Universidad Del Azuay: Facultad De: Ciencias de La
Universidad Del Azuay: Facultad De: Ciencias de La
Universidad Del Azuay: Facultad De: Ciencias de La
CUENCA, ECUADOR
2014
Dedicatoria
Este trabajo va dedicado a mis padres y hermanos que siempre estuvieron presentes
apoyándome y dándome ánimo para seguir adelante. A ellos les debo haber
alcanzado mis logros y metas. A través de su amor, su comprensión, supieron
enseñarme siempre a ser perseverante y aprender de mis errores sin importar la
magnitud de la dificultad o de los errores.
A mis primos-hermanos Silvia, Paulino, Patricia, Adriana, Santiago, aquellos con los
que crecí, aquellos a los que siempre admiré y por los que siempre guardare respeto y
mi eterna admiración. Con sus consejos, paciencia y a veces hasta cuando a pesar de
las circunstancias hacían de profesores para poder enseñarme lo que necesitaba.
ii
Agradecimiento
A mis profesores y amigos Ing. Juan Pablo Esquivel, Ing. Esteban Crespo M, Ing.
Marcos Orellana por haberme guiado y aconsejado para la selección de mi tesis.
A la alta Dirección MADECO Cía. Ltda., por haberme permitido realizar un Plan de
Gestión de Riesgos de la Información para su empresa y por la colaboración de todo
el personal que me confió su información con el fin de desarrollar el presente trabajo
de graduación.
iii
Índice de Contenidos
Dedicatoria ………………………………………………………………………...ii
iv
3.3.3. Valoración ................................................................................................ 57
3.3.4. Dimensiones de interés ............................................................................ 57
3.3.5. Valoración Cuantitativa y cualitativa ...................................................... 59
3.3.6. Evaluación de daños con la pérdida o alteración de un activo ................ 59
Capitulo 4: Análisis de amenzas y vulnerabilidades a través de MAGERIT……….62
v
6.6.2. Gestión de entrega de servicio de tercera parte .................................. 127
6.6.3. Planificación y aceptación del sistema............................................... 128
6.6.4. Protección contra código malicioso y movible .................................. 129
6.6.5. Copia de seguridad ............................................................................. 130
6.6.6. Gestión de seguridad de la red ........................................................... 131
6.6.7. Manejo de medios de información ..................................................... 132
6.6.8. Intercambio de información ............................................................... 132
6.6.9. Servicios de comercio electrónico ..................................................... 134
6.6.10. Seguimiento .................................................................................... 134
6.7. Control de accesos ..................................................................................... 137
6.7.1. Requisitos del negocio para el control de accesos .................................. 137
6.7.2. Gestión de acceso de usuarios ............................................................ 138
6.7.3. Responsabilidades de usuarios ........................................................... 139
6.7.4. Control de acceso a la red .................................................................. 140
6.7.5. Control de acceso al sistema operativo .............................................. 142
6.7.6. Control de acceso a las aplicaciones e información ........................... 143
6.7.7. Computación móvil y trabajo a distancia ........................................... 144
6.8. Adquisición, desarrollo y mantenimiento de información ........................ 145
6.8.1. Requisito de seguridad de los sistemas de información ......................... 145
6.8.2. Procesamiento correcto en las aplicaciones ............................................ 146
6.8.3. Controles criptográficos .......................................................................... 148
6.8.4. Seguridad de los archivos del sistema .................................................... 148
6.8.5. Seguridad de los procesos de desarrollo y soporte ............................ 149
6.8.6. Gestión de vulnerabilidad técnica ...................................................... 151
6.9. Gestión de incidente de seguridad de información.................................... 151
6.9.1. Reportar los eventos y debilidades de la información ............................ 152
6.9.2. Gestión de los incidentes y mejoras de la seguridad de la información . 153
6.10. Cumplimientos ....................................................................................... 154
6.10.1. Cumplimiento de requisitos legales ...................................................... 154
6.10.1.2. Cumplimiento de las políticas y normas de seguridad de
cumplimiento técnico ........................................................................................ 157
6.10.2. Consideraciones de auditoria de los sistemas de información ....... 158
Conclusiones ............................................................................................................ 159
Recomendaciones ..................................................................................................... 161
vi
Glosario .................................................................................................................... 163
Bibliografía .............................................................................................................. 165
Anexos ..................................................................................................................... 167
vii
Indice Ilustraciones y cuadros
Gráfico 1: Defensa en profundidad ............................................................................ 5
Gráfico 2: Ciclo Deming. (PDCA)............................................................................... 7
Gráfico 3: Marco de actividades para la gestión de riesgo ........................................ 12
Gráfico 4: Escala de Likert ........................................................................................ 14
Gráfico 5: Tratamiento de Riesgos ............................................................................ 25
Gráfico 6: Funcionamiento CRAMM ........................................................................ 30
Gráfico 7: Procesos que engloba OCTAVE............................................................... 31
Gráfico 8: Proceso del Análisis y Gestión de Riesgos ............................................... 34
Grafico 10: Mapa de procesos de Negocio ................................................................ 49
Grafico 11: Matriz de dependencias entre activos ..................................................... 57
viii
Tabla 20: Segmentación estructura Organizativa MADECO .................................. 109
ix
Indice Anexos
Anexo 1 .................................................................................................................... 167
Anexo 2 .................................................................................................................... 173
Anexo 3 .................................................................................................................... 193
Anexo 4 .................................................................................................................... 213
Anexo 5 .................................................................................................................... 225
Anexo 6 .................................................................................................................... 235
Anexo 7 .................................................................................................................... 237
Anexo 8 .................................................................................................................... 238
x
Resumen
1
2
Introducción
Analizar y clasificar los activos de la información en una jerarquía tal que denote la
importancia que juega cada uno con respecto a la misión de la empresa
Identificar y analizar las vulnerabilidades que pueden ser explotadas por las
amenazas y convertirse en riesgos para la empresa
Generar un plan de seguridad para cumplir con los controles (ISO 27001:2005).
3
CAPÍTULO 1: MARCO TEÓRICO
4
La implementación de un SGSI se logra a través de una serie de procesos, desde la
planificación, hasta la monitorización y mejora continua. Los requerimientos
iniciales para implementar un sistema de gestión de seguridad son: realizar un
proceso de reconocimiento de activos que califican como esenciales para la estrategia
de negocio, posteriormente analizar y evaluar los activos para finalmente ejecutar la
gestión de riesgos necesaria para minimizar las amenazas que puedan impactar
negativamente en la organización.
5
1.2. ISO 27001
Es un estándar Británico aprobado y certificable internacionalmente que proporciona
un modelo para establecer, implementar, Gestiónar, mantener, y mejorar un Sistema
de Gestión de Seguridad de la Información. Es aplicable a empresas de cualquier
tamaño e índole, ajustable a los requisitos de seguridad que necesite la organización.
La norma está diseñada bajo un enfoque dirigido a procesos. Para el desarrollo de
este modelo se utilizan los insumos proporcionados por dueños, usuarios y
administradores del sistema de la organización.
A.14
• Administracion de la continuidad del negocio
6
El modelo de esta norma se basa en el ciclo PDCA: Plan, Do, Check, Act cuyo
objetivo es el de reducir la posibilidad de que los activos de información sean
afectados por amenazas internas o externas. Así mismo el presente modelo se basa en
requerimientos o cláusulas globales y focales, los mismos que se encuentran
distribuidos dentro del siguiente proceso:
Check (Chequear): Utilizar métricas para evaluar el desempeño del SGSI dentro de
la empresa.
Act (Actuar): Fase de mejora continua, se debe tomar medidas correctivas según el
plan de gestión de continuidad de negocio.
7
Clausulas Globales:
4.3.1 • General
5.1 • Responsabilidades
Las clausulas globales son de especial importancia, por lo que se deben documentar
antes que las clausulas focales. A continuación se presentan la estructura de las
clausulas globales.
8
previos a su emisión, revisarlos y actualizarlos, así como el control y registro de
cambios de documentos, también de verificar la disponibilidad, legibilidad como la
facilidad de identificación de documentos actuales. Validar que los documentos sean
usados debidamente cuando estén resguardados o cuando se estén reteniendo para
algún propósito.
9
A través de la cláusula 5.2.2 la norma ISO 27001:2005 de capacitación,
conocimiento y capacidad se exige que para la contratación de personal se deba
determinar un perfil de contratación, posterior al mismo se debe establecer si existen
necesidades de entrenamiento para las contrataciones seleccionadas y capacitarlas.
Sin embargo se debe realizar también una evaluación en la efectividad de sus
actividades para comprobar los resultados de la capacitación, así como mantener la
información referente a educación, entrenamiento recibido, capacidades adquiridas,
experiencia profesional y una calificación del rendimiento de los empleados.
La cláusula 6.0 la norma ISO 27001:2005 de Auditorías internas es muy clara con
respecto a la necesidad y obligación de la organización en realizar auditorías internas
y externas con el objetivo de revisar el cumplimiento y desempeño de los
lineamientos del SGSI establecidos en la empresa. Además la cláusula es muy clara
con respecto a que los auditores no deben auditar su propio trabajo para evitar
conflicto de intereses. Todas estas acciones impulsan a la mejora continua del
sistema.
10
recurrencia del incidente. Para llevar a cabo este procedimiento se exige que la
documentación cada uno de los aspectos previamente analizados, además de los
resultados obtenidos de las medidas correctivas tomadas.
Por último queda mencionar la instauración del SGSI a través de la norma 27001 se
pueden distinguir cinco etapas en las que se define: el alcance del SGSI, el
establecimiento de políticas de seguridad, documentación, gestión de riesgos y
selección y aplicación de los controles previstos por la ISO. Cada uno de estos
procesos será especificado con sus respectivas tareas implementadas en los
siguientes capítulos.
Ninguna empresa puede afirmar que se encuentra exenta de riesgos ya que todos los
días las organizaciones tienen que encarar riesgos de diversa índole. Es por esto que
la ISO 27001 provee determinados parámetros que una empresa debe cumplir con
11
respecto al contexto de la administración de riesgos estratégicos a través del
cumplimiento de políticas de Seguridad de la Información. Con este conocimiento
previo podemos puntualizar que la gestión de riesgos dentro de una organización
contempla cada uno de los procesos de planeación, liderazgo, control y organización
que favorecen a la minimización o eliminación que pueden producir los riesgos,
afectando al cumplimiento de las estrategias de negocio de la organización. Para ello
la gerencia organizativa debe seleccionar o definir una técnica de cálculo de riesgos
que satisfagan sus necesidades, así como los requerimientos legales y regulatorios de
la empresa.
12
1.3.1.1. Clases de Riesgos
Existen diferentes tipos de riesgos que la empresa debe tener a su consideración,
puesto que a causa de uno de estos se pueden producir perdidas muy significativas
para la empresa, ya sean estas, económicas, humanas u operativas.
Riesgos de seguridad general: Son todos aquellos estipulados en la norma IEC 950
(International Electrotechnical Commission) sobre instalaciones eléctricas,
mecánicas, incendios y radiaciones.
13
1.3.1.2. Fases del Análisis de Riesgo
El análisis de riesgo consiste en las siguientes fases descritas a continuación:
5
4 • Muy alto
3 • Alto
• Medio
2
• Bajo
1
• Muy
Bajo
14
Aplicación de la escala de Likert a la tasación de activos de información
Base de datos 2 5 5 4
clientes
Internet 2 1 3 2
Router’s 1 1 5 2
1.3.1.2.2. Amenazas
Todos los activos están sujetos a un diferente número de amenazas que pueden
generar daños a la organización. Una amenaza puede ser definida como un evento
natural, accidental o intencional que puede afectar económica, material u
operacionalmente a una organización.
15
Clasificación de las amenazas:
[N.1] Fuego: Incendio que puede acabar con los recursos del sistema
[N.2] Daños por agua: Inundación que puede provocar daños al sistema
[N.3] Desastres Naturales: Incidentes catastróficos que pueden acabar con las
instalaciones o parte de ellas, incluyendo los recursos
[I.2] Daños por agua: Filtrados, fugas o inundaciones que pueden provocar
daños a los recursos
[I.5] Avería de origen físico o lógico: Fallos propios de los equipos o del
software instalado
16
[I.9] Interrupción de otros servicios y suministros esenciales
17
Ataques intencionados [A]
[A.13] Repudio
[A.25] Robo
18
[A.29] Extorsión
1.3.1.2.3. Vulnerabilidades
Son debilidades de seguridad del sistema de información que puede permitir a las
amenazas causarle daños y generar pérdidas de índole económico, reputacional u
operativo a la organización. Estas debilidades se consideran inofensivas por si solas,
pero cuando se combinan con las amenazas, pueden afectar negativamente la
condición de los activos.
19
Las vulnerabilidades se pueden clasificar como:
Control de acceso
20
• Falta de recursos de protección de los equipos de TI
• Carencia de planes de restitución de equipos
• Falta de control del uso y buen funcionamiento de los equipos
• Falta de un sistema contra incendios
• Gotera
• Fuga de agua por daños de cañería
• Instalaciones eléctricas no protegidas
• Almacenamiento de productos inflamables sin adecuaciones
• Falta de condiciones ambientales apropiadas para la protección de los equipos
• Cableado de red inadecuado
21
• Falta de robustez del sistema
• Falta de manuales de configuración
• Mala administración de la base de datos
• Mala estructuración de la base de datos (A. G. Gomez)
Otros
22
Es recomendable que el factor de impacto de riesgo sea determinado a través de la
tasación de riesgos, que es un método que trata de relacionar el coste de la amenaza y
la posibilidad de ocurrencia de la misma (Gráfico 4: Escala Likert).
ó = ∗
(A. G. Gomez)
23
1.3.1.4. Riesgo Residual
A pesar de todas las medidas que se tomen para tratar los riesgos, siempre queda una
porción de riesgo que no se ha cubierto con el plan. Estos remanentes son
considerados difíciles de calcular pero deben ser evaluados y tomados con
precaución para asegurarse de que sean suficientemente protegidos. Este nuevo nivel
de riesgos es calculado como los riesgos anteriores, pero esta vez considerando que
muchos de los recursos ya están protegidos. El cálculo de riesgo residual es un
proceso cíclico, en cuanto se logra cubrir el riesgo se deberá volver a realizar el
análisis para poder tener asegurada la minimización o eliminación del riesgo.
Se debe tener en cuenta que para cubrir algunos riesgos se necesita una alta inversión
económica, por lo que se debiera meditar en asumir el riesgo puesto que en algunos
casos es menos costoso el daño que el control del mismo. Por otro lado existen otras
opciones tales como la transferencia de riesgos a otras entidades dedicadas a ello
(aseguradoras), esto para los riesgos que no pueden ser evitados. Lo que siempre se
debe tener en mente es que se debe priorizar los riesgos sobre los activos que resulten
esenciales para el normal funcionamiento de la organización.
24
La alta gerencia deberá considerar prioritariamente el valor resultante de dos factores
fundamentales determinados previamente como son: el impacto si el riesgo llega a
producirse y la posibilidad de ocurrencia del mismo. A través de estos factores se
puede prever la pérdida estimada de la organización en caso de no reprimir el riesgo.
No obstante de entre todos los riesgos existen los de seguridad de la información, que
son un poco impresos en cuanto a la frecuencia de ocurrencia, por lo que es
recomendable tratarlos con suma cautela al momento de aceptar o mitigar el riesgo.
Mitigar
Evitar
25
Los controles más comunes utilizados para la seguridad de información al margen de
las estrategias de tratamiento de riesgo son:
La utilización de cada uno de estos controles deberá tener una justificación de su uso,
al igual que los controles que no sean considerados. Este procedimiento tiene el
objetivo de mostrar a la empresa que todos los controles han sido estimados.
Por otro lado las decisiones de la organización con respecto a las medidas, deberán
estar sujetas al coste económico que implique la medida, la dificultad de
implementación técnica, humana y organizativa, así como de la efectividad de la
medida adoptada sobre el riesgo potencial.
26
Como se ha anticipado previamente, no existe un criterio de selección universal de
controles aplicables, sino más bien la decisión dependerá del resultado de las
discusiones entre integrantes clave de la organización, los mismos que deberán tomar
en cuenta la importancia de los activos, inversión, cultura y la tolerancia al riesgo de
la empresa.
La norma ISO 27001 ofrece una serie de controles o lineamientos que pueden ser
implementados y se los puede encontrar más adelante en el Capítulo 6: Políticas de
seguridad.
27
El problema de este método radica en que la seguridad de información y de las
instalaciones depende de la empresa que contrata los servicios, por ende también la
estimación y gestión de nuevos riesgos.
Evitar el riesgo: Se opta por esta decisión cuando es posible contrarrestar el riesgo a
través de cambios metódicos en el desarrollo y desempeño de actividades. Se
disponen de medios para evitar los riesgos tales como: No desarrollar ciertas
actividades (uso del internet), mantener los activos en áreas seguras, no procesar
información sensible. Habitualmente todo esto regido a los requerimientos, tanto
como necesidades financieras y comerciales.
28
Una de las herramientas más usadas y recomendadas para la planificación de estas
actividades es el diagrama de GANTT. Una vez organizado el diagrama se deben
asignar los recursos y acciones que harán que las decisiones para el tratamiento de
riesgos se sinteticen. Todas estas concepciones se encuentran definidas en la cláusula
4.2.2 de la ISO 27001.
Herramientas Comerciales
29
and Telecomunication Agency) de Reino Unido y es una herramienta totalmente
compatible con la norma ISO 27001.
30
• Las soluciones propuestas son calculadas automáticamente por tanto
proporciona soluciones rápidamente y que pueden considerarse efectivas.
31
Estas y otras herramientas pueden ser utilizadas para la Gestión de Riesgos, pero en
este caso se ha seleccionado la metodología MAGERIT, cuyos métodos serán de
ayuda para el desarrollo del Plan de Gestión de Riesgos para MADECO Cía. Ltda.
1.3.3.2. MAGERIT
Esta herramienta fue elaborada por la CSAE (Consejo Superior de Administración
Electrónica), su creación se debió al nivel elevado de tecnologías de información al
que están sujetas las Administraciones para el cumplimiento de sus objetivos. Por lo
que se puede decir que esta metodología está orientada a proporcionar métodos que
ayuden a Gestiónar recursos electrónicos, informáticos y telemáticos con el objetivo
de controlar los riesgos de seguridad de información.
Es necesario conocer los riesgos a los que están sometidos los activos de información
de una organización, puesto que a través de ello podemos establecer un plan de
acción que minimice el impacto que puede producir una amenaza o el riesgo latente.
Es por ello que se han aparecido varias guías que soporten este proceso,
lamentablemente todas ellas basadas en aproximaciones de las cuales existe una
preocupación, puesto que si no se consideran todos los elementos de forma estricta,
los resultados serían poco fiables. Debido a esto, esta metodología busca una
aproximación más exacta que no posea conclusiones improvisadas, ni opiniones
inocuas del analista.
32
control de fallos. En consecuencia lo que busca MAGERIT es conocer los riesgos
sobre los activos de mayor valoración, para poder así encararlos y controlarlos.
33
Análisis de Gestión de
Planificación
Riesgos Riesgos
Asignación de responsabilidades
34
Se sugiere la siguiente estructura:
35
informáticos
Planificación de servicios
Coordinación de servicios
Conocimiento de las
personas y unidades
implicadas.
Planificación
36
humanos. Siendo su principal objetivo el de establecer un marco general de
referencia para el proyecto. Así mismo también busca concienciar al alto mando
gerencial para exponer las oportunidades del desarrollo de un SGSI. Y así finalmente
para lograr exponer la decisión aprobada de la Dirección y así crear el ambiente
necesario para el del proyecto.
1. Estudio de oportunidad
37
organización(diagramas de procesos). El comité de seguimiento juega un papel
importante durante este proceso, al igual que el director de proyecto designado.
Por otro lado se pueden distinguir ciertas restricciones a considerar tales como:
a. Políticas o gerenciales
b. Estratégicas
c. Geográficas
d. Temporales
e. Estructurales
f. Funcionales
g. Legales
i. Metodológicas
j. Culturales
k. Presupuestarias (Públicas)
38
materiales necesarios para su desarrollo. Además cada una de las actividades
deberá constar en un cronograma con su respectivo plazo de elaboración.
Se conoce también que de esta etapa saldrán ciertos documentos que acreditaran que
se ha pasado por este proceso: Tipología de activos, Dimensiones de seguridad
relevantes, criterios de evaluación.
Análisis de Riesgos
39
En esta etapa se deberán realizar las siguientes actividades:
Al igual que se realizó con los activos, el objetivo de esta actividad es identificar
y valorar las amenazas, pero adicionalmente en este caso se las valora según la
pérdida económica y estratégica que suponga su ocurrencia.
40
informe que se desea obtener es el mapa de riesgos (amenazas: frecuencia de
ocurrencia, degradación que puede causar) proporcionado por el equipo de
proyecto y el grupo de interlocutores participantes.
Gestión de Riesgos
En esta etapa se seleccionan las estrategias y salvaguardas para mitigar los riesgos, se
determina la calidad necesaria para las salvaguardas y luego de emitido el plan de
seguridad se lo ejecuta. Por lo que posteriormente se deberán realizar las siguientes
actividades:
41
1. Toma de decisiones
2. Plan de seguridad
42
CAPITULO 2: SITUACION ACTUAL DE LA EMPRESA
Dado que el Plan de Gestión de Riesgos contempla todos los procesos cruciales de
negocio, se ha recopilado la información referente a la misión de la empresa. Dicha
información nos permitirá saber cuál será el alcance del Plan de Gestión de Riesgos.
La misión de MADECO se define como:
Al momento del análisis la empresa no contaba con sus metas de negocio definidas,
pero conforme se ha dado el avance del proceso de Análisis Inicial para la creación
del Plan de Gestión de Riesgos se ha tenido la colaboración de la Gerencia y de la
Dirección General en cuanto a la provisión de esta información.
43
Visión
“Ser líder y referente en proveer acabados para la construcción en la zona sur del
Ecuador.”
Objetivos
Para determinar cuáles son los procesos críticos de negocio que deben ser protegidos,
la norma ISO 27001:2005 a través de MAGERIT dispone de una técnica para su
selección, la que dependerá específicamente de los objetivos que la organización
persiga (Públicas, MAGERIT Versión 2: Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información vol II), por lo que la Gerencia ha
desarrollado los siguientes objetivos:
44
DEPARTAMENTO/PROCESO SUBPROCESOS
Alta Dirección: Gerencia Gestión Administrativa
Ventas Ventas
Atención al Cliente
Compras Compras
Bodega Despacho de mercadería
Almacenamiento de Mercadería
Control de Inventarios
Transporte Entrega de pedidos
Cómputo y Sistemas de información Planificación y Organización de Proyectos
Adquirir e implementar
Desarrollo, entrega y Soporte
Alta Dirección: Presidencia Auditoría y Control de procesos críticos de
negocio
Coordinación Principal
Finanzas Proceso Contable
Alta Dirección: Dirección y Control Dirección y Control
Gestión de Recursos Humanos
45
2.3. Análisis actual del Sistema de Seguridad de la Información
Para determinar el estado actual de la empresa en cuanto a Seguridad de la
Información vamos a desglosar toda la estructura organizacional
Estructura Organizacional
Unidad de Contabilidad:
Ventas: Conocer, ofrecer los productos a los clientes y registrar sus procedimientos
en el sistema.
46
Transporte: Transportar los pedidos a los clientes y difundir la imagen de la empresa
(Entrega de panfletos).
Directorio
Presidencia Gerencia
Bodega
Transporte
47
Factores críticos de
éxito Nuevos Productos Empleados Satisfacción Valor Agregado:
Procesos de Negocio Competitivos competentes del Cliente Calidad y Garantía Imagen TOTAL
Gestión Administrativa X X X X X 5
Atención al Cliente X X X X 4
Compras Locales X X X 3
Ventas X X X 3
Entrega de pedidos X X X 3
Almacenamiento de Mercadería X X X 2
Adquirir e Implementar X X 2
Despacho de Mercadería X X 2
Control de Inventarios X X 2
Dirección y Control X X 2
Desarrollo, entrega y soporte X X 2
Gestión de RRHH X X X 2
Auditoría y Control de procesos Críticos de
Negocio X X 2
Coordinación Principal X 1
Proceso Contable X 1
Planificación y Organización de Proyectos X 1
48
Con el análisis resultante de la matriz de despliegue se llega a la conclusión de que los procesos críticos de negocio en los que se va a poner
mayor énfasis dentro del Plan de Gestión de Riesgos de la Información y los procesos de apoyo de la empresa están distribuidos de la siguiente
manera
49
CAPITULO 3: ANALISIS DE ACTIVOS
Esta afirmación nos lleva a reconocer los activos de información de alta prioridad
para MADECO. Los mismos que forman parte del conjunto de procesos críticos de
negocio reconocidos en el capítulo 2. Es por ello que se ha llevado a cabo el
levantamiento de activos de información de los procesos de negocio críticos, los
cuales han sido identificados gracias a la participación de los dueños de los procesos.
[S]Servicios
• [anon] anónimo
• [int] interno
50
• [telnet] acceso remoto o cuenta local
[D] Datos/Información
• [voice] voz
• [multimedia] multimedia
51
o [A] de nivel alto
o [S] secreto
o [R] reservado
o [C] confidencial
[SW] Aplicaciones
• [std] estándar
o [office] ofimática
52
o [ts] servidor de terminales
• [peripheral] periféricos
o [scan] escáneres
o [modem] módems
o [hub] concentradores
o [switch] conmutadores
o [router] encaminadores
o [bridge] pasarelas
o [firewall] cortafuegos
53
[COM] Redes de comunicaciones
• [ISDN] rdsi
• [X25] X25
• [ADSL] ADSL
• [Internet] Internet
• [electronic] electrónicos
o [disk] discos
o [cd] CD-ROM
o [dvd] DVD
54
• [non_electronics] no electrónicos
o [film] microfilm
• [cabling] cableado
• [robot[] robots
o [tape] de cintas
o [disk] de discos
[L] Instalaciones
• [site] emplazamiento
• [buildIng.] edificio
• [local] local
55
• [mobile] plataformas mobiles
o [shelter] contenedores
• [cannel] canalización
[P] Personal
• [op] operadores
• [des] desarrolladores
• [sub] subcontratas
56
Grafico 11: Matriz de dependencias entre activos
(Nivicela)
2.5.3. Valoración
Una vez culminado el reconocimiento de los activos de información, se va a proceder
a realizar el modelo de valor, el mismo que consiste en valorar a los activos de
información de acuerdo a las dimensiones de interés que propone la ISO 27001:2005
a través de MAGERIT.
57
Según la escala de Likert del capítulo 1 (Graf. 4)
Valor Criterio
2 Bajo Bajo
3 Medio Medio
4 Alto Alto
VALOR CRITERIO
58
4 Puede amenazar la vida de uno o más individuos
Cualitativo: Nos ofrece una calificación subjetiva del valor de los activos.
59
mismos los encargados de determinar las consecuencias de alterar, perder o
prescindir de la trazabilidad de un activo.
60
CAPITULO 4: ANALISIS DE AMENAZAS Y VULNERABILIDADES A
TRAVES DE MAGERIT
2 Baja Anual
3 Media Semestral
4 Alta Mensual
61
CODIGO TIPO DE ACTIVO DIMENSIONES
[HW]Equipos informáticos
[COM]Redes de comunicaciones 1. [D] Disponibilidad
[N.1]FUEGO
[SI]Soportes de información datos
[L]Instalaciones
[HW]Equipos informáticos
[COM]Redes de comunicaciones
[N.2] DANOS POR AGUA 1. [D] Disponibilidad
[SI]Soportes de información
[L]Instalaciones
[HW]Equipos informáticos
[COM]Redes de comunicaciones
[I.1] FUEGO [SI]Soportes de información 1. [D] Disponibilidad
[L]Instalaciones
[AUX] Equipamiento auxiliar
[HW]Equipos informáticos
[COM]Redes de comunicaciones
[I.2] DANOS POR AGUA [SI]Soportes de información 1. [D] Disponibilidad
[L]Instalaciones
[AUX] Equipamiento auxiliar
[HW]Equipos informáticos
[COM]Redes de comunicaciones
[I.*] DESASTRES INDUSTRIALES 1. [D] Disponibilidad
[SI]Soportes de información
[L]Instalaciones
[AUX] Equipamiento auxiliar
[HW]Equipos informáticos
[I.3] CONTAMINACION MECANICA 1. [D] Disponibilidad
[COM]Redes de comunicaciones
[SI]Soportes de información
[AUX] Equipamiento auxiliar
[HW]Equipos informáticos
[I.5] AVERIA DE ORIGEN FISICO O
[COM]Redes de comunicaciones 1. [D] Disponibilidad
LOGICO
[SI]Soportes de información
[SW] Aplicaciones
[AUX] Equipamiento auxiliar
[I.6] CORTE DEL SUMINISTRO [HW]Equipos informáticos
1. [D] Disponibilidad
ELECTRICO [COM]Redes de comunicaciones
[SI]Soportes de información
[AUX] Equipamiento auxiliar
[I.7] CONDICIONES INADECUADAS [HW]Equipos informáticos
1. [D] Disponibilidad
DE TEMPERATURA Y/O HUMEDAD [COM]Redes de comunicaciones
[SI]Soportes de información
62
[I.9] INTERRUPCION DE OTROS
SERVICIOS Y SUMINISTROS [AUX] Equipamiento auxiliar 1. [D] Disponibilidad
ESENCIALES
[HW]Equipos informáticos
[I.11] EMACIONES
[COM]Redes de comunicaciones 1. [C] Confidencialidad
ELECTROMAGNETICAS
[L]Instalaciones
[S] Servicios
1. [I] Integridad
[E.1] ERRORES DE LOS USUARIOS [D] Datos
2. [D] Disponibilidad
[SW] Aplicaciones
[HW]Equipos informáticos
[COM]Redes de comunicaciones
1. [D] Disponibilidad
[E.2] ERRORES DEL
[S] Servicios 2. [I] Integridad
ADMINISTRADOR
[D] Datos 3. [C] Confidencialidad
[SW] Aplicaciones
[S] Servicios
[E.3] ERRORES DE 1. [I] Integridad
[D] Datos
MONITORIZACION (LOG) 2. [C] Confidencialidad
[SW] Aplicaciones
[S] Servicios
[D] Datos
1. [D] Disponibilidad
[E.4] ERRORES DE
[SW] Aplicaciones 2. [I] Integridad
CONFIGURACIÓN
3. [C] Confidencialidad
[HW]Equipos informáticos
[COM]Redes de comunicaciones
[E.7] DEFICIENCIAS EN LA
[P] Personal 1. [D] Disponibilidad
ORGANIZACIÓN
1. [D] Disponibilidad
[E.8] DIFUSION DE SOFTWARE
[SW] Aplicaciones 2. [I] Integridad
DANINO
3. [C] Confidencialidad
[D] Datos
[E.14] ESCAPES DE INFORMACIÓN [SW] Aplicaciones 1. [C] Confidencialidad
[COM]Redes de comunicaciones
63
[E.16] INTRODUCCION DE [D] Datos 1 [I] Integridad
INFORMACIÓN INCORRECTA
[E.18] DESTRUCCION DE LA
[D] Datos 1 [D] Disponibilidad
INFORMACIÓN
[E.19] DIVULGACION DE
[D] Datos 1. [C] Confidencialidad
INFORMACIÓN
1. [I] Integridad
[E.20] VULNERABILIDADES DE LOS
[SW] Aplicaciones 2. [D] Disponibilidad
PROGRAMAS SOFTWARE
3. [C] Confidencialidad
[E.21] ERRORES DE
1. [I] Integridad
MANTENIMIENTO/ACTUALIZACION [SW] Aplicaciones
2. [D] Disponibilidad
SOFTWARE
[E.23] ERRORES DE
MANTENIMIENTO/ACTUALIZACION [HW]Equipos informáticos 1 [D] Disponibilidad
HARDWARE
[SW] Aplicaciones
[E.24] CAIDA DEL SISTEMA POR
[HW]Equipos informáticos 1 [D] Disponibilidad
AGOTAMIENTO DE RECURSOS
[COM]Redes de comunicaciones
[S] Servicios
[D] Datos
[SW] Aplicaciones 1. [D] Disponibilidad
[A.4] MANIPULACION DE LA
2. [I] Integridad
CONFIGURACIÓN [HW]Equipos informáticos
3. [C] Confidencialidad
[COM]Redes de comunicaciones
[S] Servicios
[A.5] SUPLANTACION DE 1. [I] Integridad
[SW] Aplicaciones
IDENTIDAD DEL USUARIO 2. [C] Confidencialidad
[COM]Redes de comunicaciones
[S] Servicios
[A.6] ABUSO DE PRIVILEGIOS DE [SW] Aplicaciones 1. [D] Confidencialidad
ACCESO [HW]Equipos informáticos 2. [I] Integridad
[COM]Redes de comunicaciones
64
[S] Servicios
[SW] Aplicaciones
[HW]Equipos informáticos
[A.7] USO NO PREVISTO [COM]Redes de comunicaciones 1 [D] Disponibilidad
[SI]Soportes de información
[AUX] Equipamiento auxiliar
[L]Instalaciones
1. [D] Disponibilidad
[A.8] DIFUSION DE SOFTWARE
[SW] Aplicaciones 2. [I] Integridad
DANINO
3. [C] Confidencialidad
[S] Servicios
[SW] Aplicaciones
[HW]Equipos informáticos
[COM]Redes de comunicaciones 1. [D] Confidencialidad
[A.11] ACCESO NO AUTORIZADO
[SI]Soportes de información 2. [I] Integridad
[AUX] Equipamiento auxiliar
[L]Instalaciones
[D] Datos
[D] Datos
[A.14] INTERCEPTACION DE [SW] Aplicaciones
1. [C] Confidencialidad
INFORMACIÓN [HW]Equipos informáticos
[COM]Redes de comunicaciones
[A.15] MODIFICACION DE LA
[D] Datos 1. [I] Integridad
INFORMACIÓN
[A.17] CORRUPCION DE LA
[D] Datos 1. [I] Integridad
INFORMACIÓN
[A.18] DESTRUCCION DE LA
[D] Datos 1. [D] Disponibilidad
INFORMACIÓN
[A.19] DIVULGACION DE
[D] Datos 1. [C] Confidencialidad
INFORMACIÓN
65
3. [C] Confidencialidad
[S] Servicios
[A.24] DENEGACION DE SERVICIO [HW]Equipos informáticos 1. [D] Disponibilidad
[COM]Redes de comunicaciones
[HW]Equipos informáticos
1. [C] Confidencialidad
[A.29] EXTORSION [P] Personal
2. [I] Integridad
1. [C] Confidencialidad
[A.30] ING.ENIERIA SOCIAL [P] Personal
2. [I] Integridad
Valoración Delphi
66
en reconocer el tema que se va a abordar y el grupo de participantes o partes
interesadas que pueden aportar a la solución del problema, en donde inicialmente se
hace un sondeo con preguntas abiertas que posteriormente son utilizadas para refinar
la información y generar un segundo banco de preguntas para obtener respuestas
cerradas que facilitan la interpretación. Con el refinamiento se estructura la
información de forma ordenada, de manera que se la pueda presentar a los
participantes para que puedan dar una segunda opinión acerca de los resultados hasta
que finalmente se llegue a un punto de consenso entre las opiniones de todas las
partes.
67
CODIGO TIPO ACTIVO VULNERABILIDADES RIESGO
[N.1]FUEGO [HW]Equipos Falta de un sistema contra Se produzca un
informáticos incendios incendio que acabe
[COM]Redes de con los activos de
comunicaciones información
[L]Instalaciones
[N.2] DANOS [HW]Equipos Goteras Corto circuito y
POR AGUA informáticos fallas en los equipos
[COM]Redes de
comunicaciones
[I.1] FUEGO [HW]Equipos Explosión de productos Explosión que acabe
informáticos inflamables con los activos
[COM]Redes de
comunicaciones
[I.2] DANOS [HW]Equipos Fugas de agua por daños de Dañarse los equipos
POR AGUA informáticos cañería que estén en el piso
[COM]Redes de Llaves de agua abiertas Cortocircuito
comunicaciones
[SI]Soportes de
información
[L]Instalaciones Derramar líquidos sobre Cortocircuito
[AUX] los equipos
Equipamiento
auxiliar
[I.*] [HW]Equipos Cortocircuito Se queman los
DESASTRES informáticos equipos conectados
INDUSTRIALES [COM]Redes de
comunicaciones
[SI]Soportes de Accidente de trafico Destrucción de la
información edificación
[L]Instalaciones
[I.3] [AUX] Polvo Sobrecalentamiento
CONTAMINACI Equipamiento de los equipos
ON MECANICA auxiliar
[HW]Equipos Falla de unidades de
informáticos trabajo
68
[COM]Redes de Comer a lado de los Derramar líquidos y
comunicaciones equipos que el equipo haga
cortocircuito
[SI]Soportes de Derramar comida y
información causar fallas por
impedimento de
manipulación del
equipo
[I.5] AVERIA [AUX] Defectos de fabrica de los Equipos que no
DE ORIGEN Equipamiento equipos trabajen
FISICO O auxiliar correctamente o no
LOGICO [HW]Equipos funcionen
informáticos
[I.6] CORTE [AUX] Apagones por fallos del Detención de los
DEL Equipamiento proveedor servicios de
SUMINISTRO auxiliar impresión y
ELECTRICO [HW]Equipos procesamiento
informáticos
[COM]Redes de
comunicaciones
[I.7] [AUX] Calor excesivo producido Sobrecalentamiento
CONDICIONES Equipamiento por los equipos de los equipos
INADECUADAS auxiliar
DE [HW]Equipos
TEMPERATUR informáticos
A Y/O [COM]Redes de Deterioro de ciertos
HUMEDAD comunicaciones materiales de los
equipos que
[SI]Soportes de
provocan fallas en
información
los mismos
[I.8]FALLO DEL [COM]Redes de Desconexión de un cable Perdida de
SERVICIO DE comunicaciones de red comunicación interna
COMUNICACIO o con otras
NES sucursales
Caída del servicio del ISP No se puede utilizar
el internet
69
Dispositivo de Perdida de
comunicaciones quemado comunicación interna
o con otras
sucursales
Dispositivos de Perdida de cálida de
comunicación mal conexión entre
configurados terminales
70
actividades de
soporte
[D] Datos Problemas mayores
Falta de plan o políticas de generados por falta
[SW]
registro de bitácoras de revisiones
Aplicaciones
continuas
[E.3] ERRORES [S] Servicios Perdida de
DE continuidad de
MONITORIZAC servicios
ION (LOG) [D] Datos Falta de mecanismos de Perdida de
monitoreo documentos
importantes
[SW] Pérdida de
Aplicaciones conocimiento de
actividades de
procesos
[E.4] ERRORES [S] Servicios Fallas al imprimir
DE Falta de manuales de Fallas al usar el
CONFIGURACI configuración sistema
ÓN [D] Datos No se pueden enviar
o recibir correos
[SW] Falta de políticas de uso de Fallas al realizar o
Aplicaciones aplicaciones y de recibir llamadas
información
[HW]Equipos Políticas incorrectas sobre Abusos de
informáticos el uso de passwords y privilegios de
protección de los equipos internet
de comunicación
[E.7] [P] Personal Falta de capacitación sobre No se cumplan las
DEFICIENCIAS seguridad de la políticas que
EN LA información salvaguardan la
ORGANIZACIÓ información
N Falta de mecanismos de Retardo en el
monitoreo del personal cumplimiento de
procesos
71
Falta de políticas de uso Uso personal de los
correcto de activos
telecomunicaciones
Falta de políticas de Negligencia
contratación
Carencia de control en la SGSI desactualizado
entrega de activos al
caducar el contrato
Empleados desmotivados Problemas con los
clientes
[E.8] DIFUSION [SW] Falta de políticas de uso de Virus
DE SOFTWARE Aplicaciones aplicaciones y de
DANINO información
Falta de control sobre la Spam
seguridad de la red Rootkits
Falta de herramientas de Troyanos
protección de los equipos
de TI
[E.14] ESCAPES [D] Datos Falta de capacitación sobre No se cumplan las
DE seguridad de la políticas que
INFORMACIÓN información salvaguardan la
información
Carencia de mecanismos Intercepción y robo
que controlen el envió y de información
recepción de mensajes
[SW] Falta de políticas de uso de Divulgación de
Aplicaciones aplicaciones y de información
información confidencial
[COM]Redes de Falta de control de acceso Intrusos en áreas
comunicaciones físico a oficinas o salones restringidas que
restringidos pueden robar,
sabotear o destruir
los recursos de
tratamiento de
información
72
[E.16] [D] Datos Falta de concentración de Inconsistencia de
INTRODUCCIO los usuarios datos del sistema
N DE
INFORMACIÓN
INCORRECTA
[E. 17] [D] Datos Carencia de planes de Perdida de respaldos
DEGRADACIO restitución de equipos de información
N DE LA valiosa
INFORMACIÓN Trunca el trabajo de
los empleados que
hacen uso del activo
Ubicación de los recursos Daños físicos del
en espacios desprotegidos equipo por ende
perdida de la
información
Robo del equipo y
perdida de la
información no
respaldada
Falta de control del uso y Daños internos del
buen funcionamiento de los equipo que dificultan
equipos su operación
[E.18] [D] Datos Falta de plan de respaldos Perdida de
DESTRUCCION de información critica disponibilidad de la
DE LA información
INFORMACIÓN
[E.19] [D] Datos Falta de capacitación sobre No se cumplan las
DIVULGACION seguridad de la políticas que
DE información salvaguardan la
INFORMACIÓN información
Carencia de control en la Perdida de activos
entrega de activos al
Desactualización del
caducar el contrato
SGSI
[E.20] [SW] Mala administración de Acceso no autorizado
VULNERABILI Aplicaciones llaves criptográficas a información
DADES DE LOS confidencial
73
PROGRAMAS Falta de validación de Inconsistencia de
SOFTWARE datos procesados datos del sistema
Mala estructuración de la Funcionamiento
base de datos parcial de la
aplicación
Falta de políticas de uso de Perdida de seguridad
aplicaciones e información
Carencia de pruebas de Uso limitado de
software recursos aplicativos
[E.21] [SW] Falta de planes de Aumento de
ERRORES DE Aplicaciones actualización vulnerabilidades
MANTENIMIEN software
TO/ACTUALIZ Uso limitado de
ACION Software no licenciado características del
SOFTWARE aplicativo
La aplicación desactivada Perdida de eficiencia
para actualizaciones y eficacia del
aplicativo
Falta de plan de Obsolescencia
mantenimiento
[E.23] [HW]Equipos Falta de un plan de Obsolescencia
ERRORES DE informáticos mantenimiento de equipos
MANTENIMIEN de TI
TO/ACTUALIZ Falta de plan de gestión y Funcionamiento no
ACION control de recursos vs acorde a los
HARDWARE requerimientos requerimientos
actuales de entorno
Falta de mantenimiento Mal funcionamiento
preventivo de los equipos
74
comunicaciones
[E.28] [P] Personal Falta de políticas de Faltas injustificadas
INDISPONIBILI contratación
DAD DEL Falta de un plan de Puesto vacío de
PERSONAL contingencia en caso de trabajo
ausencia
[A.4] [S] Servicios Segmentación de redes Denegación de
MANIPULACIO incorrecta servicio
N DE LA Caída del servicio
CONFIGURACI [D] Datos Falta de políticas de uso de Errores al ejecutar
ÓN aplicaciones y de aplicaciones
información Uso inadecuado de
activos
[SW] Políticas incorrectas sobre Datos no reconocidos
Aplicaciones el uso de passwords y por los sistemas
protección de los equipos
de comunicación
[HW]Equipos Gestión de red inadecuada Fallos de conexión
informáticos Limitación en el
desempeño de los
equipos
[COM]Redes de Carencia de control en Indisponibilidad del
comunicaciones envió y recepción de servicio de
mensajes comunicación
SPAM
Falta de protección en Ataques Hacker,
redes públicas de conexión Cracker
Alteración o robo de
información
[A.5] [S] Servicios Falta de capacitación sobre Robo de información
SUPLANTACIO seguridad de la Alteración de
N DE información información
IDENTIDAD [SW] Políticas incorrectas sobre Abuso de privilegios
DEL USUARIO Aplicaciones el uso de passwords y de acceso
protección de los equipos
de comunicación
75
[COM]Redes de Falta de protección en Ataques Hacker,
comunicaciones redes públicas de conexión Cracker
Robo o alteración de
información
[A.6] ABUSO [S] Servicios Robo de información
DE [SW] Alteración de
PRIVILEGIOS Aplicaciones Gestión de red inadecuada información
DE ACCESO [HW]Equipos Hacking., Cracking.,
informáticos Pishing.
[A.7] USO NO [S] Servicios Alteración de
PREVISTO información
[SW] Falta de mecanismos de Indisponibilidad de
Aplicaciones monitoreo del personal recursos lógicos o
[HW]Equipos físicos
informáticos
[SI]Soportes de Desempeño bajo de
información Falta de políticas de uso los equipos y
correcto de aplicaciones
[AUX] telecomunicaciones Uso personal de los
Equipamiento activos
auxiliar
[A.8] DIFUSION [SW] Denegación de
DE SOFTWARE Aplicaciones servicio
DANINO Gestión de red inadecuada Ralentización de los
servicios a través de
la red
Falta de políticas de Virus, Troyanos,
protección al equipo de TI Rootkits
[A.11] ACCESO [S] Servicios Modificaciones de
NO información
AUTORIZADO [SW] Robo de información
Aplicaciones Gestión de red inadecuada
[D] Datos Destrucción de
información, des
configuración de
aplicativos
76
[A.13] REPUDIO [S] SERVICIOS Conflictos legales
por no recepción de
Carencia de mecanismos mensajes
que controlen el envió y Conflictos por no
recepción de mensajes recibir notificaciones
o información
solicitada
[A.14] [D] Datos Carencia de mecanismos Robo de información
INTERCEPTACI que controlen el envió y
ON DE recepción de mensajes
INFORMACIÓN [SW] Gestión de red inadecuada Modificaciones de
Aplicaciones información
[HW]Equipos Falta de protección en Destrucción de la
informáticos redes públicas de conexión información
[A.15] [D] Datos Carencia de políticas de Mala publicidad
MODIFICACIO seguridad de uso de
N DE LA soportes de información
INFORMACIÓN externos
[A.16] [D] Datos Carencia de políticas de Mala publicidad
INTRODUCCIO seguridad de uso de
N DE FALSA soportes de información
INFORMACIÓN externos Reclamos por
inconsistencias
[A.17] [D] Datos Carencia de políticas de Pérdida de
CORRUPCION seguridad de uso de credibilidad de la
DE LA soportes de información empresa
INFORMACIÓN externos Reclamos por
inconsistencias
77
DIVULGACION Falta de mecanismos de Mala publicidad
DE monitoreo
INFORMACIÓN Falta de capacitación sobre Mala publicidad
seguridad de la
información
[A.22] [SW] Falta de políticas de uso de Des configuración de
MANIPULACIO Aplicaciones aplicaciones y de aplicaciones
N DE información Fallas al ejecutar
PROGRAMAS aplicaciones
Políticas incorrectas sobre Intentos de
el uso de passwords y configuración sin
protección de los equipos autorización
de comunicación
[A.24] [S] Servicios Uso complicado de Retraso en el
DENEGACION interfaces procesamiento de
DE SERVICIO información
[HW]Equipos Retraso en el
informáticos Gestión de red inadecuada cumplimiento de
actividades del
empleado
[COM]Redes de Carencia de planes de Perdida de
comunicaciones restitución de equipos continuidad de
servicios
[A.25] ROBO [HW]Equipos Falta de control de acceso Extracción de
informáticos físico a oficinas o salones equipos de
restringidos procesamiento de
información
[COM]Redes de Ubicación de los recursos Daños materiales a la
comunicaciones en espacios desprotegidos organización
Paralización parcial
de funciones
[SI]Soportes de Perdida económica
información Falta de control de uso y Perdida de
buen funcionamiento de los información vital
[AUX]
equipos para la empresa
Equipamiento
78
auxiliar
[A.26] ATAQUE [HW]Equipos Empleados desmotivados Daños a los equipos
DESTRUCTIVO informáticos de la organización
[COM]Redes de Conflictos civiles Paralización parcial
comunicaciones de funciones
Perdidas económicas
[SI]Soportes de Paralización parcial
información de funciones
[AUX] Huelgas Perdidas económicas
Equipamiento
auxiliar
[A.28] [P] Personal Actividades
INDISPONIBILI definidas
DAD DEL incumplidas
PERSONAL Retraso en el
Falta de políticas de cumplimiento de
contratación actividades del
empleado
Retraso en la gestión
de solicitudes del
resto del personal
[A.29] [P] Personal Conflictos internos
EXTORSION Empleados desmotivados Mala publicidad
Problemas Legales
[A.30] [P] Personal Falta de capacitación sobre Robo de claves
ING.ENIERIA seguridad de la personales
SOCIAL información Acceso a áreas
restrIng.idas
Modificación o
alteración de
contenidos vitales
Falta de mecanismos de Robo de información
monitoreo Empleados
proporcionan
información
confidencial a
79
personas no
autorizadas
Falta de políticas de uso Personal emite datos
correcto de confidenciales de la
telecomunicaciones empresa por medios
no seguros
Personal no aplica
criptografía y uso de
claves de
encriptación
Empleados desmotivados Empleados
proporcionan claves
de sistema y otros
accesos
voluntariamente
Quejas del empleado
en el Ministerio de
Relaciones Laborales
80
CAPITULO 5: GESTIÓN DE RIESGOS CON MAGERIT
6-10 Bajo
11-15 Medio
16-20 Alto
Con base en el presente grafico podemos una lista priorizada de riesgos, donde se
decidirá las acciones que se deberán tomar para mitigar, controlar o evitar el riesgo
81
Los riesgos serán contrarrestados de la siguiente manera
Riesgo Acción
1. Protección de datos
a. Organización
i. Clasificación de documentos:
1. Por actividades desarrolladas-Orden Cronológico
2. Por tipo de archivo-Por orden alfabético
82
b. Protección de valor
i. Control de acceso:
1. Acceso con claves personales
2. Acceso por medio de huellas, retina, voz.
3. Acceso mediante tarjetas personales
ii. Firma electrónica
1. Adquisición de firma electrónica
iii. Copias de respaldo
1. Plan de respaldos
2. Rentar un espacio en la nube para realizar respaldos
3. Adquisición de dispositivos externos para respaldo y
planificación de traslado de respaldos.
iv. Detección y recuperación
1. Sistema de respaldos y plan de punto de restauración
v. Cifrado de datos:
1. Instalación de software para encriptación
2. Implementación de código fuente de cifrado simétrico
vi. Monitoreo
1. Monitores transaccionales o instalación de aplicativos
de monitoreo de red (Heredero, López y Martin-Romo)
2. Protección de Software
a. Ciclo de vida
i. Protección código fuente
1. Encriptación de código
ii. Aceptación y puesta en operación
1. Plan de pruebas
iii. Gestión de cambios y configuración
1. Plan de Control de Cambios
iv. Gestión de incidencias
1. Bitácora de mantenimiento correctivo
v. Control de calidad
1. Uso de estándares de desarrollo
2. Planificación de proyectos
3. Uso de estándares de medición de calidad de software
b. Protección de valor
i. Protección frente a código dañino
1. Implementación de antivirus
2. Bloqueo de puertos de acceso a los equipos
3. Gestión y control de navegación y descarga de
contenido en internet
83
3. Protección de las comunicaciones
a. Ciclo de vida
i. Planificación de capacidad
1. Uso de las normas internacionales ISOTEC 11801 y
EIA/TIA 586 CSA (Castillo)
2. Uso y aplicación de herramientas como PMBOOK
para planificación de proyectos.
ii. Adquisición y mantenimiento
1. Plan de adquisición
2. Plan de mantenimiento de redes y equipos de
comunicación
3. Plan de reposición de insumos de red
iii. Segmentación de redes
1. Diagramas de segmentación e infraestructura de redes
iv. Configuración de routers
1. Manuales de configuración de dispositivos
v. Configuración de cortafuegos
1. Manuales de configuración de dispositivos
vi. Monitorización de ataques
1. Aplicaciones de monitorización de actividades en
tiempo real de la red
b. Protección del valor
i. Garantías de integridad
1. Procedimientos para la protección y mantenimiento de
equipos de comunicación
ii. Cifrado
1. Implementación software de cifrado de redes
iii. Monitorización de actividades
1. Monitorización periódica de actividades en los logs de
los servidores.
(Públicas, MAGERIT Versión 2: Metodología de Análisis y
Gestión de Riesgos de los Sistemas de Información vol II)
84
1. Protección frente a amenazas naturales
a. Incendios:
i. Extintores contra incendios
b. Inundación:
i. Piso falso
ii. Filtradores de agua
iii. Soporte/Base con ruedas para Case
2. Protección frente a accidentes industriales
a. Incendio
i. Extintores de incendios
b. Contaminación mecánica:
i. Sopletes
ii. Limpiadores internos de precisión
3. Protección de las edificaciones
a. Anuncios restrictivos:
i. Avisos y señalización de privilegios de acceso
b. Barreras físicas
i. Puertas cerradas con llave
ii. Dispositivos biométricos de acceso
c. Protección de cableado
i. Bandejas portacables
ii. Canaletas de superficie
iii. Tubos corrugados
4. Control de acceso:
a. Personas:
i. Dispositivos biométricos
ii. Video vigilancia
b. Equipos
i. Video vigilancia
ii. Candados
c. Soportes de información
i. Uso de archivos encriptados con claves personales
(Públicas, MAGERIT Versión 2: Metodología de Análisis y Gestión
de Riesgos de los Sistemas de Información vol II)
85
5.2.3. Medidas de control
Existen algunos aspectos de la organización que deben ser controlados para evitar
caer en amenazas asociadas con el personal sobre errores de los usuarios,
administración negligente, deficiencias en la organización, indisponibilidad del
personal, extorsión y que los mismos puedan ser víctimas de Ing.eniería social.
86
Por controles no únicamente se entienden los referentes al personal y a terceras
partes externas, sino también al control de cumplimiento de las salvaguardas físicas y
técnicas previamente expuestas. Así la norma ISO 27001 propone el siguiente
modelo de control.
A.5.1.2 X SI NO El crecimiento de la
organizaciones una de sus
metas, por tanto la variabilidad
de activos y por consecuencia
de su tratamiento.
87
organización por tanto la Alta
Dirección debe estar al tanto de
todas las actividades que
refieran a la implementación,
mejora y monitorización del
SGSI
A.6.1.8 X SI NO El objetivo de la
implementación de este sistema
de Gestión de Riesgos es
mantener a la organización
protegida en tiempo real de los
riesgos que se puedan suscitar,
por ende se debe controlar que
el sistema se encuentre
actualizado y que se estén
cumpliendo las políticas,
controles y procedimientos de
seguridad.
88
para evitar intrusiones no
deseadas
89
en orden el ejercicio fiscal de la
empresa.
90
crecimiento dentro de sus
metas.
A.8.2.3 X SI NO Si no se sanciona el
incumplimiento de políticas y
procedimientos de seguridad el
Plan es inválido.
91
Resolución CD. 333.
(Laborales)
92
según exigencias de la norma.
93
pueden provocar.
No se dispone de un plan de
Backups para los equipos de
Base de Datos.
No se dispone de equipamiento
para la realización de Backups
No se dispone de un plan de
Backups para configuración de
servidores.
94
A.10.7.4 X SI NO No están protegidos los accesos
a la información
95
A.10.10.3 X SI NO Los registros serán únicamente
de dominio del personal de TI
autorizado y de la Alta
Dirección
96
A.11.3: A.11.3.1 X SI NO Los usuarios son inconscientes
Responsabilidades de lo sensibles que pueden ser
de usuarios las claves
97
A.11.4.7 SI X NO El acceso a la red Wifi no se
encuentra vinculada con la red
interna que maneja el sistema.
98
manejan los usuarios
operadores es el navegador
para poder acceder al sistema y
al correo, no es necesario aislar
la aplicación. No hay
inconveniente con la aislación
de antivirus o aplicaciones de
ofimática porque son de uso
general.
99
A.12.3.2 X SI NO El personal no está socializado
con la importancia del uso de
claves robustas
100
terceras partes pero dentro de la
organización mediante un
contrato.
101
de graduación
102
A.15.3.2. SI X NO Las herramientas de auditoria
las posee el organismo externo,
fuera de los alcances de la
organización.
103
Licencias
Office(3): 2673
Licencias de
Sistema Operativo
0(11): 1947
4874,00
Gastos de Cableado: 2500 0 0
comunicaciones 2500,00
Gastos de instalación Costo por obra 0 0
cableado: 1200
Costo por
instalación
Gypsum: 800
Costo por
instalación ducto
de ventilación:
200
2200,00 0 0
104
Ahorros de adquisición Costo Demanda 0 0
de hardware y software por mantener
software ilegal:
20000
Costo de licencias:
4618
24618,00 0 0
Ahorro en mantenimiento Reemplazo Reemplazo equipos Reemplazo equipos
de hardware equipos de de cómputo: 1000 de cómputo: 1000
cómputo: 1000 Reemplazo Reemplazo
Reemplazo ventiladores (x2) ventiladores (x2)
ventiladores (x2) 100 100
100 Reemplazo de Reemplazo de
Reemplazo de discos con fallas discos con fallas
discos con fallas físicas (x2) 190 físicas (x2) 190
físicas (x2) 190 Revisiones por Revisiones por
Revisiones por cables de red cables de red
cables de red desconectados, desconectados,
desconectados, malogrados/año: malogrados/año:
malogrados/año: 360 360
360
Reposición de
equipos host:
15000
105
Ahorro en Consultoría Costo análisis de 0 0
un experto para
levantamiento de
procesos y
creación de un
SGSI: 10000
10000,00 0 300
Beneficios instalación Ing.resos/año Ing.resos/año Ing.resos/año
(Mejora en la atención al incluido capital: incluido capital: incluido capital:
cliente, mejora de imagen 33000 33000,00 33000,00
de la compañía) Avaluó empresa: Avaluó empresa: Avaluó empresa:
700000 700000,00 700000,00
733000,00 734500,00 735700,00
COSTO BENEFICIO
(Valoración MADECO)
Adquisición de hardware y 6100,00 24618,00
software
Mantenimiento de hardware 4874,00 16660,00
y software anteriores
Gastos de comunicaciones 2500,00 5500,00
Gastos de instalación 2200,00 734500,00
Gastos de aprendizaje 200,00 734500,00
Gastos de consultoría 500,00 10000,00
Gastos de formación 800,00 734500,00
Costes derivados de la curva 200,00 734500,00
de aprendizaje
COSTO BENEFICIO
(Valoración MADECO)
Adquisición de hardware y 0 24618,00
software
106
Mantenimiento de hardware 50 1600,00
y software anteriores
Gastos de comunicaciones 0 5500,00
Gastos de instalación 0 735700,00
Gastos de consultoría 0 0
Gastos de aprendizaje 200,00 735700,00
Gastos de formación 800,00 735700,00
Costes derivados de la curva 200,00 735700,00
de aprendizaje
AÑO 3
El proyecto es viable. Los costos utilizados son un referente a los valores que
actualmente se encuentran en el mercado.
107
CAPITULO 6: POLÍTICAS DE SEGURIDAD
Roles Asignación
Tania Heredia
108
Sr. Alfonso Heredia
Fernanda Nivicela
109
entidades cumplimiento de términos del
externas contrato.
NDA: Compromisos de
confidencialidad de la información
manipulada
110
CONTROL: INVENTARIOS
VERSION DOCUMENTO:
111
Elaborado por:
Numero de Paginas:
El control del mismo puede ser llevado a cabo al momento de nuevas asignaciones o reasignaciones de activos. Por otro lado también se pueden
valer de herramientas como Genos Open Source, es un software libre que proporciona al adminsitrador de la red un inventario de información
general y algunos detalles de aplicaciones, sistemas operativos y características técnicas de los equipos.
Para la propiedad de los activos se utilizó el siguiente formato. Que responsabiliza a los empleados de cada activo según el proceso al que
pertenezcan. Los responsables de cada activo asignaran el valor de cada activo dependiendo de las consecuencias que puedan provocar la pérdida
de sus dimensiones de interés. Ver Anexo 3
112
CONTROL: Propiedad De Los Activos
VERSION DOCUMENTO:
113
Elaborado por:
Numero de Paginas:
114
Se debe velar además por el buen uso y mantenimiento de los activos de información, para lo mismo se debe llevar un control sobre la
utilización aceptable de los activos. Se sugiere que como documentación y para el control se maneje la siguiente plantilla:
VERSION DOCUMENTO:
115
Elaborado por:
Numero de páginas:
116
CONTROL: Directrices de Calificación
VERSION DOCUMENTO:
117
6.4. Seguridad de los recursos humanos
Se tiene completa conciencia de que los recursos humanos internos y externos forman parte importante de la empresa, puesto que ellos son los
que están en contacto directo con los activos, por tanto hay que educarlos de manera que todos estén familiarizados con las políticas de Seguridad
de la Información y su papel dentro del proceso de protección y buen empleo de los mismos.
118
Proceso entorpecidos por una entrevista
falta de cumplimiento
Términos y 1. Firmar un acuerdo de confidencialidad con la empresa
condiciones del
2. Definir las sanciones en caso de incumplimiento de las
empleo
políticas de la empresa
Responsabilidades No se cumplan las políticas Realizar una inducción al personal sobre las políticas de
de la dirección que salvaguarden la utilización de recursos, claves de acceso y buen uso de los
información activos de información.
Obligaciones y
responsabilidades Toma de conciencia, Socializar las políticas de seguridad de información con todo el
de los empleados educación y personal sobre todo si ha habido alguna actualización de las
formación en la mismas
seguridad de la
información
119
Proceso disciplinario Aplicar sanciones disciplinarias en caso de incumplimiento de
las políticas de la empresa
120
revisar el acta y verificar su veracidad
Seguridad de las Perímetro de Extracción de equipos de 1. Colocar un reloj de acceso biométrico al centro de
instalaciones seguridad física procesamiento de cómputo para que únicamente el personal de sistemas
121
información pueda Ing.resar
122
equipos 3. Instalación de extractores de aire en [L]1, [L]2, [L]3 por la
salud del personal.
Deterioro de ciertos
Áreas de acceso al materiales de los equipos 1. Adecuación de Centro de Procesamiento de Datos:
público, entrega y que provocan fallas en los
a. Ducto de ventilación.
carga mismos
b. Aislamiento de habitación con pared falsa en vez de vidrio.
Accesos no autorizados
c. Instalación de Splitter en el Centro de Procesamiento de
Datos para seguridad de los equipos [HW][host]1,
[HW][host]2, [HW][host]3
Seguridad de los Ubicación y Robo del equipo y perdida 1. Los CPU deben colocarse sobre una base plataforma
equipos protección del de información sobre el piso, fuera de la vista al público.
2. Los dispositivos periféricos incluyendo el monitor
123
equipo deben estar asegurados con candados o amarras al CPU
124
Seguridad en la Fallas de unidades de 1. Licenciar Sistemas Operativos o instalar sistemas
reutilización o trabajo operativos de código abierto
eliminación de 2. Licenciar Aplicaciones de ofimática e instalar las
equipos licencias que ya se dispone o reemplazar por
Uso limitado de herramientas ofimática de código abierto
características de las 3. Desinstalar y eliminar registros de software que requiere
aplicaciones y problemas de licenciamiento y no se utiliza.
legales
125
6.6.1. Procedimientos y responsabilidades de operación
Política Procedimiento Riesgo Actividades
Gestión de cambio Inconsistencias de datos del 1. Documentar solicitudes de cambio: fecha, solicitante,
sistema motivos, área que en la que se desea realizar el cambio, estado
del cambio (solicitado, análisis, aprobado, realizado),
Funcionamiento parcial de
encargado de realizar el cambio, fecha de entrega
aplicación
2. Documentar vialidad del cambio
Perdida de seguridad 3. Establecer y documentar criterios de aceptación de cambios.
4. Comunicar si el cambio se va a realizar
5. Documentar pruebas del cambio aplicado preproducción
126
6. Seguimiento durante 1 mes del cambio en entorno de
producción
127
Política Procedimiento Riesgo Actividades
Entrega de Entrega del servicio Retardo en el cumplimento 1. Elaboración de un contrato con cada proveedor de servicio en
Servicios de de roles y tareas donde se plasmen aspectos de confidencialidad,
terceras partes disponibilidad, responsabilidades y obligaciones del
Negligencia
contratista y del contratante, sanciones por incumplimiento de
ambas partes y cláusulas de cierre del contrato.
2. Renovación del contrato cuando las dos partes consideren
pertinente
128
Política Procedimiento Riesgo Actividades
Planificación y Gestión de Funcionamiento no acorde a 1. Uso y aplicación de herramientas como PMBOOK para
aceptación del capacidad las necesidades del entorno planificación de proyectos que cubran: Alcance, Cronograma,
sistema que desarrollan Recursos, Riesgos, Comunicación, Calidad e Inversión
2. Uso de las normas internacionales ISOTEC 11801 y EIA/TIA
586 CSA de cableado estructurado
Protección de Control contra Spam 1. Búsqueda de un antivirus que cumpla con las necesidades del
integridad de código malicioso negocio (kaspersky, Microsoft essentials, Windows defender)
software y de la 2. Instalar y configurar el antivirus de manera que se ejecuten
información actualizaciones y análisis programados
3. Controlar mensualmente las estadísticas de código malicioso
eliminado, objetos en cuarentena, errores de actualización o
129
de análisis.
Integridad y Copia de Seguridad Perdida de disponibilidad de 1. Analizar la posibilidad de hacer respaldos de Base de Datos
disponibilidad de de la información información en la nube
recursos e 2. Analizar la adquisición de un dispositivo externo para
130
información respaldos locales y de configuración
3. Analizar el tipo de respaldo requiere la información:
incremental, completa, diferencial, copia o respaldo diario.
4. Realizar un cronograma de respaldos
Protección de la Control de red Ataques hacker , cracker 1. Análisis de componentes o software que facilite la
información y de exportación de reportes de trafico de red administrativo y
infraestructura de publico
red 2. Desactivar las actualizaciones automáticas y cada mes
verificar actualizaciones.
3. Actualizar únicamente módulos de seguridad y alguna
actualización que convenga a la organización
4. Escaneo y gestión de puertos abiertos cada mes
131
de red 2. Revisión semanal de logs de acceso a aplicaciones de red.
Control de Procedimientos de Alteración y/o robo de 1. Capacitar al personal sobre almacenamiento de documentos,
manipulación de manejo de la información organización y codificación de los mismos
la información información 2. Concientización de los usuarios sobre la eliminación de
información de dispositivos externos
3. Política de escritorio físico y pantalla limpios
132
Política Procedimiento Riesgo Actividades
Intercambio de Políticas y Mala publicidad 1. Capacitar a los usuarios para que no guarden contraseñas, ni
información y procedimientos de datos enviados o cargados en formularios en línea, acceso a
software con intercambio de páginas seguras para trámites en línea.
entes externos información 2. Configurar navegadores para que se borren los cookies,
contraseñas, historiales de autocompletado.
133
negocio 2. Ajustar a nuevas necesidades encontradas
3. Implementar el SGSI
Comercio Información Robo de información 1. El administrador del sitio debe usar contraseñas robustas que
electrónico disponible contengan: Mayúsculas, minúsculas, números y caracteres
Alteración de información
seguro públicamente especiales
2. Exigir que el sitio web se desarrolle con manejo de sesiones,
sesiones inactivas y notificación de inicio de sesión al
administrador
6.6.10. Seguimiento
Toda actividad deberá ser registrada, en caso de que se encuentre alguna irregularidad se puede seguir la trazabilidad del proceso en caso de
necesidad de investigación. Se deben registrar todo tipo de actividades y eventos
134
Política Procedimiento Riesgo Actividades
135
debe recurrir a la revisión de registros
3. Revisar los registros de actualización y modificación mensual
para revisar irregularidades
136
6.7. Control de accesos
Mediante las políticas de acceso se pretende mitigar las brechas de seguridad producidas por abuso de privilegios de acceso y accesos no
autorizados.
137
información 3. Reemplazo de la puerta corrediza por una más segura.
Destrucción de información
Gestión de acceso Registro de usuarios Abuso de privilegios de 1. Registrar en una plantilla de Ing.reso de personal: tipo de
de usuarios acceso accesos requeridos, aplicaciones a utilizar.
2. Enviar oportunamente el formulario al Departamento
Sistemas para que puedan adecuar el espacio de trabajo y
configurar los respectivos accesos al sistema.
3. Hacer la entrega de las herramientas y recursos tecnológicos
que va a utilizar con una inducción a la seguridad de
información
4. Firmar la entrega recepción del formulario de requisitos
entregado en primera instancia.
138
Gestión de 1. Documentar los usuarios del sistema y sus privilegios de
privilegios acceso.
2. Validar que todos los accesos sean los que se han autorizado y
aprobar los documentos que certifican estos accesos.
Responsabilidade Uso de contraseñas Robo de información 1. Inducir a los usuarios operadores en la seguridad de
s de los usuarios información sobre las consideraciones de seguridad para
asignación de contraseñas
Alteración de la 2. Los aplicativos deben configurarse para exigir a los
información empleados el registro de claves robustas
139
Equipos 1. Cuando se vayan a alejar de sus estaciones de trabajo los
desatendidos usuarios deberán bloquear la sesión que se está utilizando
2. Cerrar documentos que no se estén utilizando
140
Política Procedimiento Riesgo Actividades
Acceso a la red Utilización de Robo de información 1. Compartir los archivos para un numero definido de usuarios o
servicios de red un usuario definido
2. El archivo debe configurarse con privilegios de lectura y/o
Alteración de la escritura según sea el caso
información
Autenticación de 1. Configurar las aplicaciones para conexión remota con
usuarios para contraseñas robustas que contengan: Mayúscula, minúsculas,
conexiones externas números y caracteres especiales.
HackIng., CrackIng.
2. Configurar el acceso a la red únicamente por puertos
definidos y permisos de acceso remoto a equipos definidos.
141
puertos no autorizados
142
Política Procedimiento Riesgo Actividades
Control de acceso Procedimientos de Errores al ejecutar 1. Configurar accesos de usuario y administrador en los equipos
a estaciones de conexión segura aplicaciones 2. Configurar contraseñas de usuario y administrador
trabajo
Utilización de las 1. Configurar en los equipos para que únicamente los
prestaciones del administradores del sistema puedan instalar aplicaciones
sistema
Limitación del Uso inadecuado de activos 1. Configuración de proxy de internet para navegación solo a
tiempo de conexión sitios autorizados en horarios de trabajo.
2. Elaborar una lista de sitios a los que la empresa permite
acceder durante horarios de trabajo
Control de acceso Restricción de Robo de información 1. Eliminar y ocultar accesos directos a aplicaciones antivirus y
143
a las aplicaciones acceso a la Alteración de la de acceso remoto
información información 2. Análisis y selección de una herramienta de encriptación de
archivos
3. Instalación de herramienta de encriptación en los equipos host
del Centro de –Procesamiento de Información
Control de Computación móvil Ataques hacker, cracker 1. Elaborar un checklist de revisión de controles para equipos
trabajo remoto y comunicaciones portátiles.
2. De requerirse configuración de aplicaciones corporativas en
Robo de información Smartphone, verificar que el dispositivo tiene antivirus y esta
actualizado.
144
3. Configurar contraseñas robustas con números, letras y
caracteres especiales en las aplicaciones con las que se
establecerá la conexión.
Seguridad de los Análisis y Perdida de continuidad de 1. Evaluar un conjunto de métricas de calidad de la norma IEEE,
sistemas de especificación de servicio CMM (Modelo de Madurez), QIP (Paradigma de
145
información requisitos de Retraso en el procesamiento mejoramiento de calidad)
seguridad de información 2. Documentar resultados de medición
3. Comunicar a la Alta Dirección
4. Realizar cambios necesarios
5. Documentar cambios
Uso correcto de Validación de datos Inconsistencia de datos del 1. Validar: cedula, RUC, Pasaporte, campos numéricos,
las aplicaciones de entrada sistema dirección de correo electrónico, stock, usuarios, contraseñas,
descuentos, etc., a nivel de aplicación.
146
de información 5. Personalizar el tipo de letra para chat SPARK
147
6.8.3. Controles criptográficos
Política Procedimiento Riesgo Actividades
Protección de la Política sobre la Acceso a información 1. Análisis de software destinado a encriptación de archivos
integridad y utilización de confidencial sensibles
confidencialidad medios 2. Comunicación y aprobación de la Gerencia
de la información criptográficos 3. Implementación de software de encriptación
con medios 4. Capacitación al usuario sobre el uso de la herramienta
criptográficos
Gestión de claves 1. Capacitar a los usuarios sobre el uso de contraseñas robustas
que contengan letras mayúsculas, minúsculas, números y
Penetración de sistemas
caracteres especiales
Seguridad de los Control de software Perdida de documentos 1. Analizar el software requerido, considerar: soporte, casos de
archivos del operativo importantes éxito, versiones, manuales, compatibilidad, necesidades del
sistema negocio.
Acceso no autorizado a
2. Leer manuales e informarse sobre las experiencias al liberar la
148
información confidencial aplicación.
3. Comunicar y solicitar aprobación a Gerencia
4. Instalar la aplicación
5. Ejecutar plan de pruebas
Control de acceso al 1. Asignar una clave robusta al equipo que dispone del código
código fuente del fuente del Sistema de Información
programa 2. Almacenar el directorio del código fuente en un lugar seguro
del directorio raíz
3. Encriptar el código fuente
Seguridad del Procedimientos de Interrupción de otros 1. Documentar solicitudes de cambio: fecha, solicitante,
software y de la control de cambios servicios instalados motivos, área que en la que se desea realizar el cambio, estado
149
información de la del cambio (solicitado, análisis, aprobado, realizado),
aplicación encargado de realizar el cambio, fecha de entrega
Fallos del sistema en
2. Documentar vialidad del cambio
producción
3. Establecer y documentar criterios de aceptación de cambios.
4. Comunicar si el cambio se va a realizar
5. Documentar pruebas del cambio aplicado preproducción
150
6.8.6. Gestión de vulnerabilidad técnica
El departamento se preocupa por la investigación en avances de tecnología, nuevas aplicaciones, pero les falta formalización de estos
procedimientos. A continuación la implementación como política
151
CONTROL: Gestión De Incidente De Seguridad De Información
Reporte de Reporte de eventos Pérdida de control de 1. En caso de producirse errores de actualización, conexión,
eventos y de seguridad de estados de servicio errores en pantalla notificar inmediatamente mediante teléfono,
debilidades del información correo o chat a los administradores del sistema para su revisión
sistema oportuna.
Caída de servicios 2. Documentar donde se produjo el incidente, cuál fue el
tecnológicos importantes incidente, causas y solución. (Base de conocimientos)
152
encontrados por la herramienta o mediante formularios físicos
Control de Responsabilidades y Caída de servicios 1. Llenar los formularios o tickets de solicitud de asistencia
incidentes y procedimientos tecnológicos importantes 2. Entregar al jefe de proceso
mejoras de la 3. El jefe de proceso aprueba la asistencia y envía al departamento
seguridad de la de TI
información 4. Se establece una jerarquía de soporte según la criticidad de la
solicitud
5. Asistir remotamente, físicamente o brindar instrucciones para
solucionar el problema
153
6.10. Cumplimientos
Debido a la naturaleza del negocio, éste se ve vinculado con varias leyes y regulaciones del Estado en cuanto al Sistema Tributario, Leyes de
Trabajo, Salud Ocupacional, Superintendencia de compañías y de Telecomunicaciones. Por tanto los procesos deben orientarse a cumplir a
cabalidad las obligaciones y restricciones que exigen.
CONTROL: Cumplimientos
154
Perdidas económicas 3. Documentar físicamente el código de la Ley SART (Salud
Ocupacional)
a. Entregar a la Dirección
4. Documentar físicamente el código de la Ley de Compañías
a. Entregar a Finanzas
5. Documentar el código de la Ley de Telecomunicaciones,
Tecnologías de Información y Comunicación
a. Entregar al Departamento de TI
6. Documentar los códigos de la Ley Orgánica de Defensa al
Consumidor
a. Entregar y socializar con el personal de ventas
155
5. Registrar el incidente
156
6.10.1.2. Cumplimiento de las políticas y normas de seguridad de cumplimiento técnico
Política Procedimiento Riesgo Actividades
Cumplimiento de Cumplimiento con Fracaso en la 1. Cronograma un reunión periódicamente con los jefes de
políticas y las políticas y implementación del SGSI proceso para evaluar los cumplimientos de las políticas de
normas de normas de seguridad Seguridad
seguridad 2. Analizar cumplimiento de los indicadores de éxito de la
empresa con la alineación estratégica del SGSI
3. Proponer nuevos indicadores de éxito para la empresa y los
parámetros para su cumplimiento
157
8. Incorporar Planes de ContIng.encia
158
Conclusiones
Con el planteamiento del proyecto y con el avance del mismo se fue concientizando
a la Alta Dirección de la importancia de la protección de sus activos y las ventajas de
alinear sus planes estratégicos con los de Tecnología de Información para alcanzar
sus metas comerciales. A lo largo del planteamiento del problema no únicamente se
recibió el apoyo de la Alta Dirección, sino también el compromiso de los usuarios,
que básicamente es un punto a favor del éxito para la futura implementación del
SGSI.
159
Se concluye el presente estudio con los resultados finales del análisis de activos,
amenazas, vulnerabilidades plasmados en un Plan de Gestión de Riesgos alineados
con las Políticas de Gestión de Seguridad de la Información, en donde cada riesgo
valorado puede ser mitigado mediante controles y un conjunto de actividades en las
que todos los que conforman MADECO deben colaborar. Este plan esta generado
para la aplicabilidad dentro de la Organización MADECO Cía. Ltda., para que pueda
controlar, mitigar o eliminar cualquier riesgo tomado en cuenta dentro del análisis,
previniendo en mayor grado la obstrucción de operatividad.
160
Recomendaciones
161
considerar la posibilidad de transferir el riesgo a terceros, como puede ser una
aseguradora.
No está por demás volver a mencionar que la Alta Dirección, así como el personal en
general deberá aportar con su compromiso para una implementación exitosa del Plan.
Por otro lado el Plan es tolerante a cambios o ajustes que puedan producirse a lo
largo de la existencia de la empresa, de manera que el Plan de Seguridad siempre
este actualizado y en mejoría.
162
Glosario
Activos: Son todos aquellos recursos de información que tienen valor para la
empresa.
Impacto: Magnitud del daño sobre un activo que significa para la empresa. (Dinero,
imagen, etc.)
163
Integridad: Propiedad de los activos de información que no pueden ser alterados o
eliminados.
164
Bibliografía
Alan Calder, Steve G. Watkins. Information Security Risk Management for
ISO27001/ISO27002. United Kingdom: Editorial IT Governance Ltd 2007,
2007.
Piñeiro, Esther Martínez. "La técnica Delphi como estratefia de consutla a los
implicados en la evaluacion de programas." Revista de Investigación
Educativa (2003): 463.
165
Security Managment Consulting International. Security Managment Consulting
International, LLC. n.d. 15 Enero 2013. <http://smcintl.com/services-
offered.html>.
166
Anexos
Anexo 1
Plan de Gestión de Riesgos
Informe Preliminar
Versión 2.0
___________________ ___________________
167
Antecedentes y Justificación
Muchos de estos pueden ser el resultado de riesgos que no han sido neutralizados con
un análisis y tratamiento previo de todos los activos de información así como los
operacionales (en caso de haberlos). Por lo que se propone una solución viable para
la continuidad del negocio previo a un desastre, en este caso un sistema de gestión de
riesgos que sea capaz de mitigar todas las vulnerabilidades propensas a convertirse
en riesgos para la organización, garantizando de esta manera disponibilidad,
integridad y confidencialidad de la información de la empresa, es por eso que la
siguiente tesis plantea seguir el modelo de seguridad de la información de la ISO
27001 que es la única norma certificable encargada de proporcionar parámetros y
lineamientos que garanticen la seguridad de los activos de la empresa
Objetivos:
General
Específicos
Analizar y clasificar los activos de la información en una jerarquía tal que denote la
importancia que juega cada uno con respecto a la misión de la empresa
168
Identificar y analizar todas las amenazas posibles, su grado de impacto y el nivel de
ocurrencia con el que se puedan suscitar.
Identificar y analizar las vulnerabilidades que pueden ser explotadas por las
amenazas y convertirse en riesgos para la empresa
Generar un plan de seguridad para cumplir con los controles (ISO 27001:2005).
Alcance y delimitación
Por tanto el plan de gestión de riesgos está destinado a cubrir todas las brechas de
seguridad que la empresa podría tener, describiendo como proteger cada uno de los
activos de información y sus respectivos recursos utilizados (físicos y humanos) a
través de los controles establecidos por la norma.
Misión
Visión
Ser líder y referente en proveer acabados para la construcción en la zona sur del
Ecuador.
Metas
169
Objetivos
170
Ventas: Conocer, ofrecer los productos y motivar a los clientes a comprar.
Estructura Organizacional
Directorio
Presidente
Gerente
Transporte
Entorno Técnico
171
interno que administra la información, etc. Además la unidad de sistemas trata de
estar siempre a la vanguardia ofreciendo las mejores soluciones informáticas debido
a la gran influencia del Sistema de TI en los procesos financieros, administrativos y
técnicos que MADECO maneja.
172
Anexo 2
CUESTIONARIO MADECO
Área: Gerencia
Reportes de:
compras, ventas, Reportes
pedidos, Cartas Software de la empresa, decisión aprobados
de pagos, gerencial, SPARK Messenger
solicitudes
Control de actividades
Revisar los reportes generados por cada departamento a través del sistema.
173
Comprobar que todos tengan los recursos necesarios para cumplimiento de labores.
Revisar si se han emitido solicitudes y aprobarlas si se considera necesario.
2. CONTROLAR ACTIVIDADES
174
CUESTIONARIO MADECO
Atención al cliente
Experiencia
Sistema interno
Pedido Factura
Terminal punto de
venta Remisiones
Soporte técnico,
Consulta del cliente Atención y servicio
asesoramiento
al cliente
Reclamo del cliente personalizado,
proporcionada
175
1.2.-Registrar ventas al contado
2.-Atención al cliente:
Se recibe los pedidos por parte del cliente o se asesora durante la compra si el
cliente no tiene claro lo que va a comprar, luego se verifica si hay en stock lo
solicitado, para lo cual finalmente se emiten las facturas
176
llamada al cliente para saber si está satisfecho, caso contrario se repite el
proceso o se comunica el caso a gerencia.
177
CUESTIONARIO MADECO
178
CUESTIONARIO MADECO
Recepción de mercadería
Control de inventarios
-Programación para
la entrega.
Guías de remisión. Decisión en base a
experiencia -Emisión orden de
entrega
Orden para
recepción, factura,
Comunicar el
guías de remisión del Experiencia recibo de
proveedor
mercadería
-Peticiones de
Inventario Software interno
compra de
mercadería
-Entradas de
almacén
179
3. ¿Qué actividades identifica usted dentro del proceso
Realizar entrega de mercadería
Recibir la mercadería
2. RECIBIR MERCADERIA
180
CUESTIONARIO MADECO
Recepción de
factura al cliente
181
CUESTIONARIO MADECO
182
B.-Proceso AI
-Portafolio de
proyectos
-Proforma de compra de
-Análisis de -Juicio en base a hardware o software
necesidad experiencia
tecnológica: -Hardware o software
capacitiva y/u implementado y /o
operativa configurado
-Aprobación de orden
de compra
C.-Proceso DS
183
En el caso del hardware cuando se requiere, se realiza una propuesta de
implementación para la mejora sistémica del negocio.
184
CUESTIONARIO MADECO
2.-Gestión Web
3.-Coordinacion principal
1.1.-Gestión Financiera
-Documento entrega-
-Documento de -Comprobación de
recibo firmada
depósito de dinero Ing.reso con el sistema
-Registro de
-Orden de pago -Sitio Web para
transferencia
Transferencia bancaria
2.-Gestión Web
-Catálogo de
productos
-Inventario -Sitio Web
actualizado Administrable -Actualización del
(Fotografías, sitio web
precios, productos)
185
3.-Coordinacion principal
Las vendedoras de cada sucursal realizan la entrega del dinero de las ventas
del día. La presidenta se encarga de revisar y recibir el documento de depósito
de dinero. Finalmente las dos partes firman un documento de entrega-recibo.
186
3.1.-COORDINAR DESICIONES CON GERENCIA Y DIRECCIÓN
PRINCIPAL
187
CUESTIONARIO MADECO
-Superintendencia
de compañías
188
Se receptan todos los documentos transaccionales de la empresa: Facturas de
Proveedores, Facturas emitidas, retenciones, gastos de la empresa, etc.
Posterior a ello se revisa en el sistema los reportes de ventas y facturación. Se
hace una revisión para constatar que los datos del sistema cuadran con los
datos físicos recibidos. Se aplican principios contables: Asientos, Cuentas T y
finalmente se emiten Balances Generales, Flujos de Caja y Estado de
resultados. Finalmente de comunican los resultados de los informes a
Gerencia.
189
CUESTIONARIO MADECO
-Comunicados de -Entrevista
renuncia
-Publicación de vacante -Contratación
-Currículum Vitae para el empleo informal
-Liquidación del
empleado
190
1.2.-Controlar actividades y necesidades
2.1.-Reclutamiento
2.2.-Desreclutamiento
2.3.-Capacitación
2.1.-RECLUTAMIENTO
191
2.2.-DESRECLUTAMIENTO
2.3.-CAPACITACIÓN
192
Anexo 3
CONTROL: Inventarios
[L] [buildIng.]2 Alta Dirección: Dirección y Control [HW][easy]2 Teclado VAIO 2012DJ4490
[L] [buildIng.]2 Alta Dirección: Dirección y Control [HW][pc] 16 Computador de oficina SVJ202
[L] [buildIng.]2 Alta Dirección: Dirección y Control [HW][peripheral][print]3 Impresora matricial F7BG169051
[L] [buildIng.]2 Alta Dirección: Dirección y Control [HW][peripheral][print]4 Impresora laser VNB3B23339
193
Suarez y Los Andes
[L] [buildIng.]2 Alta Dirección: Recursos Humanos [P][sub]1 Marcos Orellana LB2PUI9PS1
[L] [buildIng.]2 Alta Dirección: Recursos Humanos [P][sub]2 Katty Cabrera LB2PUI9PS2
[L] [buildIng.]2 Alta Dirección: Recursos Humanos [P][ue]1 Jaime Pomaquiza LB2PUI9PUE1
[L] [buildIng.]2 Alta Dirección: Recursos Humanos [P][ue]2 Isdrael Velezaca LB2PUI9PUE2
[L] [buildIng.]2 Alta Dirección: Recursos Humanos [P][ue]3 Tania Heredia LB2PUI9PUE3
[L] [buildIng.]2 Alta Dirección: Recursos Humanos [P][u]1 Julia Orellana LB2PUI9PUI1
[L] [buldog]2 Alta Dirección: Recursos Humanos [P][ui]10 Arq. Mauricio Heredia LB2PUI9PUI10
[L] [buildIng.]2 Alta Dirección: Recursos Humanos [P][ui]11 Rosana Jara LB2PUI9PUI11
[L] [buildIng.]2 Alta Dirección: Recursos Humanos [P][ui]2 Claudio Sinchi LB2PUI9PUI2
[L] [buildIng.]2 Alta Dirección: Recursos Humanos [P][ui]3 Tania Flores LB2PUI9PUI3
[L] [buildIng.]2 Alta Dirección: Recursos Humanos [P][ui]4 Marcelo Paucar LB2PUI9PUI4
[L] [buildIng.]2 Alta Dirección: Recursos Humanos [P][ui]5 Luis Ayavaca LB2PUI9PUI5
[L] [buildIng.]2 Alta Dirección: Recursos Humanos [P][ui]6 María Tapia LB2PUI9PUI6
[L] [buildIng.]2 Alta Dirección: Recursos Humanos [P][ui]7 Roberto Llivicota LB2PUI9PUI7
194
[L] [buildIng.]2 Alta Dirección: Recursos Humanos [P][ui]8 Ing. Mercedes Carrión LB2PUI9PUI8
[L] [buildIng.]2 Alta Dirección: Recursos Humanos [P][ui]9 Alfonso Heredia LB2PUI9PUI9
[L] [buildIng.]2 Alta Dirección: Dirección y Control [SW][std] [office]8 Open Office LB2PUI9SSO8
195
[L] [buildIng.]3 Cómputo y Sistemas de
información [HW][easy]6 Teclado XP136S809443
196
[L] [buildIng.]3 Cómputo y Sistemas de
información [SW][std][av]1 Kaspersky 000100057317DD75D3
197
[L] [buildIng.]1 Compras [HW][easy]12 Teclado ZM3915301316
198
[L] [buildIng.]1 Compras [SW][std][browser]10 Firefox LB1LB1PUI8SSB10
199
información
200
información
201
información
202
información
203
información
204
información
205
información
206
información
207
[L] [buildIng.]2 Ventas [SW][std][browser]6 Firefox LB2PUI1SSB6
208
GATEWAY
209
Crédito
210
[L] [buildIng.]3 Registro de Tarjetas de
Ventas [SI] [san]3 Crédito LB3PUI11SIS3
211
[L] [buildIng.]3 Finanzas [SW][std][av]3 NOD 32 LB3PUI3SSA3
Número de Páginas: 10
212
Anexo 4
CONTROL: Frecuencia de materialización de amenazas
FRECUENCIA DE
CODIGO VULNERABILIDADES OCURRENCIA
AMENAZAS NATURALES
2
[N.2] DANOS POR AGUA Goteras
213
Instalaciones eléctricas no protegidas
[I.*] DESASTRES INDUSTRIALES 3
Carencia de protecciones físicas externas a las edificaciones
[I.7] CONDICIONES INADECUADAS Falta de condiciones ambientales apropiadas para protección de los
2
DE TEMPERATURA Y/O HUMEDAD equipos
214
No disponer de un ISP adicional
215
Falta de plantillas de registro
[E.3] ERRORES DE
Falta de mecanismos de monitoreo 1
MONITORIZACION (LOG)
216
Falta de motivación al personal
[E.16] INTRODUCCION DE 2
INFORMACIÓN INCORRECTA Sobrecarga de trabajo al personal
217
[E.18] DESTRUCCION DE LA
Falta de plan de respaldos de información critica 2
INFORMACIÓN
218
HARDWARE
Falta de plan de gestión y control de recursos vs requerimientos
[A.4] MANIPULACION DE LA
3
CONFIGURACIÓN
Políticas incorrectas sobre el uso de passwords y protección de los
equipos de comunicación
219
Carencia de control en envío y recepción de mensajes
220
Falta de políticas de protección al equipo de TI
221
INFORMACIÓN externos
[A.22] MANIPULACION DE
3
PROGRAMAS
222
Uso complicado de interfaces
223
[A.29] EXTORSION Falta de motivación al personal 1
224
Anexo 5
CONTROL: Valoración de amenazas
225
MARIA TAPIA [HW][peripheral][print]1 2 1 1 1
TANIA FLORES [HW][peripheral][print]9 2 1 1 1
TANIA FLORES [SI] [san]1 2 1 3 2
TANIA FLORES [SW][std][app]1 2 2 2 2
TANIA FLORES [SW][std][av]3 2 1 1 1
TANIA FLORES [SW][std][browser]13 2 1 1 1
MARIA TAPIA [SW][std][browser]14 2 1 1 1
MARIA TAPIA [SW][std][office]1 3 1 1 2
TANIA FLORES [SW][std][office]3 1 1 1 1
TANIA FLORES [SW][std][office]4 3 1 1 2
TANIA FLORES [SW][std][os]12 5 4 1 3
TANIA FLORES [SW][std][os]2 1 3 1 2
TANIA HEREDIA [COM][VPN]1 2 2 2 2
TANIA HEREDIA [SW][std][www]1 4 4 5 4
ING. MARCOS ORELLANA, ING. KATTY CABRERA [Aux] [cabling]1 5 4 4 4
ING. MARCOS ORELLANA, ING. KATTY CABRERA [AUX] [furniture]1 2 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [AUX] [furniture]2 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [AUX] [furniture]4 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [AUX] [furniture]5 2 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [AUX][UPS]1 3 3 3 3
ING. MARCOS ORELLANA, ING. KATTY CABRERA [COM] [Internet] 3 2 2 2
ING. MARCOS ORELLANA, ING. KATTY CABRERA [COM] [PSTN]1 2 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [COM] [radio]1 2 2 2 2
ING. MARCOS ORELLANA, ING. KATTY CABRERA [COM] [radio]2 3 2 2 2
ING. MARCOS ORELLANA, ING. KATTY CABRERA [COM] [radio]3 3 2 2 2
ING. MARCOS ORELLANA, ING. KATTY CABRERA [COM][LAN]1 5 4 4 4
226
ING. MARCOS ORELLANA, ING. KATTY CABRERA [COM][pp]1 2 2 2 2
ING. MARCOS ORELLANA, ING. KATTY CABRERA [COM][sat]1 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [D] [conf]1 4 4 4 4
ING. MARCOS ORELLANA, ING. KATTY CABRERA [D] [exe]1 3 4 4 4
ING. MARCOS ORELLANA, ING. KATTY CABRERA [D] [exe]2 3 3 3 3
ING. MARCOS ORELLANA, ING. KATTY CABRERA [D] [test]1 2 2 2 2
ING. MARCOS ORELLANA, ING. KATTY CABRERA [D] [voice]1 1 2 2 2
ING. MARCOS ORELLANA, ING. KATTY CABRERA [D] [vr]1 5 5 5 5
ING. MARCOS ORELLANA [HW][easy]16 1 1 1 1
ING. MARCOS ORELLANA [HW][easy]17 1 1 1 1
ING. KATTY CABRERA [HW][easy]6 1 1 1 1
ING. KATTY CABRERA [HW][easy]7 1 1 1 1
ING. KATTY CABRERA [HW][easy]8 1 1 1 1
ING. KATTY CABRERA [HW][easy]9 1 1 1 1
ING. KATTY CABRERA [HW][mid]1 1 1 1 1
ING. KATTY CABRERA [HW][mid]2 1 1 1 1
ING. MARCOS ORELLANA [HW][mid]5 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW][network][firewall]1 3 2 2 2
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW][network][Switch]1 4 3 3 3
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW][network][Switch]2 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW][network][Switch]3 3 3 3 3
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW][network][Switch]4 4 4 4 4
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW][network][Switch]5 2 2 2 2
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW][network][wap]1 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW][network][wap]2 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW][network][wap]3 1 1 2 1
227
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW][network][wap]4 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW][network][wap]5 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW][network][wap]6 2 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW][pc] 12 1 2 2 2
ING. KATTY CABRERA [HW][pc] 13 2 1 1 1
ING. KATTY CABRERA [HW][pc] 14 1 1 1 1
ING. KATTY CABRERA [HW][pc] 7 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW][peripheral][print]10 1 1 1 1
ING. MARCOS ORELLANA [HW][peripheral][print]13 1 1 1 1
ING. MARCOS ORELLANA [HW][peripheral][print]2 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW][peripherial][print]14 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW}[host]1 2 2 2 2
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW}[host]2 5 5 5 5
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW}[host]3 5 5 5 5
ING. MARCOS ORELLANA, ING. KATTY CABRERA [HW}[host]4 5 5 5 5
ING. MARCOS ORELLANA, ING. KATTY CABRERA [S][email]1 2 2 3 2
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SI] [cd]1 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SI] [dvd]1 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][app]2 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][app]3 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][app]4 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][app]5 2 2 2 2
ING. KATTY CABRERA [SW][std][av]1 2 1 1 1
ING. MARCOS ORELLANA [SW][std][browser]1 2 1 1 1
ING. KATTY CABRERA [SW][std][browser]7 2 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][dbms]1 5 5 5 5
228
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][dbms]2 2 2 2 2
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][dbms]3 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][dbms]4 2 2 2 2
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][dbms]5 5 5 5 5
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][dbms]6 4 4 4 4
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][email_client]1 2 2 3 2
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][file]1 1 1 1 1
ING. KATTY CABRERA [SW][std][office]2 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][os]1 1 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][os]10 2 1 1 1
ING. KATTY CABRERA [SW][std][os]11 2 1 1 1
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][os]14 5 5 5 5
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][os]15 5 5 5 5
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][os]16 5 5 5 5
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][os]19 2 2 3 2
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][sub]1 3 3 4 3
ING. MARCOS ORELLANA, ING. KATTY CABRERA [SW][std][ts]1 3 3 3 3
ALFONSO HEREDIA [HW][easy]1 3 1 1 2
ALFONSO HEREDIA [HW][easy]2 2 2 2 2
ALFONSO HEREDIA [HW][easy]3 2 2 2 2
ALFONSO HEREDIA [HW][pc] 16 2 2 2 2
ALFONSO HEREDIA [HW][peripheral][print]3 1 1 1 1
ALFONSO HEREDIA [HW][peripheral][print]4 2 2 2 2
ALFONSO HEREDIA [L] [buildIng.]2 5 3 5 4
ALFONSO HEREDIA [P][sub]1 1 2 1 1
ALFONSO HEREDIA [P][sub]2 1 2 1 1
229
ALFONSO HEREDIA [P][ue]1 1 2 1 1
ALFONSO HEREDIA [P][ue]2 1 2 1 1
ALFONSO HEREDIA [P][ue]3 1 2 1 1
ALFONSO HEREDIA [P][ui]1 1 2 2 2
ALFONSO HEREDIA [P][ui]10 2 2 2 2
ALFONSO HEREDIA [P][ui]11 1 2 1 1
ALFONSO HEREDIA [P][ui]2 1 2 1 1
ALFONSO HEREDIA [P][ui]3 2 2 2 2
ALFONSO HEREDIA [P][ui]4 1 2 2 2
ALFONSO HEREDIA [P][ui]5 2 2 2 2
ALFONSO HEREDIA [P][ui]6 2 2 2 2
ALFONSO HEREDIA [P][ui]7 1 2 1 1
ALFONSO HEREDIA [P][ui]8 2 2 2 2
ALFONSO HEREDIA [P][ui]9 2 2 2 2
ALFONSO HEREDIA [SW][std] [office]8 2 2 2 2
ALFONSO HEREDIA [SW][std][browser]5 2 1 1 1
ALFONSO HEREDIA [SW][std][os]18 2 2 2 2
LUIS AYAVACA [HW][easy]22 1 1 1 1
LUIS AYAVACA [HW][easy]23 1 1 1 1
LUIS AYAVACA [HW][mid]8 3 1 1 2
LUIS AYAVACA [HW][pc] 8 3 1 1 2
LUIS AYAVACA [SW][std][browser]4 2 1 1 1
LUIS AYAVACA [SW][std][office]10 1 1 1 1
LUIS AYAVACA [SW][std][os]7 3 1 1 2
ING. MERCEDES CARRION [D] [com]1 1 1 3 2
ING. MERCEDES CARRION [D] [int]4 1 3 2 2
230
ING. MERCEDES CARRION [D] [int]5 2 1 3 2
ING. MERCEDES CARRION [D] [int]6 4 4 4 4
ING. MERCEDES CARRION [HW][data]4 3 4 4 4
ING. MERCEDES CARRION [HW][data]5 3 4 4 4
ING. MERCEDES CARRION [HW][easy]10 3 1 1 2
ING. MERCEDES CARRION [HW][easy]11 3 1 1 2
ING. MERCEDES CARRION [HW][easy]12 3 1 1 2
ING. MERCEDES CARRION [HW][easy]13 3 1 1 2
ING. MERCEDES CARRION [HW][easy]14 3 1 1 2
ING. MERCEDES CARRION [HW][easy]15 3 1 1 2
ING. MERCEDES CARRION [HW][mid]3 3 1 1 2
ING. MERCEDES CARRION [HW][mid]4 3 1 1 2
ING. MERCEDES CARRION [HW][pc] 1 4 4 4 4
ING. MERCEDES CARRION [HW][pc] 2 1 1 1 1
ING. MERCEDES CARRION [HW][pc] 4 4 1 2 2
ING. MERCEDES CARRION [HW][peripheral][print]6 4 4 4 4
ING. MERCEDES CARRION [HW][peripheral][print]7 4 5 5 5
ING. MERCEDES CARRION [HW][peripheral][print]8 4 4 4 4
ING. MERCEDES CARRION [SW][std][av]4 2 1 1 1
ING. MERCEDES CARRION [SW][std][av]5 2 1 1 1
ING. MERCEDES CARRION [SW][std][av]6 2 1 1 1
ING. MERCEDES CARRION [SW][std][browser]10 2 1 1 1
ING. MERCEDES CARRION [SW][std][browser]8 2 1 1 1
ING. MERCEDES CARRION [SW][std][browser]9 2 1 1 1
ING. MERCEDES CARRION [SW][std][office]5 4 1 1 2
ING. MERCEDES CARRION [SW][std][office]6 1 1 1 1
231
ING. MERCEDES CARRION [SW][std][office]7 2 3 3 3
ING. MERCEDES CARRION [SW][std][os]17 1 1 1 1
ING. MERCEDES CARRION [SW][std][os]20 4 1 2 2
ING. MERCEDES CARRION [SW][std][os]9 4 4 4 4
ROSANA JARA [D] [com]2 4 5 4 4
ROSANA JARA [D] [int]1 1 5 5 4
ROSANA JARA [D] [int]7 3 3 1 2
ROSANA JARA [HW][data]1 4 4 1 3
ROSANA JARA [HW][data]2 4 4 1 3
MARIELA PAUCAR [HW][data]3 4 4 1 3
JULIA ORELLANA [HW][easy]18 1 1 1 1
JULIA ORELLANA [HW][easy]19 1 1 1 1
JULIA ORELLANA [HW][easy]20 1 1 1 1
JULIA ORELLANA [HW][easy]21 1 1 1 1
MARIELA PAUCAR [HW][easy]25 1 1 1 1
MARIELA PAUCAR [HW][easy]26 1 1 1 1
ROSANA JARA [HW][easy]27 4 1 1 2
ROSANA JARA [HW][easy]28 2 1 1 1
ROSANA JARA [HW][easy]29 4 1 1 2
ROSANA JARA [HW][easy]30 2 1 1 1
ROSANA JARA [HW][mid]10 4 4 1 3
ROSANA JARA [HW][mid]11 1 1 1 1
JULIA ORELLANA [HW][mid]6 1 1 1 1
JULIA ORELLANA [HW][mid]7 1 1 1 1
MARIELA PAUCAR [HW][mid]9 1 1 1 1
ROSANA JARA [HW][pc] 10 3 4 2 3
232
ROSANA JARA [HW][pc] 11 4 1 1 2
JULIA ORELLANA [HW][pc] 17 2 1 1 1
JULIA ORELLANA [HW][pc] 3 1 1 1 1
MARIELA PAUCAR [HW][pc] 5 1 1 1 1
ROSANA JARA [HW][peripheral][print]11 5 1 1 2
ROSANA JARA [HW][peripheral][print]12 5 4 1 3
MARIELA PAUCAR [HW][peripheral][print]5 4 3 3 3
JULIA ORELLANA [HW][peripherial][print]15 4 3 2 3
ROSANA JARA [SI] [san]2 3 3 1 2
ROSANA JARA [SI] [san]3 3 3 1 2
JULIA ORELLANA [SW][std][av]7 2 1 1 1
ROSANA JARA [SW][std][browser]12 2 1 1 1
JULIA ORELLANA [SW][std][browser]2 2 1 1 1
MARIELA PAUCAR [SW][std][browser]3 2 1 1 1
JULIA ORELLANA [SW][std][browser]6 2 1 1 1
MARIELA PAUCAR [SW][std][office]11 2 1 1 1
JULIA ORELLANA [SW][std][office]9 1 1 1 1
ROSANA JARA [SW][std][os]13 4 1 1 2
JULIA ORELLANA [SW][std][os]3 2 1 1 1
MARIELA PAUCAR [SW][std][os]5 1 1 1 1
ROSANA JARA [SW][std][os]6 3 4 2 3
JULIA ORELLANA [SW][std][os]8 1 1 1 1
ARQ MAURICIO HEREDIA [HW][easy]4 1 1 1 1
ARQ MAURICIO HEREDIA [HW][easy]5 1 1 1 1
ARQ MAURICIO HEREDIA [HW][pc] 9 1 1 2 1
ARQ MAURICIO HEREDIA [L] [buildIng.]1 4 2 1 2
233
ARQ MAURICIO HEREDIA [L] [buildIng.]3 5 5 2 4
ARQ MAURICIO HEREDIA [SW][std][av]2 2 1 1 1
ARQ MAURICIO HEREDIA [SW][std][browser]11 2 1 1 1
ARQ MAURICIO HEREDIA [SW][std][os]4 1 1 2 1
234
Anexo 6
MATRIZ DE
RIESGOS
235
[A.11]
[A.13]
[A.14]
[A.15]
[A.16]
[A.17]
[A.18]
[A.19]
[A.22]
[A.24]
[A.25]
[A.26]
[A.28]
[A.29]
[A.30]
Amen
[E.14]
[E.16]
[E.17]
[E.18]
[E.19]
[E.20]
[E.21]
[E.23]
[E.24]
[E.28]
[I.10]
[N.1]
[N.2]
[A.4]
[A.5]
[A.6]
[A.7]
[A.8]
[E.1]
[E.2]
[E.3]
[E.4]
[E.7]
[E.8]
[I.1]
[I.2]
[I.*]
[I.3]
[I.5]
[I.6]
[I.7]
[I.8]
[I.9]
aza
Fr act
Im
ec o
p
ue
nc
ia
Proceso Activo 1 2 2 2 3 3 2 3 2 3 2 2 3 3 1 2 2 2 3 2 2 2 3 3 3 3 3 3 4 2 3 3 3 3 2 3 3 2 2 2 2 3 3 2 2 3 1 3
AC:B [HW][easy]22 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AC:B [HW][easy]23 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AC:B [HW][mid]8 2 2 3 3 3 5 5 3 5 3 5 3 5 5 7 5 5 5 3 3
AC:B [HW][pc] 8 2 2 3 3 3 5 5 3 5 3 5 3 5 5 7 5 5 5 3 3
AC:B [SW][std][browser]4 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AC:B [SW][std][office]10 1 2 3 3 1 2 2 3 3 3 3 4 2 3 3 3 3
AC:B [SW][std][os]7 2 3 5 5 2 3 3 5 5 5 5 7 3 5 5 5 5
AI:TI [D] [vr]1 5 15 15 5 10 15 10 10 10 15 20 15 15 10
AC:V [D] [int]1 4 11 11 4 7 11 7 7 7 11 15 11 11 7
AC:V [D] [int]7 2 7 7 2 5 7 5 5 5 7 9 7 7 5
AC:V [HW][data]1 3 3 6 6 6 9 9 6 9 6 9 6 9 9 12 9 9 9 6 6
AC:V [HW][data]2 3 3 6 6 6 9 9 6 9 6 9 6 9 9 12 9 9 9 6 6
AC:V [HW][data]3 3 3 6 6 6 9 9 6 9 6 9 6 9 9 12 9 9 9 6 6
AC:V [HW][easy]18 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AC:V [HW][easy]19 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AC:V [HW][easy]20 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AC:V [HW][easy]21 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AC:V [HW][easy]25 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AC:V [HW][easy]26 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AC:V [HW][easy]27 2 2 4 4 4 6 6 4 6 4 6 4 6 6 8 6 6 6 4 4
AC:V [HW][easy]28 1 1 3 3 3 4 4 3 4 3 4 3 4 4 5 4 4 4 3 3
AC:V [HW][easy]29 2 2 4 4 4 6 6 4 6 4 6 4 6 6 8 6 6 6 4 4
AC:V [HW][easy]30 1 1 3 3 3 4 4 3 4 3 4 3 4 4 5 4 4 4 3 3
AC:V [HW][mid]10 3 3 6 6 6 9 9 6 9 6 9 6 9 9 12 9 9 9 6 6
AC:V [HW][mid]11 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AC:V [HW][mid]6 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AC:V [HW][mid]7 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AC:V [HW][mid]9 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AC:V [HW][pc] 10 3 3 6 6 6 9 9 6 9 6 9 6 9 9 12 9 9 9 6 6
AC:V [HW][pc] 11 2 2 4 4 4 6 6 4 6 4 6 4 6 6 8 6 6 6 4 4
AC:V [HW][pc] 17 1 1 3 3 3 4 4 3 4 3 4 3 4 4 5 4 4 4 3 3
AC:V [HW][pc] 3 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AC:V [HW][pc] 5 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AC:V [HW][peripheral][print]11 2 2 5 5 5 7 7 5 7 5 7 5 7 7 9 7 7 7 5 5
AC:V [HW][peripheral][print]12 3 3 7 7 7 10 10 7 10 7 10 7 10 10 13 10 10 10 7 7
AC:V [HW][peripheral][print]5 3 3 7 7 7 10 10 7 10 7 10 7 10 10 13 10 10 10 7 7
AC:V [HW][peripherial][print]15 3 3 6 6 6 9 9 6 9 6 9 6 9 9 12 9 9 9 6 6
AC:V [SI] [san]2 2 2 5 5 5 7 7 5 7 5 5 5 5
AC:V [SI] [san]3 2 2 5 5 5 7 7 5 7 5 5 5 5
AC:V [SW][std][av]7 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AC:V [SW][std][browser]12 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AC:V [SW][std][browser]2 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AC:V [SW][std][browser]3 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AC:V [SW][std][browser]6 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AC:V [SW][std][office]11 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AC:V [SW][std][office]9 1 2 3 3 1 2 2 3 3 3 3 4 2 3 3 3 3
AC:V [SW][std][os]13 2 4 6 6 2 4 4 6 6 6 6 8 4 6 6 6 6
AC:V [SW][std][os]3 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AC:V [SW][std][os]5 1 2 3 3 1 2 2 3 3 3 3 4 2 3 3 3 3
AC:V [SW][std][os]6 3 6 9 9 3 6 6 9 9 9 9 12 6 9 9 9 9
AC:V [SW][std][os]8 1 2 3 3 1 2 2 3 3 3 3 4 2 3 3 3 3
AD:D [HW][easy]1 2 2 3 3 3 5 5 3 5 3 5 3 5 5 7 5 5 5 3 3
AD:D [HW][easy]2 2 2 4 4 4 6 6 4 6 4 6 4 6 6 8 6 6 6 4 4
AD:D [HW][easy]3 2 2 4 4 4 6 6 4 6 4 6 4 6 6 8 6 6 6 4 4
AD:D [HW][pc] 16 2 2 4 4 4 6 6 4 6 4 6 4 6 6 8 6 6 6 4 4
AD:D [HW][peripheral][print]3 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AD:D [HW][peripheral][print]4 2 2 4 4 4 6 6 4 6 4 6 4 6 6 8 6 6 6 4 4
AD:D [L] [building]2 4 4 9 9 9 13
AD:D [P][sub]1 1 3 4 4 1 4
AD:D [P][sub]2 1 3 4 4 1 4
AD:D [P][ue]1 1 3 4 4 1 4
AD:D [P][ue]2 1 3 4 4 1 4
AD:D [P][ue]3 1 3 4 4 1 4
AD:D [P][ui]1 2 3 5 5 2 5
AD:D [P][ui]10 2 4 6 6 2 6
AD:D [P][ui]11 1 3 4 4 1 4
AD:D [P][ui]2 1 3 4 4 1 4
AD:D [P][ui]3 2 4 6 6 2 6
AD:D [P][ui]4 2 3 5 5 2 5
AD:D [P][ui]5 2 4 6 6 2 6
AD:D [P][ui]6 2 4 6 6 2 6
AD:D [P][ui]7 1 3 4 4 1 4
AD:D [P][ui]8 2 4 6 6 2 6
AD:D [P][ui]9 2 4 6 6 2 6
AD:D [SW][std] [office]8 2 4 6 6 2 4 4 6 6 6 6 8 4 6 6 6 6
AD:D [SW][std][browser]5 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AD:D [SW][std][os]18 2 4 6 6 2 4 4 6 6 6 6 8 4 6 6 6 6
AD:G [HW][easy]4 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AD:G [HW][easy]5 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AD:G [HW][pc] 9 1 1 3 3 3 4 4 3 4 3 4 3 4 4 5 4 4 4 3 3
AD:G [L] [building]1 2 2 5 5 5 7
AD:G [L] [building]3 4 4 8 8 8 12
AD:G [SW][std][av]2 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AD:G [SW][std][browser]11 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AD:G [SW][std][os]4 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AD:P [COM][VPN]1 2 2 4 4 4 6 6 4 6 4 6 4 6 4 6 6 8 4 6 6 6 4 4
AI:TI [HW}[host]2 5 5 10 10 10 15 15 10 15 10 15 10 15 15 20 15 15 15 10 10
AI:C [D] [com]1 2 3 3 5 5 2 3 5 3 3 3 5 7 5 5 3
AI:C [D] [int]4 2 6 6 2 4 6 4 4 4 6 8 6 6 4
AI:C [D] [int]5 2 6 6 2 4 6 4 4 4 6 8 6 6 4
AI:TI [HW}[host]3 5 5 10 10 10 15 15 10 15 10 15 10 15 15 20 15 15 15 10 10
AI:C [HW][data]4 4 4 7 7 7 11 11 7 11 7 11 7 11 11 15 11 11 11 7 7
AI:C [HW][data]5 4 4 7 7 7 11 11 7 11 7 11 7 11 11 15 11 11 11 7 7
AI:C [HW][easy]10 2 2 3 3 3 5 5 3 5 3 5 3 5 5 7 5 5 5 3 3
AI:C [HW][easy]11 2 2 3 3 3 5 5 3 5 3 5 3 5 5 7 5 5 5 3 3
AI:C [HW][easy]12 2 2 3 3 3 5 5 3 5 3 5 3 5 5 7 5 5 5 3 3
AI:C [HW][easy]13 2 2 3 3 3 5 5 3 5 3 5 3 5 5 7 5 5 5 3 3
AI:C [HW][easy]14 2 2 3 3 3 5 5 3 5 3 5 3 5 5 7 5 5 5 3 3
AI:C [HW][easy]15 2 2 3 3 3 5 5 3 5 3 5 3 5 5 7 5 5 5 3 3
AI:C [HW][mid]3 2 2 3 3 3 5 5 3 5 3 5 3 5 5 7 5 5 5 3 3
AI:C [HW][mid]4 2 2 3 3 3 5 5 3 5 3 5 3 5 5 7 5 5 5 3 3
AI:TI [HW}[host]4 5 5 10 10 10 15 15 10 15 10 15 10 15 15 20 15 15 15 10 10
AI:C [HW][pc] 2 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:C [HW][pc] 4 2 2 5 5 5 7 7 5 7 5 7 5 7 7 9 7 7 7 5 5
AI:TI [SW][std][dbms]1 5 10 15 15 5 10 10 15 15 15 15 20 10 15 15 15 15
AI:TI [SW][std][dbms]5 5 10 15 15 5 10 10 15 15 15 15 20 15 15 15
AI:TI [SW][std][os]14 5 10 15 15 5 10 10 15 15 15 15 20 10 15 15 15 15
AI:C [SW][std][av]4 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AI:C [SW][std][av]5 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AI:C [SW][std][av]6 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AI:C [SW][std][browser]10 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AI:C [SW][std][browser]8 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AI:C [SW][std][browser]9 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AI:C [SW][std][office]5 2 4 6 6 2 4 4 6 6 6 6 8 4 6 6 6 6
AI:C [SW][std][office]6 1 2 3 3 1 2 2 3 3 3 3 4 2 3 3 3 3
AI:C [SW][std][office]7 3 5 8 8 3 5 5 8 8 8 8 11 5 8 8 8 8
AI:C [SW][std][os]17 1 2 3 3 1 2 2 3 3 3 3 4 2 3 3 3 3
AI:C [SW][std][os]20 2 5 7 7 2 5 5 7 7 7 7 9 5 7 7 7 7
AI:TI [SW][std][os]15 5 10 15 15 5 10 10 15 15 15 15 20 10 15 15 15 15
AI:F [AUX] [supply]1 2 5 5 7 5 7 5 5 5 5
AI:F [AUX][supply]3 2 5 5 7 5 7 5 5 5 5
AI:F [D] [adm]1 1 4 4 1 3 4 3 3 3 4 5 4 4 3
AI:F [D] [int]2 2 7 7 2 5 7 5 5 5 7 9 7 7 5
AI:F [D] [int]3 4 11 11 4 7 11 7 7 7 11 15 11 11 7
AI:F [HW] [peripheral][scan]1 1 1 3 3 3 4 4 3 4 3 4 3 4 4 5 4 4 4 3 3
AI:F [HW][easy]24 2 2 3 3 3 5 5 3 5 3 5 3 5 5 7 5 5 5 3 3
AI:F [HW][easy]31 2 2 4 4 4 6 6 4 6 4 6 4 6 6 8 6 6 6 4 4
AI:F [HW][mid]12 2 2 3 3 3 5 5 3 5 3 5 3 5 5 7 5 5 5 3 3
AI:F [HW][pc] 15 3 3 7 7 7 10 10 7 10 7 10 7 10 10 13 10 10 10 7 7
AI:F [HW][pc] 6 2 2 3 3 3 5 5 3 5 3 5 3 5 5 7 5 5 5 3 3
AI:F [HW][peripheral][print]1 1 1 3 3 3 4 4 3 4 3 4 3 4 4 5 4 4 4 3 3
AI:F [HW][peripheral][print]9 1 1 3 3 3 4 4 3 4 3 4 3 4 4 5 4 4 4 3 3
AI:F [SI] [san]1 2 2 4 4 4 6 6 4 6 4 4 4 4
AI:F [SW][std][app]1 2 4 6 6 2 4 4 6 6 6 6 8 4 6 6 6 6
AI:F [SW][std][av]3 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AI:F [SW][std][browser]13 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AI:F [SW][std][browser]14 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AI:F [SW][std][office]1 2 3 5 5 2 3 3 5 5 5 5 7 3 5 5 5 5
AI:F [SW][std][office]3 1 2 3 3 1 2 2 3 3 3 3 4 2 3 3 3 3
AI:F [SW][std][office]4 2 3 5 5 2 3 3 5 5 5 5 7 3 5 5 5 5
AI:F [SW][std][os]12 3 7 10 10 3 7 7 10 10 10 10 13 7 10 10 10 10
AI:F [SW][std][os]2 2 3 5 5 2 3 3 5 5 5 5 7 3 5 5 5 5
AI:TI [Aux] [cabling]1 4 9 9 13 9 13 9 9 9 9
AI:TI [AUX] [furniture]1 1 3 3 4 3 4 3 3 3 3
AI:TI [AUX] [furniture]2 1 2 2 3 2 3 2 2 2 2
AI:TI [AUX] [furniture]4 1 2 2 3 2 3 2 2 2 2
AI:TI [AUX] [furniture]5 1 3 3 4 3 4 3 3 3 3
AI:TI [AUX][UPS]1 3 6 6 9 6 9 6 6 6 6
AI:TI [COM] [Internet] 2 2 5 5 5 7 7 5 7 5 7 5 7 5 7 7 9 5 7 7 7 5 5
AI:TI [COM] [PSTN]1 1 1 3 3 3 4 4 3 4 3 4 3 4 3 4 4 5 3 4 4 4 3 3
AI:TI [COM] [radio]1 2 2 4 4 4 6 6 4 6 4 6 4 6 4 6 6 8 4 6 6 6 4 4
AI:TI [COM] [radio]2 2 2 5 5 5 7 7 5 7 5 7 5 7 5 7 7 9 5 7 7 7 5 5
AI:TI [COM] [radio]3 2 2 5 5 5 7 7 5 7 5 7 5 7 5 7 7 9 5 7 7 7 5 5
AI:TI [SW][std][os]16 5 10 15 15 5 10 10 15 15 15 15 20 10 15 15 15 15
AI:TI [COM][pp]1 2 2 4 4 4 6 6 4 6 4 6 4 6 4 6 6 8 4 6 6 6 4 4
AI:TI [COM][sat]1 1 1 2 2 2 3 3 2 3 2 3 2 3 2 3 3 4 2 3 3 3 2 2
AI:C [HW][peripheral][print]7 5 5 9 9 9 14 14 9 14 9 14 9 14 14 19 14 14 14 9 9
AI:TI [D] [exe]1 4 11 11 4 7 11 7 7 7 11 15 11 11 7
AI:TI [D] [exe]2 3 9 9 3 6 9 6 6 6 9 12 9 9 6
AI:TI [D] [test]1 2 6 6 2 4 4 4 4 6 8 6 6 4
AI:TI [D] [voice]1 2 5 5 2 3 5 3 3 3 5 7 5 5 3
AC:V [D] [com]2 4 9 9 13 13 4 9 13 9 9 9 13 17 13 13 9
AI:TI [HW][easy]16 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][easy]17 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][easy]6 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][easy]7 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][easy]8 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][easy]9 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][mid]1 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][mid]2 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][mid]5 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][network][firewall]1 2 2 5 5 5 7 7 5 7 5 7 5 7 7 9 7 7 7 5 5
AI:TI [HW][network][Switch]1 3 3 7 7 7 10 10 7 10 7 10 7 10 10 13 10 10 10 7 7
AI:TI [HW][network][Switch]2 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][network][Switch]3 3 3 6 6 6 9 9 6 9 6 9 6 9 9 12 9 9 9 6 6
AD:P [SW][std][www]1 4 9 13 13 4 9 9 13 13 13 13 17 9 13 13 13 13
AI:TI [HW][network][Switch]5 2 2 4 4 4 6 6 4 6 4 6 4 6 6 8 6 6 6 4 4
AI:TI [HW][network][wap]1 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][network][wap]2 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][network][wap]3 1 1 3 3 3 4 4 3 4 3 4 3 4 4 5 4 4 4 3 3
AI:TI [HW][network][wap]4 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][network][wap]5 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][network][wap]6 1 1 3 3 3 4 4 3 4 3 4 3 4 4 5 4 4 4 3 3
AI:TI [HW][pc] 12 2 2 3 3 3 5 5 3 5 3 5 3 5 5 7 5 5 5 3 3
AI:TI [HW][pc] 13 1 1 3 3 3 4 4 3 4 3 4 3 4 4 5 4 4 4 3 3
AI:TI [HW][pc] 14 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][pc] 7 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][peripheral][print]10 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][peripheral][print]13 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][peripheral][print]2 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW][peripherial][print]14 1 1 2 2 2 3 3 2 3 2 3 2 3 3 4 3 3 3 2 2
AI:TI [HW}[host]1 2 2 4 4 4 6 6 4 6 4 6 4 6 6 8 6 6 6 4 4
AI:TI [COM][LAN]1 4 9 9 13 9 13 9 13 9 13 9 13 13 17 9 13 13 13 9 9
AI:C [D] [int]6 4 12 12 4 8 12 8 8 8 12 16 12 12 8
AI:C [HW][pc] 1 4 4 8 8 8 12 12 8 12 8 12 8 12 12 16 12 12 12 8 8
AI:TI [S][email]1 2 7 7 2 5 9 5 7 5 7
AI:TI [SI] [cd]1 1 1 2 2 2 3 3 2 3 2 2 2 2
AI:TI [SI] [dvd]1 1 1 2 2 2 3 3 2 3 2 2 2 2
AI:TI [SW][std][app]2 1 2 3 3 1 2 2 3 3 3 3 4 2 3 3 3 3
AI:TI [SW][std][app]3 1 2 3 3 1 2 2 3 3 3 3 4 2 3 3 3 3
AI:TI [SW][std][app]4 1 2 3 3 1 2 2 3 3 3 3 4 2 3 3 3 3
AI:TI [SW][std][app]5 2 4 6 6 2 4 4 6 6 6 6 8 4 6 6 6 6
AI:TI [SW][std][av]1 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AI:TI [SW][std][browser]1 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AI:TI [SW][std][browser]7 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AI:C [HW][peripheral][print]6 4 4 8 8 8 12 12 8 12 8 12 8 12 12 16 12 12 12 8 8
AI:TI [SW][std][dbms]2 2 4 6 6 2 4 4 6 6 6 6 8 4 6 6 6 6
AI:TI [SW][std][dbms]3 1 2 3 3 1 2 2 3 3 3 3 4 2 3 3 3 3
AI:TI [SW][std][dbms]4 2 4 6 6 2 4 4 6 6 6 6 8 4 6 6 6 6
AI:C [HW][peripheral][print]8 4 4 8 8 8 12 12 8 12 8 12 8 12 12 16 12 12 12 8 8
AI:C [SW][std][os]9 4 8 12 12 4 8 8 12 12 12 12 16 8 12 12 12 12
AI:TI [SW][std][email_client]1 2 5 7 7 2 5 5 7 7 7 7 9 5 7 7 7 7
AI:TI [SW][std][file]1 1 2 3 3 1 2 2 3 3 3 3 4 2 3 3 3 3
AI:TI [SW][std][office]2 1 2 3 3 1 2 2 3 3 3 3 4 2 3 3 3 3
AI:TI [SW][std][os]1 1 2 3 3 1 2 2 3 3 3 3 4 2 3 3 3 3
AI:TI [SW][std][os]10 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AI:TI [SW][std][os]11 1 3 4 4 1 3 3 4 4 4 4 5 3 4 4 4 4
AI:TI [D] [conf]1 4 12 12 4 8 12 8 8 8 12 16 12 12 8
AI:TI [HW][network][Switch]4 4 4 8 8 8 12 12 8 12 8 12 8 12 12 16 12 12 12 8 8
AI:TI [SW][std][dbms]6 4 8 12 12 4 8 8 12 12 12 12 16 8 12 12 12 12
AI:TI [SW][std][os]19 2 5 7 7 2 5 5 7 7 7 7 9 5 7 7 7 7
AI:TI [SW][std][sub]1 3 7 10 10 3 7 7 10 10 10 10 13 7 10 10 10 10
AI:TI [SW][std][ts]1 3 6 9 9 3 6 6 9 9 9 9 12 6 9 9 9 9
236
Anexo 7
Revisado por:
Aprobado por:
237
Anexo 8
DEPENDENCIA ENTRE
ACTIVOS
238
[HW][peripherial][print]14
[HW][peripherial][print]15
[HW][peripheral][print]10
[HW][peripheral][print]11
[HW][peripheral][print]12
[HW][peripheral][print]13
[HW][network][Switch]1
[HW][network][Switch]2
[HW][network][Switch]3
[HW][network][Switch]4
[HW][network][Switch]5
[HW][peripheral][print]1
[HW][peripheral][print]2
[HW][peripheral][print]3
[HW][peripheral][print]4
[HW][peripheral][print]5
[HW][peripheral][print]6
[HW][peripheral][print]7
[HW][peripheral][print]8
[HW][peripheral][print]9
[HW][network][firewall]
[HW] [peripheral][scan]
[SW][std][email_client]
[HW][network][wap]1
[HW][network][wap]2
[HW][network][wap]3
[HW][network][wap]4
[HW][network][wap]5
[HW][network][wap]6
[SW][std][browser]10
[SW][std][browser]11
[SW][std][browser]12
[SW][std][browser]13
[SW][std][browser]14
[SW][std][browser]1
[SW][std][browser]2
[SW][std][browser]3
[SW][std][browser]4
[SW][std][browser]5
[SW][std][browser]6
[SW][std][browser]7
[SW][std][browser]8
[SW][std][browser]9
[SW][std][office]10
[SW][std][office]11
[SW][std] [office]8
[AUX] [furniture]1
[AUX] [furniture]2
[AUX] [furniture]4
[AUX] [furniture]5
[SW][std][dbms]1
[SW][std][dbms]2
[SW][std][dbms]3
[SW][std][dbms]4
[SW][std][dbms]5
[SW][std][dbms]6
[SW][std][office]1
[SW][std][office]2
[SW][std][office]3
[SW][std][office]4
[SW][std][office]5
[SW][std][office]6
[SW][std][office]7
[SW][std][office]9
[COM] [Internet]
[SW][std][www]
[SW][std][app]1
[SW][std][app]2
[SW][std][app]3
[SW][std][app]4
[SW][std][app]5
[SW][std][os]10
[SW][std][os]11
[SW][std][os]12
[SW][std][os]13
[SW][std][os]14
[SW][std][os]15
[SW][std][os]16
[SW][std][os]17
[SW][std][os]18
[SW][std][os]19
[SW][std][os]20
[SW][std][sub]1
[AUX] [supply]1
[AUX][supply]3
[SW][std][file]1
[SW][std] [av]4
Dependencias
[COM] [radio]1
[COM] [radio]2
[COM] [radio]3
[SW][std][av]1
[SW][std][av]2
[SW][std][av]3
[SW][std][av]5
[SW][std][av]6
[SW][std][av]7
[SW][std][os]1
[SW][std][os]2
[SW][std][os]3
[SW][std][os]4
[SW][std][os]5
[SW][std][os]6
[SW][std][os]7
[SW][std][os]8
[SW][std][os]9
[Aux] [cabling]
[SW][std][ts]1
[HW][easy]10
[HW][easy]11
[HW][easy]12
[HW][easy]13
[HW][easy]14
[HW][easy]15
[HW][easy]16
[HW][easy]17
[HW][easy]18
[HW][easy]19
[HW][easy]20
[HW][easy]21
[HW][easy]22
[HW][easy]23
[HW][easy]24
[HW][easy]25
[HW][easy]26
[HW][easy]27
[HW][easy]28
[HW][easy]29
[HW][easy]30
[HW][easy]31
[L] [building]1
[L] [building]2
[L] [building]3
[COM] [PSTN]
[HW][mid]10
[HW][mid]11
[HW][mid]12
[COM][VPN]
[HW][data]1
[HW][data]2
[HW][data]3
[HW][data]4
[HW][data]5
[HW][easy]1
[HW][easy]2
[HW][easy]3
[HW][easy]4
[HW][easy]6
[HW][easy]7
[HW][easy]8
[HW][easy]9
[HW}[host]1
[HW}[host]2
[HW}[host]3
[HW}[host]4
[COM][LAN]
[HW][pc] 10
[HW][pc] 11
[HW][pc] 12
[HW][pc] 13
[HW][pc] 14
[HW][pc] 15
[HW][pc] 16
[HW][pc] 17
[HW][mid]1
[HW][mid]2
[HW][mid]3
[HW][mid]4
[HW][mid]5
[HW][mid]6
[HW][mid]7
[HW][mid]8
[HW][mid]9
[AUX][UPS]
[COM][sat]
[D] [adm]1
[D] [conf]1
[HW][pc] 1
[HW][pc] 2
[HW][pc] 3
[HW][pc] 4
[HW][pc] 5
[HW][pc] 6
[HW][pc] 7
[HW][pc] 8
[HW][pc] 9
[COM][pp]
[D] [com]1
[D] [com]2
[SI] [san]1
[SI] [san]2
[SI] [san]3
[D] [voice]
[D] [ex e]1
[D] [ex e]2
[S][email]
[P][sub]1
[P][sub]2
[D] [int]1
[D] [int]2
[D] [int]3
[D] [int]4
[D] [int]5
[D] [int]6
[D] [int]7
[SI] [dvd]
[P][ui]10
[P][ui]11
[D] [test]
[P][ue]1
[P][ue]2
[P][ue]3
[HW][easy]5
[SI] [cd]
[P][ui]1
[P][ui]2
[P][ui]3
[P][ui]4
[P][ui]5
[P][ui]6
[P][ui]7
[P][ui]8
[P][ui]9
[D] [vr]
[Aux] [cabling] X
[AUX] [furniture]1 X
[AUX] [furniture]2 X
[AUX] [furniture]4 X
[AUX] [furniture]5 X X
[AUX] [supply]1 X
[AUX][supply]3 X
[AUX][UPS] X
[COM] [Internet] X X
[COM] [PSTN] X X
[COM] [radio]1 X
[COM] [radio]2 X X
[COM] [radio]3 X X
[COM][LAN] X X X
[COM][pp] X X X X
[COM][sat] X X
[COM][VPN] X X X
[D] [adm]1 X X
[D] [com]1 X
[D] [com]2 X
[D] [conf]1 X X
[D] [exe]1 X
[D] [exe]2 X X
[D] [int]1 X
[D] [int]2 X
[D] [int]3 X X
[D] [int]4 X
[D] [int]5 X
[D] [int]6 X X
[D] [int]7 X X
[D] [test] X X
[D] [voice] X X X
[D] [vr] X X X
[HW] [peripheral][scan] X
[HW][data]1 X
[HW][data]2 X
[HW][data]3 X
[HW][data]4 X
[HW][data]5 X
[HW][easy]1 X
[HW][easy]10 X
[HW][easy]11 X
[HW][easy]12 X
[HW][easy]13 X
[HW][easy]14 X
[HW][easy]15 X
[HW][easy]16 X
[HW][easy]17 X
[HW][easy]18 X
[HW][easy]19 X
[HW][easy]2 X
[HW][easy]20 X
[HW][easy]21 X
[HW][easy]22 X
[HW][easy]23 X
[HW][easy]24 X
[HW][easy]25 X
[HW][easy]26 X
[HW][easy]27 X
[HW][easy]28 X
[HW][easy]29 X
[HW][easy]3 X
[HW][easy]30 X
[HW][easy]31 X
[HW][easy]4 X
[HW][easy]5 X
[HW][easy]6 X
[HW][easy]7 X
[HW][easy]8 X
[HW][easy]9 X
[HW][mid]1 X
[HW][mid]10 X
[HW][mid]11 X
[HW][mid]12 X
[HW][mid]2 X
[HW][mid]3 X
[HW][mid]4 X
[HW][mid]5 X
[HW][mid]6 X
[HW][mid]7 X
[HW][mid]8 X
[HW][mid]9 X
[HW][network][firewall] X X X X X
[HW][network][Switch]1 X X X X X
[HW][network][Switch]2 X X X X X
[HW][network][Switch]3 X X X X X
[HW][network][Switch]4 X X X
[HW][network][Switch]5 X X X
[HW][network][wap]1 X X X X X X
[HW][network][wap]2 X X X X X X
[HW][network][wap]3 X X X X X X
[HW][network][wap]4 X X X X X X
[HW][network][wap]5 X X X X X X
[HW][network][wap]6 X X X X X X
[HW][pc] 1 X X X X X X X X X X
[HW][pc] 10 X X X X X X X X X
[HW][pc] 11 X X X X X X
[HW][pc] 12 X X X X
[HW][pc] 13 X X X X X X X X X X
[HW][pc] 14 X X X X X X X X
[HW][pc] 15 X X X X X X X
[HW][pc] 16 X X X X X X
[HW][pc] 17 X X X X X X
[HW][pc] 2 X X X X X X
[HW][pc] 3 X X X X X X
[HW][pc] 4 X X X X X
[HW][pc] 5 X X X X X X X
[HW][pc] 6 X X X X X X X
[HW][pc] 7 X X X X X
[HW][pc] 8 X X X X X X X
[HW][pc] 9 X X X X X X
[HW][peripheral][print]1 X X X X X
[HW][peripheral][print]10 X X
[HW][peripheral][print]11 X X X
[HW][peripheral][print]12 X X X
[HW][peripheral][print]13 X X
[HW][peripheral][print]2 X X
[HW][peripheral][print]3 X X X
[HW][peripheral][print]4 X X X X X
[HW][peripheral][print]5 X X X
[HW][peripheral][print]6 X X X
[HW][peripheral][print]7 X X X
[HW][peripheral][print]8 X X X
[HW][peripheral][print]9 X X X
[HW][peripherial][print]14 X X
[HW][peripherial][print]15 X X X
[HW}[host]1 X X X X X
[HW}[host]2 X X X X X
[HW}[host]3 X X X X X
[HW}[host]4 X X X X X
[L] [building]1 X X X X
[L] [building]2 X X X X
[L] [building]3 X X X X X X X
[P][sub]1 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
[P][sub]2 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
[P][ue]1 X X X
[P][ue]2 X X X
[P][ue]3 X X X X
[P][ui]1 X X X X X X X X X X X
[P][ui]10 X X X X X X X X X X X X
[P][ui]11 X X X X X X X X X X X X X X X X X
[P][ui]2 X X X X X X
[P][ui]3 X X X X X X X X X X
[P][ui]4 X X
[P][ui]5 X X X X X X X
[P][ui]6 X X X X X X X X
[P][ui]7 X X
[P][ui]8 X X X X X X X X X X X X X X X X X X X X X X X
[P][ui]9 X X X X X X X X X X X X X X X X X X X X X X X X X X X
[S][email] X X X X X X X X X X X X X X X
[SI] [cd] X
[SI] [dvd] X
[SI] [san]1 X X X
[SI] [san]2 X X X
[SI] [san]3 X X X
[SW][std] [av]4 X X X
[SW][std] [office]8 X X X
[SW][std][app]1 X X X X
[SW][std][app]2 X X X X X X X X X X X X X X X X X X X X X
[SW][std][app]3 X X X X X X X X X X X X X X X X X X X X X
[SW][std][app]4 X X X X X X X X X X X X X X X X X X X
[SW][std][app]5 X X X
[SW][std][av]1 X X X X
[SW][std][av]2 X X X X
[SW][std][av]3 X X X
[SW][std][av]5 X X X
[SW][std][av]6 X X X
[SW][std][av]7 X X X
[SW][std][browser]1 X X
[SW][std][browser]10 X X X X
[SW][std][browser]11 X X X X
[SW][std][browser]12 X X X X
[SW][std][browser]13 X X X X X
[SW][std][browser]14 X X X X
[SW][std][browser]2 X X X X
[SW][std][browser]3 X X X
[SW][std][browser]4 X X X X
[SW][std][browser]5 X X X X
[SW][std][browser]6 X X X X
[SW][std][browser]7 X X X
[SW][std][browser]8 X X X X X
[SW][std][browser]9 X X X X
[SW][std][dbms]1 X X X
[SW][std][dbms]2 X X X
[SW][std][dbms]3 X
[SW][std][dbms]4 X
[SW][std][dbms]5 X X X
[SW][std][dbms]6 X X
[SW][std][email_client] X X X X
[SW][std][file]1 X X
[SW][std][office]1 X X X
[SW][std][office]10 X X X
[SW][std][office]11 X X
[SW][std][office]2 X X
[SW][std][office]3 X X X X
[SW][std][office]4 X X X
[SW][std][office]5 X X X
[SW][std][office]6 X X X
[SW][std][office]7 X X X
[SW][std][office]9 X X X
[SW][std][os]1 X
[SW][std][os]10 X
[SW][std][os]11 X X
[SW][std][os]12 X X X X
[SW][std][os]13 X X X
[SW][std][os]14 X X X
[SW][std][os]15 X X X
[SW][std][os]16 X X X
[SW][std][os]17 X X X
[SW][std][os]18 X X X
[SW][std][os]19 X X
[SW][std][os]2 X X X
[SW][std][os]20 X X X
[SW][std][os]3 X X
[SW][std][os]4 X X X
[SW][std][os]5 X X
[SW][std][os]6 X X X
[SW][std][os]7 X X X
[SW][std][os]8 X X X
[SW][std][os]9 X X X
239
[SW][std][sub]1 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
[SW][std][ts]1 X X X X X X X X X X X X X X X X
[SW][std][www] X X