todo el lote de información que se estará gestionando.
 Se debe ejecutar un respaldo incremental, conllevando a respaldar la
información de forma gradual y bajo una frecuencia definida diaria y mensual.
 Se debe ejecutar un respaldo diferencial cada lunes para la nueva información y
de los datos que aplicaron a cambios.
 Los respaldos se ejecutarán en horas no transaccionales, y contarán con una
programación en horas no productivos, que serán ejecutados mediante
procesos automáticos (job's).
A.12.6.2. Restricciones sobre la instalación de software

6
  Toda solicitud de instalación de software debe ser trazada mediante un ticket
de atención al Departamento de TI, debidamente autorizado.
 El trabajador tiene prohibido descargar software de internet o de medios
extraíbles.
 El Departamento de TI gestionará solicitudes de instalación solo de software
que brinde una licencia empresarial.
 El software solicitado deberá estar en su versión más reciente buscando una
equivalencia mínima al año 2017 en tiempo de publicación.
 Se realizará una prueba de rendimiento bajo una máquina virtual para
garantizar que el consumo de recursos es acorde al consumo promedio del
mercado y no distante al software de la compañía.

A.14.1.2. Aseguramiento de servicios de aplicaciones sobre redes públicas

 Los servicios deben ser accedidos mediante autenticación por dos factores.
 La respuesta de los servicios debe estar encriptada.
 En los casos que sea posible, se debe solicitar las credenciales del usuario y un
código de acceso que será enviado al teléfono o email corporativo.
 Sólo mostrar los datos necesarios o parciales para cualquier validación de
información personal.

A.14.2.1 Política de desarrollo seguro

La politica de desarrollo seguro se da con el cumplimiento de los siguientes

lineamientos:

 Diseñar una estructura que permita administrar los cambios, mejoras y

problemas que pudieran surgir en la infraestructura tecnologica.
 Los integrantes del equipo de desarrollo deben usan un gestor de contraseñas.
 Los integrantes del equipo no deben compartir contraseñas, si un integrante
del equipo necesita acceder a un servicio debe solicitar el acceso a su Jefe de
area.

Sobre la gestión del codigo

 Se debe contar con un repositorio el cual su acceso sera restringido .

 Al codigo fuente se le debe aplicar:

7
 o Control y trazabilidad del codigo.
o Código salvaguardado y recuperable.
o No incluir las cadenas de conexión a las bases de datos en el código de
los aplicativos.
o Si el desarrollador incluye comentarios en el codigo fuente, estos no
deben divulgar información de configuración innecesaria.
 Cada pase a producción de contar con la aprobación de un lider.
 Capacitaciones para el equipo de desarrollo para que puedan conocer y evaluar
las condiciones de seguridad en el desarrollo de software para evitar, detectar y
resolver vulnerabilidades.

A.14.2.6 Ambiente de desarrollo seguro

 Documentar la estructura de la base de datos asi como las tablas.

 Segmentar ambientes para tener un ambiente de desarrollo, prueba y
producción, cada ambiente no debe compartir la misma red, base de datos y
claves.
 El acceso a cada ambiente estara restringido solo al personal autorizado por la
gerencia de TI.
 Manejo de verionamiento de los proyectos de desarrollo.

A.14.2.9 Pruebas de aceptación del sistema

 Cada componente nuevo o que sea una actualización debe ser analizado y
realizar pruebas de forma unitaria y en conjunto.
 Una vez integrado un nuevo componente o actualización se debe hacer
seguimiento para mejorar o corregir problemas de compatibilidad.
 Documentar los resultados y la ejecución de las pruebas de seguridad.

2. Plan de Auditoria

Empresa: Gildemesiter

Fecha de Auditoría: 28 de febrero al 02 de marzo de 2022

Dirección: Cristóbal de Peralta Norte 968 - Santiago de Surco

Norma: Norma ISO/IEC 27001:2013

Alcance: Proceso de Gestión de Software, Administración de Redes y Soporte

Técnico

Tipo de Auditoría: Auditoría externa

Líder del Equipo: Juan Reyes

8
 Auditor: N/A

Experto Técnico: N/A Observador/Trainee: N/A

Objetivos de la auditoría:
a) Validar el alcance definido
b) Verificar que cada uno de los requerimientos que forman parte del sistema
de gestión de seguridad fueron definidos e implementados, esto incluye a los
procesos definidos menos un ciclo de auditorías internas y la revisión de la
dirección.
c) Determinar el nivel y detalle de acondicionamiento de toda la organización
para lograr alcanzar la certificación.

Criterios Auditoría: Norma ISO/IEC 27001:2013; procedimientos internos y

documentos legales aplicables.

Día 1: 28 de febrero de 2022

Responsable
Hora Proceso Cláusula Aplicable Auditor
/ Auditados
10:00 REUNIÓN DE APERTURA – SESIÓN REMOTA
10:30 Gestión de Jefe de 6.2 Dispositivos para
Software Tecnología movilidad y teletrabajo
de la A.9.4.5 Control de acceso
Información a código fuente de los
programas
A.12.2.1 Controles contra
códigos maliciosos
A.12.3.1 Respaldo de la
información
13:00 ALMUERZO
14:00 Gestión de Jefe de A.14.2.1 Política de
Software Tecnología desarrollo seguro
de la A.14.2.6 Ambiente de
Información desarrollo seguro
A.14.2.9 Pruebas de
aceptación del sistema

16:30 REUNIÓN DE RETROALIMENTACIÓN – SESIÓN REMOTA

Día 2: 01 de marzo de 2022

Responsable
Hora Proceso Cláusula Aplicable Auditor
/ Auditados
10:00 REUNIÓN DE APERTURA – SESIÓN REMOTA
10:30 Administrac Jefe de A.9.1.2 Acceso a redes y
ión de Tecnología servicios de red
Redes de la A.9.2.1 Registro y baja de
Información usuario

9
 A.9.4.2 Procedimientos de
ingreso seguro
A.9.4.3 Sistema de gestión
de contraseñas
13:00 ALMUERZO
Administrac Jefe de A.11.1.1 Perímetro de
ión de Tecnología seguridad física
Redes de la A.12.1.4 Separación de los
Información entornos de desarrollo,
pruebas y operaciones
16:30 REUNIÓN DE RETROALIMENTACIÓN – SESIÓN REMOTA

Día 3: 02 de marzo de 2022

Responsable
Hora Proceso Cláusula Aplicable Auditor
/ Auditados
10:00 REUNIÓN DE APERTURA – SESIÓN REMOTA
10:30 Soporte Jefe de A.12.6.2 Restricciones
Técnico Tecnología sobre la instalación de
de la software
Información A.14.1.2 Aseguramiento
de servicios de
aplicaciones sobre redes
públicas
12:00 PREPARACIÓN DEL INFORME FINAL
12:30 REUNIÓN DE CIERRE – SESIÓN REMOTA

3. Conclusiones del Trabajo del Curso

 La implementación del Sistema de Seguridad de la información contribuye a

mejorar y reforzar los mecanismos de seguridad de la empresa, reduciendo el
riesgo de pérdida de información, respuesta rápida y oportuna ante incidentes
o ataques de hackers, proteger la información confidencial y establecer un plan
de trabajo con mejora continua.
 El sistema de Seguridad de la información es muy importante para mantener
bajo control los puntos vulnerables de una empresa.
 El presente trabajo nos ayudó a entender cómo se deben tratar los riesgos de
los activos de la empresa ponderándolos según su impacto en la organización y
elaborando su tratamiento para mitigar o evitar dichos riesgos.
 El estudio realizado no enseño los puntos importantes en una empresa en el
tema de riesgos y como elaborar polííticas para su tratamiento.

10
4. Anexos

Anexo 1

MATRIZ DE INVENTARIO DE ACTIVOS

DATOS DEL ACTIVO CLASIFICACIÓN VALORACIÓN

Área u órgano Código del Clasificación del Valor del activo

Ítem Proceso Categoría de activo Nombre del activo Descripción/ Función del Activo Propietario del activo Ubicación (Lógica/Física) Confidencialidad Integridad Disponibilidad
institucional activo activo (tasación)

Proceso de Gestión de Gestion de Tecnologia de Personal dedicado al desarrollo Frontend y Backend del área de Cristóbal de Peralta Norte
1 Personal P01 Desarrolladores Jefe de desarrollo Uso Interno 1 1 3 5
Software Informacion sistemas 968- Santiago de Surco

Proceso de Gestión de Gestion de Tecnologia de

2 Información I01 Bases de datos de desarrollo Bases de datos del ambiente de desarrollo Jefe de desarrollo Nube Confidencial 3 3 3 9
Software Informacion

Proceso de Gestión de Gestion de Tecnologia de Documentación técnica de Manuales de ususario, Documentos funcionales y no funcionales,
3 Información I02 Jefe de desarrollo Drive Uso Interno 2 2 2 6
Software Informacion desarrollo modelo de arquitectura

Proceso de Gestión de Gestion de Tecnologia de Equipos asignados al personal de sistemas que desarrolla las Jefe de Tecnologías de Cristóbal de Peralta Norte
4 Personal P02 Equipos de desarrolladores Uso Interno 2 2 2 6
Software Informacion aplicaciones. la Información 968- Santiago de Surco

Proceso de Gestión de Gestion de Infraestructura Cristóbal de Peralta Norte

5 Hardware H01 Servidores de desarrollo Servidores dedicados al desarrollo de sistemas. Jefe de desarrollo Uso Interno 2 3 3 8
Software de TI 968- Santiago de Surco
Proceso de Administración Gestion de Infraestructura
6 Servicios S01 Servidor de Dominio de Red Servidores de red para gestionar la ifnormación de los sistemas Supervisor de TI Nube Publico 3 3 3 9
de Redes de TI
Proceso de Administración Gestion de Infraestructura Cristóbal de Peralta Norte
7 Hardware H02 Servidores on premise Servidores locales para gestionar la información de los sistemas Supervisor de TI Uso Interno 2 3 3 8
de Redes de TI 968- Santiago de Surco
Proceso de Administración Gestion de Infraestructura Personal que administra las conexiones de los disposititov de Cristóbal de Peralta Norte
8 Personal P03 Analista de redes Supervisor de TI Uso Interno 2 2 3 7
de Redes de TI comunicación en la empresa 968- Santiago de Surco
Proceso de Administración Gestion de Infraestructura Personal que gestiona las arquitectura implementada para el Cristóbal de Peralta Norte
9 Personal P04 Arquitecto de software Supervisor de TI Uso Interno 2 2 2 6
de Redes de TI funcionamiento de las aplicaciones 968- Santiago de Surco
Proceso de Administración Gestion de Infraestructura Equipos instalados en la organización para gestionar la Cristóbal de Peralta Norte
10 Hardware H03 Hubs, switches y routers Supervisor de TI Uso Interno 3 2 3 8
de Redes de TI comunicación entre las estaciones de los usuarios 968- Santiago de Surco
Gestion de Soporte y Personal encargado de resolver las incidencias registradas por los Jefe de Soporte Cristóbal de Peralta Norte
11 Proceso de Soporte Técnico Personal P05 Técnicos Uso Interno 1 2 2 5
Servicios de TI usuarios Técnico 968- Santiago de Surco
Gestion de Soporte y Equipos utilizados por el personal de la empresa para realizar las Jefe de Soporte Cristóbal de Peralta Norte
12 Proceso de Soporte Técnico Hardware H04 PC's usuarios Uso Interno 1 1 2 4
Servicios de TI actividades definidas por áreas Técnico 968- Santiago de Surco
Gestion de Soporte y Aplicación para gestión de Aplicación donde se registra y actualiza la información de la Jefe de Soporte Cristóbal de Peralta Norte
13 Proceso de Soporte Técnico Software S02 Uso Interno 1 1 2 4
Servicios de TI incidencias atención de las incidencias reportadas por los usuarios Técnico 968- Santiago de Surco
Equipo responsable de atender y gestionar las incidencias
Gestion de Soporte y Jefe de Soporte Cristóbal de Peralta Norte
14 Proceso de Soporte Técnico Servicios V01 Call center reportadas por los clientes por vía telefónica, correo o whatsapp Uso Interno 1 1 2 4
Servicios de TI Técnico 968- Santiago de Surco
de la empres
Gestion de Soporte y Dispositivos nuevos o usados destinados a solucionar los Jefe de Soporte Cristóbal de Peralta Norte
15 Proceso de Soporte Técnico Hardware H05 Repuestos Uso Interno 1 1 2 4
Servicios de TI inconvenientes de los equipos Técnico 968- Santiago de Surco

Fuente: Elaboración propia

Anexo 2

11
Cuadro 1
Proceso de Gestión de Software
Ítem Categoría del
Proceso (2)
(1) Activo (3)
Proceso de Gestión de
1 Personal
Software
Proceso de Gestión de
2 Personal
Software
Proceso de Gestión de
3 Información
Software
Proceso de Gestión de
4 Información
Software
Proceso de Gestión de
5 Información
Software
Proceso de Gestión de
6 Información
Software
Proceso de Gestión de
7 Personal
Software
Proceso de Gestión de
8 Personal
Software
Proceso de Gestión de
9 Hardware
Software
Proceso de Gestión de
10 Hardware
Software
Cuadro 2
Proceso de Administración de Redes
Valor del
Activo (4)
Activo (5)
Desarrolladores
Desarrolladores
Bases de datos de desarrollo
Bases de datos de desarrollo
Documentación técnica de desarrollo
Documentación técnica de desarrollo
Equipos de desarrolladores
Equipos de desarrolladores
Servidores de desarrollo
Servidores de desarrollo
IDENTIFICACIÓN DEL RIESGO
Amenaza (6) Vulnerabilidad (7)
Desconocimiento de buenas
5 Demora en la entrega de trabajo
prácticas de desarrollo
Ausencia por infección de COVID Desarrolladores no tienen las
5 R02
19 vacunas completas
Demora en la respuesta de Llaves e índices de tablas mal
9 R03
consultas de los usuarios definidas
Datos almacenados en tablas
Información registrada en tablas
9 vacíos, nulos y relacionados a
de forma incorrecta
tablas con códigos no existentes
Definición de accesos con
Usuario pueden acceder a
alcance no determinado para
6 información confidencial de otras
visualizar la información por área
áreas.
de negocio.
No se detallan los
6 Sistema no implementado a tiempo requerimientos técnicos para
implementar el sistema
Subida de código a repositorios sin
Poca comunicación entre los
6 considerar versiones de otros
miembros del equipo
desarrolladores
Historias de usuario complejas Falta de supervisión en la
6 R08
desarrolladas a criterio personal modalidad de trabajo remoto
Pérdida de información por ataques Políticas de seguridad
8 R09
externos vulnerables
Desarrolladores paralizados hasta
Errores en la asignación de
8 que se habiliten sus permisos a los
permisos a los desarrolladores
servidores
Fuente: Elaboración propia
12
Código Riesgo Propietario del
Madurez del
/ Oportunidad Enunciado del Riesgo / Oportunidad (9) Riesgo / Control Existente (11)
Control (12)
(8) Oportunidad (10)
Posible demora en la ejecución de los procesos y mala gestión de la
-Personal realiza revisión de código
información, debido a que no se aplicaron buenas prácticas de
R01 Jefe de desarrollo antes de los pases a los ambientes de Débil
desarrollo en las aplicaciones. Esto podría generar que los usuarios
pruebas y producción
decidan optar por no usar las aplicaciones desarrolladas,
Posible ausencia por infección de los desarrolladores, debido a que no
tienen completas las vacunas contra el COVID 19, esto podria causar Jefe de desarrollo Se tiene perfiles para cada desarrollador Débil
retrasos en el desarrollo de los aplicativos.
Equipo de desarrollo define las llaves
Posible demora en la respuesta a las consultas de los usuarios,
Jefe de desarrollo primarias y secundarias, e índices del Moderado
listados y reportes implementados en los sistemas
modelo de base de datos
Equipo de desarrollo valida el registro y
actualización de datos obligatorios en
R04 Posible mala gestión de datos en los sistemas desarrollados Jefe de desarrollo Débil
las tablas requerido por cada proceso de
los sistemas
Asignación de accesos por perfiles y
R05 Posible pérdida de información confidencial de la empresa Jefe de desarrollo Moderado
políticas definidas
El equipo de desarrollo redacta la
Posible demora en el desarrollo del sistema según lo planificado.
R06 Jefe de desarrollo documentación por cada módulo Moderado
Sistema implementado no cumple los requisitos técnicos definidos.
desarrollado
Equipo trabajo bajo metodologías ágiles
Posible carga de código en repositorios sobreescribiendo el código Jefe de Tecnologías de la
R07 SCRUM para mantener una Fuerte
anteriormente validado por el eqiupo de QA Información
comunicación constante y efectiva
Posible entrega de historias desarrolladas que no contemplan los Jefe de Tecnologías de la
Ninguno. Moderado
requisitos de los usuarios finales Información
Análisis y selección de políticas de
Posible pérdida y modificación de información sensible por ataques
Jefe de desarrollo seguridad que refuerzen la seguridad de Débil
externos
los servidores de desarrollo
Asignación de permisos por perfil de
R10 Posible demora en la entrega de desarrollos Jefe de desarrollo desarrollo definidos por el jefe de Moderado
desarrollo
 IDENTIFICACIÓN DEL RIESGO

Código Riesgo Propietario del

Ítem Categoría del Valor del Madurez del
Proceso (2) Activo (4) Amenaza (6) Vulnerabilidad (7) / Oportunidad Enunciado del Riesgo / Oportunidad (9) Riesgo / Control Existente (11)
(1) Activo (3) Activo (5) Control (12)
(8) Oportunidad (10)

Proceso de Instalacion de servidores Posible inactividade de servidores , ocasionando que se pueda

11 Servicios Servidor de Dominio de Red 9 Dejar de operar R11 Supervisor de TI Ninguno. Moderado
Administración de Redes adicionales incorporaras otros servidores para el despliegue de nuevos sistemas

Proceso de redes inalambricas expuestas al Falta/inadecuado control de Posible ataque externo , algunas de las areas se vean expuestas
12 Servicios Servidor de Dominio de Red 9 R12 Supervisor de TI Realizar un analisis de los equipos Débil
Administración de Redes acceso no autorizado acceso vulnerado el dato de los clientes

Posible mal funcionamiento de algunos servidores , ocasionando que

Proceso de Proponer uan revision cada cierto tiempo
13 Hardware Servidores on premise 8 Mal funcionamiento Falta de renovacin de hadware R13 procesos desplegados en diferentes servidores se encuentran en mal Supervisor de TI Fuerte
Administración de Redes para la revision de los equipos
estado
Posible lentidud en el sistema , ocasionando la falta de atencion de
Proceso de Areas inadecuadas por su Evalucion constante del rendimiento de
14 Hardware Servidores on premise 8 Bajo rendimiendo del servidor R14 algunas areas debido a que no cuentan con servidores locales de alto Supervisor de TI Débil
Administración de Redes operatividad los servidores
rendimiento
Posible demora en la atencion de diferentes procesos por falta de
Proceso de Falta de induccion , capacitacion y
15 Personal Analista de redes 7 Falta de capacitación de trabajo R15 conocimentos , ocasionando perdidas perdidas de informacion de Supervisor de TI Ninguno. Moderado
Administración de Redes sensibilizacion sobre riezgos
datos de los clientes
areas expuestas que puedan ser Posible mal uso de algunas herramientas de la empresa por mal Capacitacion del uso de herramientas a l
Proceso de Mal manejo de sistemas y
16 Personal Analista de redes 7 perjudicadas por un mal manejo R16 manejo , ocasionando que se puede eliminar algun tipo de informacion Supervisor de TI persona nuevo del area de Moderado
Administración de Redes herramientas
de las herramientas relevante para la empresa administracion de redes
Desconocimiento te temas
Proceso de Demora de entrega de diagramas Posible demora en la atencion de requerimientos dificultando a
17 Personal Arquitecto de software 6 tecnicos para la elaboracion de R17 Supervisor de TI Realizar capacitacion previa evaluacion Moderado
Administración de Redes de procesos entrega de diagramas de proceso
procesos

Proceso de Malas practicas al momento de Desarrollo que se encuentren Posible entrega de documentos erroenos ocasionando que el area de
18 Personal Arquitecto de software 6 R18 Supervisor de TI Ninguno. Moderado
Administración de Redes entregar un desarrollo con una arquitectura erronea desarrollo no tenga identificado un correcto diagrama de la empresa

Areas sin acceso a internet Posible al fallar los equipos como los router es posible que diferente
Proceso de Realizar un control de los equipo
19 Hardware Hubs, switches y routers 8 Falla en los routers dificuiltado la atencion de R19 areas de la empresa se vean afectadas ocasionando retrasos en la Supervisor de TI Débil
Administración de Redes quincenalmente
diferentes proceso atecion de diferentes procesos
Posible ataque de virus informaticos , es posible que puedan ingresars Realizar pruebas a los puertos de los
Proceso de Falla en los cable de red areas desprotegidas ante
20 Hardware Hubs, switches y routers 8 R20 virus ciberneticos el cual generara que se pueda vulnerar informacion Supervisor de TI equipos constantemente para identificar Fuerte
Administración de Redes vulnerables ataques ciberneticos
de los clientes posibes ataques ciberneticos

Fuente: Elaboración propia

Cuadro 3
Proceso de Soporte Técnico

13
 IDENTIFICACIÓN DEL RIESGO

Código Riesgo Propietario del

Ítem Categoría del Valor del Madurez del
Proceso (2) Activo (4) Amenaza (6) Vulnerabilidad (7) / Oportunidad Enunciado del Riesgo / Oportunidad (9) Riesgo / Control Existente (11)
(1) Activo (3) Activo (5) Control (12)
(8) Oportunidad (10)

11 Proceso de Servicios Servidor de Dominio de Red 9 Dejar de operar Instalacion de servidores R11 Posible inactividade de servidores , ocasionando que se pueda Supervisor de TI Ninguno. de los implementos de los
CheckList Moderado
Posibles accidentes de los tecnicos debido a no contar con todos los tecnicos antes de hacer alguna tarea,
Proceso de Soporte No contar con todos
21 Personal Técnicos 5 Accidentes en el centro laboral R21 implementos de seguridad, esto puede causar una baja dentro del Jefe de Soporte Técnico ademas, se tiene una guia de Fuerte
Técnico implementos de seguridad
equipo tecnico y retrasos en la labores del equipo tecnico. implementes debe usar el equipo
tecnico
Proponer que el equipo de seguridad sea
Proceso de Soporte manejo de informacion sin claves de los equpo de computo Permitira que se extraiga la informacion ya que no habra un control
22 Personal Técnicos 5 R22 Jefe de Soporte Técnico el quien custodie las claves de todos las Moderado
Técnico restriccion poco complejas con la clave de los equipos de la empresa
PC de la empresa

Posible infeccción de las PC's de los usuarios, debido a que varias de

Proceso de Soporte PC's sin antivirus y con software
23 Hardware PC's usuarios 4 Infección por virus informatico R23 ella no cuenta con el antivirus o no tienen el software actualizado, esto Jefe de Soporte Técnico Ninguno. Débil
Técnico desactualizado
podría causar perdidas de información en las PC's de los usuarios.
Posible perdida o robo de la laptop del trabajador, debido a que lse
Proceso de Soporte Los trabajadores se movilizan movilizan con dicha laptop al regresas a sus casas o ir al trabajo, esto
24 Hardware PC's usuarios 4 Perdida o robo de Laptops R24 Jefe de Soporte Técnico Inventario de PC's Débil
Técnico con la laptop al ir a sus casas podria causar perido de un bien para la empresa asi como de
información importante
Existen datos sensibles como el nombre, teléfono, correo que son
parte de la información de registro del ticket al reportar una incidencia,
Proceso de Soporte Jefe de Tecnologías de la Monitorear la relación de las IP con el
25 Software Aplicación para gestión de incidencias 4 Filtración de datos sensibles Manejo de usuarios compartidos R25 pero si no se maneja una política de seguridad y no se define los Moderado
Técnico Información usuario solicitante
perfiles, puede existir colaboradores que compartan usuarios por la
prontitud del caso.

Proceso de Soporte No contar con buenas prácticas Existe datos que deben ser ingresados correctamente , debido a las Contar con buenas practicas mediante
26 Software Aplicación para gestión de incidencias 4 Falla de integridad de datos R26 Jefe de Soporte Técnico Moderado
Técnico para definir el tipo de datos malas practicas esta informacion puede ingresar de forma erroena capacitaciones mensuales

generar retrasos en la atencion Posible falta de atencion a las incidencias reportadas debido a que no
Proceso de Soporte Realizar un revision de equipo cada
27 Servicios Call center 4 Falla en el sistema / Equipos de procesos internos de la R27 se cuenta con el equipo correspondiente o en algunas ocasiones se Jefe de Soporte Técnico Moderado
Técnico cierto periodo
empresa presentan fallas en el sistema
Posible demora en la atención de casos debido a la falta de
Proceso de Soporte Falta de capacitación de
28 Servicios Call center 4 Demora en atención casos R28 capacitación del nuevo personal en call center, esto podria generar Jefe de Soporte Técnico Hay capacitaciones anuales Moderado
Técnico personal nuevo
que problrmas tecnicos criticos no se resuelvan rapidamente

No contemplar una mínima No contemplar una cantidad prudente de repuestos de computo frente
Proceso de Soporte Falta de stock en repuestos Planificar un adecuado stock del
29 Hardware Repuestos 4 cantidad de repuestos frente a R29 al fallo o inoperatibilidad de algún componente puede impedir la Supervisor de TI Débil
Técnico críticos hardware más crítico
alguna eventualidad continuación de las labores de un trabajador.
Planificar un plan de mantenimiento
Proceso de Soporte Escaso mantenimiento de Equipos de compu presentan fallas por daño eléctrico, suciedad o por
30 Hardware Repuestos 4 Falla de equipos de computo R30 Supervisor de TI preventivo definiendo las frecuencias y Débil
Técnico computo una alteración en el cableado, pudiendo dejar inoperativo el equipo.
procedimientos a realzar.

Fuente: Elaboración propia

14
Anexo 3

Cuadro 1
Proceso de Gestión de Software

15
Cuadro 2
Proceso de Administración de Redes

16
Cuadro 3
Proceso de Soporte Técnico

Anexo 4

Cuadro 1
Proceso de Gestión de Software

17
Cuadro 2

18
Proceso de Administración de Redes

Cuadro 3
Proceso de Soporte Técni

19
20