Matriz Gestión de Riesgos y Oportunidades

Código: SGSI.DC.
FORMATO
Versión:
Fecha de creación:
Matriz de Riesgos y Oportunidades de Seguridad de la Información 23/10/2019
Página: 1 de 1
Fecha de actualización 19-Mar-21 Proceso del alcance: Gestión de Operaciones de TI
IDENTIFICACIÓN DEL RIESGO ANALISIS DE RIESGO VALORACCIÓN DEL RIESGO PLAN DE TRATAMIENTO DE RIESGOS/ OPORTUNIDADES SEGUIMIENTO DEL PLAN DE TRATAMIENTO DE RIESGO / OPORTUNIDADES
Plazos de Implementación Aprobación de riesgo

¿El nivel de Riesgo / Cálculo del riesgo residual
(23) residual propuesto (27)
Nivel de Nivel de Oportunidad Obtenido se
Propietario del Probabilidad Estrategia de
Categoría del Valor del Código Riesgo / Madurez del Impacto/ Riesgo / Encuentra Dentro del Necesidad de Prioridad de Controles Asociados a la Responsable de la Responsable del Estado de la
Ítem (1) Proceso (2) Activo (4) Amenaza (6) Vulnerabilidad (7) Enunciado del Riesgo / Oportunidad (9) Riesgo / Oportunidad Control Existente (11) de Ocurrencia Tratamiento Acciones o Controles a Implementar (20) Nivel de Nivel de Evidencias de Implementación (29)
Activo (3) Activo (5) Oportunidad (8) Control (12) Consecuenci Oportunidad Apetito de Riesgo Tratamiento (17) Tratamiento (18) ISO/IEC 27001 vigente (21) Implementación (22) Probabilidad Seguimiento (28) Implementación (30)
(10) (13) (19) Fecha de Impacto/ Riesgo /
SCI a (14) (15) establecido por la Entidad? Fecha de Fin de Ocurrencia Resultado Comentario
(16) Inicio Consecuenci Residual
(24)
a (25) (26)
Posibles errores en la ejecución de las actividades del proceso debido a

Documentar y aprobar los siguientes procedimientos:
Proceso y Falta de documentación técnica y la falta de documentación técnica y de gestión de la operación de la JTI, - Rollback ante operaciones fallidas Oficial de Seguridad de la
Proceso de Gestión de Errores en la ejecución de las Jefe de Tecnologías de la Prioridad (3) para su - Procedimiento de encendido de servidores 12.1.1 Documentación de Coordinador de Infraestructura \\osifile01\JTI\CARPETAS DE TRABAJO\CENTRO DE DATOS\2 GESTION\Manuales
1 actividades del Proceso de gestión de operaciones de TI 8 de gestión de las operaciones de R01 lo cual generaría pérdidas de confidencialidad, integridad y - Se tiene documentación interna de JTI Débil Medio Moderado Medio NO Requiere tratamiento Mitigar el riesgo 3/3/2020 31/07/2020 Bajo Moderado Medio Información / Analista en Implementado
Operaciones de TI actividades del proceso Información tratamiento - Procedimiento para levantar servicios críticos (AD y procedimientos de operación Tecnológica
negocio la JTI disponibilidad, así como retrasos en el proceso de gestión de sin formalizar Seguridad de la Información
aplicaciones entre otros).
Operaciones de TI.
- Formalizar las contrataciones suficientes del Jefe de Tecnologías de la

personal. Información 15/04/2020 30/06/2020
Posibles errores en la ejecución de operaciones de la infraestructura y
Colaboradores sin
de los sistemas de información debido a colaboradores sin - Todos los colaboradores CAP y CAS deberán de
Proceso y Errores en la ejecución de responsabilidad funcional en Oficial de Seguridad de la
Proceso de Gestión de responsabilidad funcional en relación al impacto de la ejecución de las Jefe de Tecnologías de la Prioridad (3) para su suscribir a través de la JGRH un acuerdo de 13.2.4 Acuerdos de Jefa de Gestión de Recursos 21/09/2019 31/12/2019 https://ositran.sharepoint.com/sites/JefaturadeTecnologiasdelaInformacion/3%20Gestin%20de%20TI/Forms/AllItems.aspx?RootFolder=%2fsites%2fJefaturadeTecnolog
2 actividades del Proceso de gestión de operaciones de TI 8 operaciones de la infraestructura y relación al impacto de la R02 Suscripción de órdenes de servicio. Débil Bajo Moderado Medio NO Requiere tratamiento Mitigar el riesgo Bajo Menor Bajo Información / Analista en En proceso
Operaciones de TI actividades lo cual podría generar pérdidas de confidencialidad, Información tratamiento confidencialidad y de no divulgación. confidencialidad o no divulgación. Humanos
negocio de los sistemas de información ejecución de sus actividades Seguridad de la Información
integridad y disponibilidad en el proceso de gestión de operaciones de
(ordenes de servicio)
TI. - Todo los colaboradores OS deberán de suscribir a 01/05/2020 31/07/2020
través de la JLCP un acuerdo de confidencialidad y Jefa de logística y control
de no divulgación. patrimonial
Posible indisponibilidad de servicios y sistemas de información debido a

Proceso y - Mantenimiento preventivo anual - Adquirir nuevos equipos o contratar servicios Oficial de Seguridad de la
Proceso de Gestión de Indisponibilidad de servicios y la obsolescencia tecnológica, lo cual generaría posible pérdidas de Jefe de Tecnologías de la Prioridad (3) para su 12.6.1 Gestión de la Coordinador de Infraestructura https://ositran.sharepoint.com/sites/JefaturadeTecnologiasdelaInformacion/3%20Gestin%20de%20TI/Forms/AllItems.aspx?RootFolder=%2fsites%2fJefaturadeTecnolog
3 actividades del Proceso de gestión de operaciones de TI 8 Obsolescencia tecnológica R03 - Monitoreo de los servicios y sistemas Débil Bajo Mayor Medio NO Requiere tratamiento Mitigar el riesgo tecnológicos para superar la obsolescencia 11/1/2019 7/31/2020 Bajo Menor Bajo Información / Analista en Implementado
Operaciones de TI sistemas de información disponibilidad, confidencialidad e integridad del proceso de gestión de Información tratamiento vulnerabilidad técnica Tecnológica
negocio por parte de la JTI. tecnológica. Seguridad de la Información
operaciones de TI
Posibles retrasos en las operaciones de implementación, desarrollo o Coordinador de Sistemas de

Retraso en las operaciones de
Proceso y mantenimiento de los servicios y sistemas de información debido a la 12.1.2 Gestión de cambios Información Oficial de Seguridad de la
Proceso de Gestión de implementación, desarrollo Jefe de Tecnologías de la Prioridad (3) para su - Ejecutar el procedimiento formal de cambios en los
4 actividades del Proceso de gestión de operaciones de TI 8 Deficiente gestión de cambios R04 deficiente gestión de cambios, la cual podría generar posibles pérdidas Ninguno. Débil Bajo Moderado Medio NO Requiere tratamiento Mitigar el riesgo 14.2.2 Procedimiento de control 10/1/2020 12/30/2020 Bajo Menor Bajo Información / Analista en Pendiente
Operaciones de TI mantenimiento de los servicios y Información tratamiento sistemas de información e infraestructura tecnológica.
negocio de integridad y disponibilidad de la información y retraso en las de cambios del sistema. Coordinador de Infraestructura Seguridad de la Información
sistemas de información.
operaciones del proceso de gestión de TI. Tecnológica
- 17.1.1 Planificación de
Posible paralización del proceso de Gestión de Operaciones de TI a continuidad de seguridad de la
Proceso y Oficial de Seguridad de la
Proceso de Gestión de Desastre mayor (sismo, actos de No se cuenta con DRP (Disaster causa de un incidente mayor, debido a que no se cuenta con un Plan de Jefe de Tecnologías de la Muy Prioridad (2) para su - Implementar un DRP para los servicios y sistemas información. Jefe de Tecnologías de la
5 actividades del Proceso de gestión de operaciones de TI 8 R05 Ninguno. Débil Medio Alto NO Requiere tratamiento Mitigar el riesgo 20/062020 12/31/2020 Medio Menor Medio Información / Analista en En proceso
Operaciones de TI vandalismo, entre otros) Recovery plan Ning) recuperación de desastres a nivel de TI. La cual podría generar la Información Significativo tratamiento de información considerados críticos. - 17.1.3 Verificación revisión y Información
negocio Seguridad de la Información
paralización del Proceso de Gestión de Operaciones de TI. evaluación de continuidad de
seguridad de la información.
Posible divulgación /alteración de la información, Indisponibilidad de la - Gestionar un servicio Ethical Hacking anual a los a
plataforma tecnológica que soporta al proceso de gestión de la infraestructura tecnológica que forman parte de los
Proceso y Se realiza pruebas básicas de seguridad 01/04/2020 28/08/2020 Oficial de Seguridad de la
Proceso de Gestión de Falta de análisis de operaciones de TI, por hackers, personas malintencionadas, debido a la Jefe de Tecnologías de la Prioridad (2) para su procesos del alcance del SGSI. 12.6.1. Gestión de la Analista en Seguridad de la
6 actividades del Proceso de gestión de operaciones de TI 8 Hackers, personas malintencionadas R06 X informática a nivel de aplicación e Débil Medio Mayor Alto NO Requiere Tratamiento Mitigar el riesgo Bajo Moderado Medio Información / Analista en Pendiente
Operaciones de TI vulnerabilidades técnicas falta de un análisis de vulnerabilidades técnicas, la cual generaría Información tratamiento - Realizar una análisis de vulnerabilidades técnicas a vulnerabilidad técnica Información
negocio infraestructura tecnológica. 01/08/2020 28/08/2020 Seguridad de la Información
pérdidas de confidencialidad, disponibilidad e integridad de la las infraestructuras tecnológicas por lo menos 2
información e infraestructura tecnológica de la institución. veces al año.
Jefe de Tecnologías de la
- Personal en cuarentena.
Proceso y Colaboradores del OSITRAN Posible pandemia podría afectar la salud de los colaboradores del Información Oficial de Seguridad de la
Proceso de Gestión de Jefe de Tecnologías de la Muy Prioridad (1) para su - Elaborar lineamiento para el trabajo remoto. Se emitió el protocolo para el teletrabajo y se viene
7 actividades del Proceso de gestión de operaciones de TI 8 Pandemia vulnerable a nuevas R07 OSITRAN, lo que podría generar retraso y/o paralización de las Ninguno Débil Alto Extremo NO Requiere tratamiento Evitar el Riesgo A.6.2.2 Teletrabajo 3/16/2020 31/03/2020 Medio Moderado Medio Información / Analista en Implementado
Operaciones de TI Información Significativo tratamiento - Colaboradores del Ositran realizan actividades de aplicando en la etapa de emergencia.
negocio enfermedades (bacterias y virus) operaciones del proceso de Gestiòn de Operaciones de TI. Jefa de Gestión de Recursos Seguridad de la Información
teletrabajo.
Humanos
Posible acceso no autorizado al excel con claves administradoras de la

No se tiene un sistema y/o infraestructura de TI. de los sistemas de información y plataforma Oficial de Seguridad de la
Proceso de Gestión de Excel con claves administradoras de la Jefe de Tecnologías de la Prioridad (3) para su - Utilizar e implementar herramientas y/o software 9.2.3 Gestión de los derechos de Coordinador de Infraestructura
8 Información 9 Accesos no autorizados herramienta para la gestión y R08 tecnológica, debido a que no se tiene un sistema y/o herramienta para la La hoja de cálculo tiene contraseña Moderado Bajo Mayor Medio NO Requiere tratamiento Mitigar el riesgo 12/2/2020 3/31/2021 Bajo Moderado Medio Información / Analista en Se cuenta con un archivo excel con contraseña Implementado
Operaciones de TI infraestructura de TI Información tratamiento apropiado para la gestión de contraseñas. acceso con privilegios especiales Tecnológica
almacenamiento seguro. gestión y almacenamiento seguro lo que generaría posibles acceso no Seguridad de la Información
autorizados pérdidas de confidencialidad, integridad y disponibilidad.
Posible acceso no autorizado, robo, manipulación de información

- Revisar y depurar las cuentas de usuario y de
Cuentas de usuario y de servicio mediante el repositorio del directorio activo debido a que existen cuentas Oficial de Seguridad de la
Proceso de Gestión de Jefe de Tecnologías de la Políticas implementadas y configuradas Prioridad (3) para su servicio que no se utilizan por más de 90 dias; las A.9.2.5 Revisión de derechos de Analista en Seguridad de la
9 Información Repositorio directorio activo 8 Hackers, personas malintencionadas no utilizados en el ultimo trimestre R09 de usuario y de servicio no utilizados en el ultimo trimestre y que se Débil Medio Moderado Medio NO Requiere tratamiento Mitigar el riesgo 2/2/2020 31/04/2019 Bajo Menor Bajo Información / Analista en En proceso
Operaciones de TI Información en el Active Directory tratamiento cuales deben darse de baja salvo persista la accesos de usuario Información
y que se encuentran activas. encuentran activas, lo que podría generar pérdidas de confidencialidad, Seguridad de la Información
necesidad.
integridad y disponibilidad de la información.
Posible incumplimiento de las políticas de seguridad implementadas en

el directorio activo debido a que existente cuentas de usuario en las Oficial de Seguridad de la
Proceso de Gestión de Incumplimiento de políticas de Cuentas de usuario con Jefe de Tecnologías de la Políticas implementadas y configuradas Prioridad (3) para su - Revisar y depurar las cuentas de usuario las cuales Analista en Seguridad de la
10 Información Repositorio directorio activo 8 R10 cuales nunca expiran sus contraseñas, lo que podría generar pérdidas Moderado Bajo Moderado Medio NO Requiere tratamiento Mitigar el riesgo A.9.2.5 Revisión de derechos de 12/2/2019 31/04/2019 Bajo Menor Bajo Información / Analista en Pendiente
Operaciones de TI seguridad a nivel negocio. contraseñas que no expiran. Información en el Active Directory. tratamiento nunca expiran las contraseñas. Información
de disponibilidad e integridad de la información e infraestructura accesos de usuario Seguridad de la Información
tecnológica.
Posible abuso de privilegios de acceso en el repositorio del directorio 12.1.2 Gestión del cambio.
activo, debido a la ausencia de auditorías de los logs, lo cual generaría - Se tiene activado el event viewer nativo 12.4.1 Registro de eventos
- Gestionar la implementación de una herramienta Oficial de Seguridad de la
Proceso de Gestión de Ausencia de auditorías de los log la pérdida de la disponibilidad de la administración centralizada de Jefe de Tecnologías de la de windows Prioridad (3) para su 12.4.2 Protección de información Analista en Seguridad de la
11 Información Repositorio directorio activo 8 Abuso de privilegios de acceso. R11 Débil Bajo Moderado Medio NO Requiere tratamiento Mitigar el riesgo de auditoría para el controlador de dominio el cual 9/1/2020 9/30/2020 Bajo Moderado Medio Información / Analista en Pendiente
Operaciones de TI de BD del directorio activo. recursos de red (políticas de gestión de usuarios, gestión de equipos) . Información - La administración del servicio es tratamiento de registros. Información
debe ser manejado por el oficial de seguridad y/o Seguridad de la Información
Su materialización afectaría la continuidad del proceso de Gestión de realizada por una sola persona. 12.4.3. Registro del administrador
analista en seguridad de la información.
Operaciones de TI. y del operador.
No se tiene configurada alguna

Posible escalamiento de privilegios para el acceso al directorio activo
alerta para notificar a los
debido a que no se tiene configurada alguna alerta para notificar a los 12.4.2 Protección de información Se ha configurado a nivel del visor de eventos del
administradores del Active - Configurar alertas de asignación y eliminación de Oficial de Seguridad de la
Proceso de Gestión de administradores del Active Directory sobre la asignación de nuevos Jefe de Tecnologías de la Políticas de contraseñas configuradas en Prioridad (3) para su de registros. Coordinador de Infraestructura servidor el registro de este tipo de auditoria. Para la
12 Información Repositorio directorio activo 8 Escalamiento de privilegios Directory sobre la asignación de R12 Débil Bajo Mayor Medio NO Requiere tratamiento Mitigar el riesgo usuarios al grupo privilegiado de administradores de 1/3/2021 12/31/2021 Bajo Moderado Medio Información / Analista en Implementado
Operaciones de TI usuarios al grupo privilegiado Domain Admin (administradores de Información el Active Directory tratamiento 12.6.1 Gestión de la Tecnológica implementacion de las alertas solicitadas se necesita
nuevos usuarios al grupo dominio: “Domain Admin” Seguridad de la Información
dominio)m, la cual generaría pérdidas de confidencialidad , integridad y vulnerabilidad técnica una solucion software de un tercero.
privilegiado Domain Admin
disponibilidad y afectaría al proceso de gestión de operaciones de TI.
(administradores de dominio).
Posible acceso no autorizado en el repositorio del directorio activo 12.4.2 Protección de información
debido a la falta configuración de alertas de intentos de acceso exitosos de registros.
y no exitosos, lo cual generaría pérdidas de confidencialidad, integridad 12.6.1 Gestión de vulnerabilidad
No se tiene configurado alertas de - Crear una alerta en el directorio activo de cualquier Oficial de Seguridad de la No se puede implementar, ya que el propio directorio
Proceso de Gestión de y disponibilidad de la información y de la infraestructura tecnológica Jefe de Tecnologías de la Prioridad (3) para su técnica Coordinador de Infraestructura
13 Información Repositorio directorio activo 8 Accesos no autorizados intentos de acceso exitosos y no R13 Ninguno Débil Bajo Mayor Medio NO Requiere tratamiento Mitigar el riesgo intento de acceso no exitoso vía correo electrónico al 1/3/2021 12/31/2021 Bajo Moderado Medio Información / Analista en activo no brindas herrameintas de auditoria, su Pendiente
Operaciones de TI generando retrasos en el proceso de gestión de operaciones de TI. Información tratamiento Tecnológica
exitosos OSI/ASI y JTI para su adecuada contención. Seguridad de la Información implementacion requiere el software de un tercero.
- Realizar un análisis de vulnerabilidades técnicas

y/o gestionar el servicio de ethical hacking.
- Implementar mecanismos para subsanar las
vulnerabilidades técnicas a nivel de base de datos e
infraestructura tecnológica.
- Fortalecer las políticas de control de acceso a la Analista en Seguridad de la
Posible acceso no autorizado a las Bases de datos institucionales del -Segregación de usuarios. 01/04/2021 28/08/2021
base de datos institucionales. 18.1.3 Protección de los registros información.
Bases de datos institucionales del Débil gestión de accesos, OSITRAN (SGSD, SIDECO, aplicativo móvil contigo), debido a la débil - Contraseñas fuertes y de calidad Oficial de Seguridad de la
Proceso de Gestión de Jefe de Tecnologías de la Prioridad (3) para su - Realizar un análisis de vulnerabilidades técnicas a de la organización
14 Información OSITRAN (SGD, SIDECO, aplicativo móvil 8 Accesos no autorizados contraseñas débiles, falta de R14 gestión de accesos, contraseñas débiles, usuarios genéricos, falta de X Ips para revisar las conexiones externas a Moderado Bajo Mayor Medio NO Requiere Tratamiento Mitigar el riesgo Bajo Moderado Medio Información / Analista en Pendiente
Operaciones de TI Información tratamiento los sistemas, bases de datos y herramientas 12.6.1 Gestión de la
contigo) revisiones y auditorías revisiones y auditorías, lo que generaría posibles pérdidas de la base de datos y bloqueo de la conexión Seguridad de la Información
asociadas a los procesos de trámite documentario y vulnerabilidad técnica Coordinador de Infraestructura
confidencialidad, integridad y disponibilidad de la información. para intentos recurrentes 02/03/2021 31/07/2021
operaciones de TI. Tecnológica
- Actualizar el procedimiento Administración de
vulnerabilidades técnicas del MGPP de la JTI.
- Actualizar el procedimiento Administración de
Identidades y Accesos a los Recursos Informáticos
del MGPP de la JTI.
12.6.1 Gestión de la
Posible degradación del rendimiento de las Bases de datos
Bases de datos institucionales del Programación deficiente en - Realizar tunning al código de los (procedimiento vulnerabilidad técnica Oficial de Seguridad de la Se propone trasladar esta actividad un DBA
Proceso de Gestión de Degradación del rendimiento de la institucionales del OSITRAN (SGSD, SIDECO, aplicativo móvil contigo), Jefe de Tecnologías de la El personal de desarrollo realiza pruebas Prioridad (3) para su Coordinador de Infraestructura
15 Información OSITRAN (SGD, SIDECO, aplicativo móvil 8 queries (Queries sin índices, entre R15 Débil Bajo Mayor Medio NO Requiere Tratamiento Mitigar el riesgo almacenados, trigers, entre otros) del los sistemas 14.2.1 Política de desarrollo 7/20/2021 9/30/2021 Bajo Moderado Medio Información / Analista en Sin embargo esto deberia ser visto por el equipo de Pendiente
Operaciones de TI bade de datos. debido a la programación deficiente en los queries, lo cual generaría Información básicas de aseguramiento de calidad tratamiento Tecnológica
contigo) otros) de información SGD y SIDECO. seguro Seguridad de la Información desarrollo ya que es codigo de los aplicativos.
posibles pérdidas de disponibilidad de la información.
Posible indisponibilidad de las Bases de datos institucionales del

Bases de datos institucionales del
Proceso de Gestión de Indisponibilidad del servicio de base Falta de mecanismos de OSITRAN (SGSD, SIDECO, aplicativo móvil contigo), debido a que no Jefe de Tecnologías de la Alta disponibilidad a nivel de servicio de No requiere No se prioriza su
16 Información OSITRAN (SGD, SIDECO, aplicativo móvil 8 R16 Fuerte Muy Bajo Moderado Bajo SI
Operaciones de TI de datos contingencia se tiene implementada medidas de contingencia, lo cual generaría Información base de datos (oracle rack). tratamiento tratamiento
contigo)
pérdidas de disponibilidad de información.
A.9.4.1 Restricción de acceso a la

Posible acceso no autorizado a la información de la Bases de datos - Segregación de usuarios de acuerdo al - Separar físicamente y lógicamente los entornos de SGD y SIDECO ya cuentan con ambiente de desarrollo.
información
Bases de datos institucionales del institucionales del OSITRAN (SGSD, SIDECO, aplicativo móvil contigo), perfil desarrollo, pruebas y producción del SGD y SIDECO Oficial de Seguridad de la No se tiene ambiente de Pruebas. Esta tarea sera
Proceso de Gestión de Acceso no autorizado a las bases de No se tiene ambientes separados Jefe de Tecnologías de la Prioridad (3) para su A12.1.4 Separación de entornos Coordinador de Infraestructura
17 Información OSITRAN (SGD, SIDECO, aplicativo móvil 8 R17 debido a que no se tiene separado los ambientes de desarrollo, calidad - Usuarios específicos para consulta Débil Bajo Mayor Medio NO Requiere Tratamiento Mitigar el riesgo 6/15/2020 12/31/2021 Bajo Moderado Medio Información / Analista en ejecutada luego que se termine la implementacion del En proceso
Operaciones de TI datos de producción de desarrollo, calidad producción Información tratamiento de desarrollo, pruebas y Tecnológica
contigo) y producción, lo cual generaría posibles pérdidas de confidencialidad, segregados - Segregar a nivel de redes los entornos e desarrollo, Seguridad de la Información nuevo equipamiento adquerido para nuestra red
producción
integridad y disponibilidad de la información. - Revisiones a demanda pruebas y producción servidores
A.13.1.1.3 Segregación de redes
Posible acceso a información privilegiada en soporte papel debido a que Oficial de Seguridad de la
Proceso de Gestión de Inadecuada destrucción de Mecanismos insuficientes para su Jefe de Tecnologías de la Se rompe y/o corta la información Prioridad (2) para su - Adquirir trituradoras de papel para la información Jefe de Tecnologías de la
18 Información Información en soporte papel de la JTI 7 R18 no se tiene mecanismo adecuados para su destrucción, lo cual Débil Medio Mayor Alto NO Requiere Tratamiento Mitigar el riesgo 18.1.3 Protección de registros 6/2/2020 12/31/2020 Bajo Menor Bajo Información / Analista en Pendiente
Operaciones de TI información privilegiada destrucción Información manualmente tratamiento confidencial en soporte papel Información
generaría posibles pérdidas de confidencialidad. Seguridad de la Información
Clúster de servidores 1 - CLUSTER

WMWARE OSITRAN
Posible falla del Clúster de servidores 1 - CLUSTER WMWARE
Clúster OVM de servidores 2 - OSITRAN, Clúster OVM de servidores 2 - POOLVMOSITRAN1, Sistema
POOLVMOSITRAN1 de almacenamiento principal - STORAGE VNX5200OSITRAN (EMC) así Oficial de Seguridad de la Se cuenta con un plan de mantenimiento, el cual se
Proceso de Gestión de Deterioro por el uso / Falta de Jefe de Tecnologías de la Prioridad (3) para su - Establecer un plan de mantenimiento preventivo por Coordinador de Infraestructura
19 Hardware 8 Falla del equipo R19 como Sistema de gestión de respaldo (librería robótica), debido al Ninguno Débil Bajo Mayor Medio NO Requiere tratamiento Mitigar el riesgo 11.2.4 Mantenimiento de equipos 7/1/2020 7/31/2021 Bajo Moderado Medio Información / Analista en viene cumpliendo, el ultimo fue realizado en diciembre Implementado
Operaciones de TI mantenimiento Información tratamiento lo menos una vez al año. Tecnológica
Sistema de almacenamiento principal - deterioro por el uso / falta de mantenimiento, lo cual generaría posible Seguridad de la Información del 2020
STORAGE VNX5200OSITRAN (EMC) indisponibilidad de los servicios y sistemas de TI y afectaría el proceso
de gestión de operaciones de TI.
Sistema de gestión de respaldo (librería
robótica)

WMWARE OSITRAN
Posible indisponibilidad Sistema de almacenamiento principal -
Clúster OVM de servidores 2 - STORAGE VNX5200OSITRAN (EMC), Clúster de servidores 1 -
POOLVMOSITRAN1 CLUSTER WMWARE OSITRAN, Clúster OVM de servidores 2 - 11.2.4 Mantenimiento de equipos Oficial de Seguridad de la Soporte con VMWARE.
Proceso de Gestión de Jefe de Tecnologías de la Prioridad (2) para su - Gestionar la actualización del software por parte del Coordinador de Infraestructura
20 Hardware 8 Falla del equipo Falta de soporte R20 POOLVMOSITRAN1 así como del Sistema de gestión de respaldo Ninguno. Débil Medio Mayor Alto NO Requiere tratamiento Mitigar el riesgo 12.6.1 Gestión de la 3/1/2020 31/04/2020 Bajo Menor Bajo Información / Analista en No se va a adqurir soporte de EMC por reemplazo de Implementado
Operaciones de TI Información tratamiento fabricante y adquirir el soporte correspondiente. Tecnológica
Sistema de almacenamiento principal - (librería robótica), debido a la falta de soporte, lo cual generaría posibles vulnerabilidad técnica Seguridad de la Información equipos.
STORAGE VNX5200OSITRAN (EMC) pérdidas de confidencialidad, integridad, disponibilidad y retrasos en el
proceso de gestión de operaciones de TI.
robótica)
Actualmente se cuenta con contrato de soporte para

ORACLE que da soporte para la base de datos y
Weblogic
- Soporte y mantenimiento vigente con los fabricantes Se tiene el proveeedor OTECH que da soporte a la
WMWARE OSITRAN Posible infección de software malicioso al Sistema de almacenamiento
del software base y de aplicación. infraestructura TOMCAT cuando se tiene un
principal - STORAGE VNX5200OSITRAN (EMC), Clúster de servidores
- Realizar un cronograma para realizar las Coordinador de Infraestructura inconveniente.
Clúster OVM de servidores 2 - 1 - CLUSTER WMWARE OSITRAN, Clúster OVM de servidores 2 -
actualizaciones de la infraestructura tecnológica Tecnológica Con respecto a las actaulizacciones: EN PROCESO.
POOLVMOSITRAN1 POOLVMOSITRAN1 así como del Sistema de gestión de respaldo - Equipos de seguridad perimetral Oficial de Seguridad de la
Proceso de Gestión de Falta de actualización y parches Jefe de Tecnologías de la Prioridad (3) para su bimestralmente y a demanda en caso tenga prioridad 11.2.4 Mantenimiento de equipos Se tiene el servicio de WSUS y este se encuentra
21 Hardware 8 Infección de software malicioso R21 (librería robótica)debido a la falta de actualización y parches de - Parches a demanda Moderado Bajo Moderado Medio NO Requiere tratamiento Mitigar el riesgo 4/6/2020 3/31/2021 Bajo Menor Bajo Información / Analista en En proceso
Operaciones de TI de seguridad críticos Información tratamiento alta 12.6.1 Gestión de la actualizando los servidores Windows. La actualización
Sistema de almacenamiento principal - seguridad críticos, la cual generaría pérdida de la confidencialidad, - Protección Anti_exploit Seguridad de la Información
vulnerabilidad técnica Analista de Seguridad de la es BIMESTRAL y ademanda. Se va a generar una
STORAGE VNX5200OSITRAN (EMC) integridad, disponibilidad y retraso en el proceso de gestión de - Protección Anti_Malware
- Realizar un análisis de vulnerabilidades técnicas y Información. carpeta o bitacora digital donde se encuentre la
operaciones de TI.
revisiones de la configuración de seguridad para su evidencia de implementación.
fortalecimiento.
robótica)
Con respecto al "Analisis de Vulnerabilidades técnicas"
obedecería aun Ethical Hacking especializado. No se
ha podido ejecutar por recursos.

(24)
a (25) (26)
Posible saturación del sistema del servidor aplicaciones SGD, Servidor

Servidor de aplicaciones del SGD de aplicaciones del ALFRESCO así como del Servidor de aplicaciones - Monitoreo 24*7*365 especializado de la
Oficial de Seguridad de la
Proceso de Gestión de Servidor de aplicaciones del ALFRESCO Falta de monitoreo de capacidad weblogic nodo 01 y 02, debido a la saturación del sistema debido a la Jefe de Tecnologías de la - Monitoreo a demanda por personal de Prioridad (3) para su infraestructura tecnológica. Coordinador de Infraestructura https://ositran.sharepoint.com/sites/JefaturadeTecnologiasdelaInformacion/3%20Gestin%20de%20TI/Forms/AllItems.aspx?RootFolder=%2fsites%2fJefaturadeTecnolog
22 Hardware 8 Saturación del sistema R22 Moderado Medio Moderado Medio NO Requiere tratamiento Mitigar el riesgo 12.1.3 Gestión de la capacidad 7/1/2019 8/1/2019 Bajo Moderado Medio Información / Analista en Implementado
Operaciones de TI Servidor de aplicaciones weblogic nodo 01 y desempeño falta de monitoreo de capacidad y desempeño, lo cual podría generar Información JTI. tratamiento - Administrar la capacidad de la infraestructura Tecnológica
Seguridad de la Información
y 02 pérdidas de confidencialidad , integridad y disponibilidad y retraso en el tecnológica
proceso de gestión de operaciones de TI.
Posible indisponibilidad del servidor del directorio activo debido a que la

- Implementar un sistema de alta disponibilidad a
Se tiene la alta disponibilidad del alta disponibilidad implementada se encuentra en un mismo clúster de 17.1.1 Planificación de la Oficial de Seguridad de la
Proceso de Gestión de Indisponibilidad del servicio de Jefe de Tecnologías de la - Sistema de alta disponibilidad en el Prioridad (3) para su nivel de servidor de controlador de dominio la cual Coordinador de Infraestructura Se ha puesto en producción el servidor OSISURDC02 –
23 Hardware Servidor controlador de dominio 8 servicio a nivel de hardware en el R23 servidores virtuales, lo cual generaría posible indisponibilidad de los Moderado Medio Moderado Medio NO Requiere tratamiento Mitigar el riesgo continuidad de seguridad de la 10/1/2020 10/15/2020 Bajo Menor Bajo Información / Analista en Implementado
Operaciones de TI directorio activo Información mimo clúster de servidores tratamiento debe estar ubicado en un clúster diferente al servidor Tecnológica 100.134.15.222
mismo clúster de servidores. servicios y sistemas de TI y afectaría el proceso de gestión de información. Seguridad de la Información
principal del AD.
operaciones de TI.
Posible indisponibilidad de la central telefónica debido a la Oficial de Seguridad de la

Proceso de Gestión de Jefe de Tecnologías de la Prioridad (3) para su Coordinador de Infraestructura https://ositran.sharepoint.com/sites/JefaturadeTecnologiasdelaInformacion/3%20Gestin%20de%20TI/Forms/AllItems.aspx?RootFolder=%2fsites%2fJefaturadeTecnolog
24 Hardware Central telefónica 8 Indisponibilidad de servicio Obsolescencia tecnológica R24 obsolescencia tecnológica, lo cual generaría un retraso en el desarrollo - Mantenimiento preventivo. Débil Bajo Moderado Medio NO Requiere tratamiento Mitigar el riesgo - Adquirir una nueva central telefónica 12.6.1 Gestión de la 3/1/2020 31/03/2020 Bajo Menor Bajo Información / Analista en Implementado
Operaciones de TI Información tratamiento Tecnológica
del Proceso de gestión de operaciones de TI. vulnerabilidad técnica Seguridad de la Información
Posible infección de código malicioso (malware, virus, troyano, gusano

No se cuenta con un software ransonware, entre otros), de equipos de computo de usuarios finales Oficial de Seguridad de la
Proceso de Gestión de Jefe de Tecnologías de la Prioridad (3) para su - Implementar una herramienta antimalware que 12.2.1 Controles contra códigos Coordinador de Infraestructura https://ositran.sharepoint.com/sites/JefaturadeTecnologiasdelaInformacion/3%20Gestin%20de%20TI/Forms/AllItems.aspx?RootFolder=%2fsites%2fJefaturadeTecnolog
25 Hardware Equipos de cómputo usuarios finales 8 Infección de código malicioso especializado en la detección de R25 debido a que no se cuenta con un software especializado en la - Antivirus institucional (Karpesky) Moderado Bajo Moderado Medio NO Requiere Tratamiento Mitigar el riesgo 7/1/2019 12/31/2019 Bajo Menor Bajo Información / Analista en Implementado
Operaciones de TI Información tratamiento analice comportamiento y no por firmas. maliciosos Tecnológica
malware, exploits y ransomware detección de malware, exploits y ransomware, lo cual podría generar Seguridad de la Información
pérdidas de confidencialidad, integridad, disponibilidad de la información.
Posible falla del hardware de los equipos de cómputo de la JTI debido a Oficial de Seguridad de la
Proceso de Gestión de Jefe de Tecnologías de la Prioridad (2) para su - Reubicar los CPU ubicados en el suelo en otra 11.2.1 Emplazamiento y Asistente de Soporte Técnico a los
26 Hardware Equipos de cómputo usuarios finales 8 Aniego CPU se encuentran en el suelo. R26 que el CPU se encuentra a nivel del suelo. Esto podría generar pérdida Ninguno. Débil Medio Mayor Alto NO Requiere tratamiento Mitigar el riesgo 10/15/2020 12/31/2020 Bajo Menor Bajo Información / Analista en Pendiente
Operaciones de TI Información tratamiento posición. protección de equipos Usuarios
de la información afectando la disponibilidad de la información. Seguridad de la Información
Mala calidad del fluido eléctrico Posible interrupción del fluido eléctrico para los equipos de cómputo de Oficial de Seguridad de la
Proceso de Gestión de Jefe de Tecnologías de la Prioridad (3) para su - Implementar ups para las computadoras que se Jefa de Logística y Control
27 Hardware Equipos de cómputo usuarios finales 8 Interrupción del fluido eléctrico del proveedor del suministro R27 JTI, lo que podría interrumpir la continuidad de los servicios y sistemas Grupo electrógeno institucional Moderado Medio Moderado Medio NO Requiere tratamiento Mitigar el riesgo 11.2.2 Servicios de suministro 8/3/2019 12/31/2019 Bajo Menor Bajo Información / Analista en Implementado
Operaciones de TI Información tratamiento encuentran dentro del alcance piso 03. Patrimonial
eléctrico. de información. Seguridad de la Información
Posible acceso no autorizado al repositorio del Sharepoint carpeta JTI y

Repositorio del Sharepoint carpeta "JTI" Carpeta compartida JTI, debido a una débil gestión de accesos, lo cual - Revisar por lo menos 02 veces por año los niveles Oficial de Seguridad de la
Proceso de Gestión de Jefe de Tecnologías de la Prioridad (2) para su A.9.2.3 Gestión de derechos de Analista en Seguridad de la
28 Medio de soporte 6 Accesos no autorizados Débil gestión de accesos R28 generaría posible manipulación, eliminación de la información de manera Revisión a demanda Débil Medio Mayor Alto NO Requiere Tratamiento de acceso del personal con permisos privilegiados a 2/10/2020 4/30/2020 Medio Mayor Alto Información / Analista en En proceso
Operaciones de TI Información tratamiento accesos privilegiados. Información
Carpeta compartida de la JTI deliberada o no deliberada, generando pérdidas de confidencialidad, los recursos compartidos. Seguridad de la Información
integridad y disponibilidad.
Posible incidente de seguridad de la información relacionado a la

información (manipulación y/o eliminación de información) de la carpeta - Se tiene activado mediante directiva de
Proceso de Gestión de Manipulación, eliminación de Falta de log de auditoría en el Jefe de Tecnologías de la No se prioriza su No se prioriza su
29 Medio de soporte Carpeta compartida de la JTI 6 R29 compartida de la "JTI" debido a falta de log de auditoría en el servidor de grupo los log tales como logon event, Débil Bajo Menor Bajo SI
Operaciones de TI información servidor de archivos Información tratamiento tratamiento
archivos, lo que generaría pérdidas de confidencialidad, integridad y object acces policy change, privilege use
disponibilidad de la información.
Posible falla del Swicht Core DATACENTER GTD debido a la falta de un

equipo de contingencia y alta disponibilidad lo cual generaría 17.1.1 Planificación de Oficial de Seguridad de la
Proceso de Gestión de Red y Indisponibilidad de la red de datos Falta de equipo de contingencia / Jefe de Tecnologías de la Monitoreo y supervisión por parte del Prioridad (2) para su - Implementar un sistema de alta disponibilidad del Coordinador de Infraestructura https://ositran.sharepoint.com/sites/JefaturadeTecnologiasdelaInformacion/3%20Gestin%20de%20TI/Forms/AllItems.aspx?RootFolder=%2fsites%2fJefaturadeTecnolog
30 Swicht Core data center GTD 8 R30 indisponibilidad de la rede de datos e infraestructura tecnológica lo cual Débil Medio Mayor Alto NO Requiere tratamiento Mitigar el riesgo continuidad de seguridad de la 1/6/2020 1/31/2020 Bajo Moderado Medio Información / Analista en Implementado
Operaciones de TI Comunicaciones de OSITRAN alta disponibilidad Información personal de la JTI. tratamiento swicht Core del datacenter en GTD Tecnológica
generaría retraso de las operaciones del proceso de gestión de información. Seguridad de la Información
operaciones de TI.
Posible falla del Swicht Core site principal, Switch de borde debido a la
Switch Core site principal de OSITRAN Oficial de Seguridad de la
Proceso de Gestión de Red y Falta de mantenimiento falta de mantenimiento preventivo lo cual generaría posibles Jefe de Tecnologías de la Monitoreo y supervisión por parte del Prioridad (2) para su - Establecer un plan de mantenimiento preventivo por Coordinador de Infraestructura Se ha generado un plan. Etá pendiente realizar el
31 8 Falla del equipo R31 Débil Medio Mayor Alto NO Requiere tratamiento Mitigar el riesgo 11.2.4 Mantenimiento de equipos 5/1/2020 7/31/2020 Bajo Moderado Medio Información / Analista en Implementado
Operaciones de TI Comunicaciones preventivo indisponibilidad de la infraestructura tecnológica lo cual generaría retraso Información personal de la JTI. tratamiento lo menos una vez al año. Tecnológica mantenimiento (cuando sea adjudicado).
Switch de borde Seguridad de la Información
de las operaciones del proceso de gestión de operaciones de TI.
Posible falla del Wireless controler, acces point debido a la falta de - Establecer un plan de mantenimiento preventivo por
Oficial de Seguridad de la Se cuenta con un plan de mantenimiento de equipos de
Proceso de Gestión de Red y Wireless controler Falta de mantenimiento mantenimiento preventivo lo cual generaría posibles indisponibilidad de Jefe de Tecnologías de la Monitoreo y supervisión por parte del Prioridad (3) para su lo menos una vez al año por equipo de Coordinador de Infraestructura
32 5 Falla del equipo R32 Débil Bajo Moderado Medio NO Requiere tratamiento Mitigar el riesgo 11.2.4 Mantenimiento de equipos 5/1/2021 7/31/2021 Bajo Menor Bajo Información / Analista en comunicaciones, Se elaborara el TDR para ejecutar el Pendiente
Operaciones de TI Comunicaciones Access point preventivo la infraestructura tecnológica lo cual generaría retraso de las Información personal de la JTI. tratamiento infraestructura. Tecnológica
Seguridad de la Información mantenimiento en el 2do semestre del 2021
operaciones de gestión de operaciones de TI. - Adquirir el soporte y garantía del fabricante.
Posible robo, acceso no autorizado y/o manipulación de información del 01/10/2020 15/10/2020
Personas mal intencionadas Vulnerable a ataques recurrentes servicio office 365 (correo electrónico), debido a la ausencia de - Monitoreo por personal de JTI. - Gestionar y/o implementar mecanismos de doble Oficial de Seguridad de la Se ha configurado y probado para unos 20 usuarios, se
Proceso de Gestión de Jefe de Tecnologías de la Prioridad (3) para su A.9.4.2 Procedimiento de ingreso Coordinador de Infraestructura
33 Servicios Servicio office 365 4 Robo, acceso no autorizado / Ausencia de mecanismos de R33 mecanismos de doble factor de autenticación, lo que podría causar - Niveles de servicio suscrito con el Débil Bajo Moderado Medio NO Requiere tratamiento Mitigar el riesgo factor de autenticación para el correo electrónico Muy Bajo Moderado Bajo Información / Analista en esta a la espera que la Jefatura autorice la Pendiente
Operaciones de TI Información tratamiento seguro Tecnológica
Manipulación de información doble factor de autenticación posibles pérdidas de confidencialidad, integridad y disponibilidad de la proveedor institucional. Seguridad de la Información implementacion para todo el OSITRAN.
información. 1/11/2020 31/12/2020
Posible indisponibilidad, acciones no autorizadas por personal de las

Servicio de tercerización del Centro de
empresas proveedoras del servicio telefónica fija, Servicio de
Datos Principal OSITRAN - Supervisión del servicio contratado por
Acciones no autorizadas por tercerización del Centro de Datos Principal para el OSITRAN, Servicio
Proceso de Gestión de Servicio de telefonía fija Incumplimiento de acuerdos de Jefe de Tecnologías de la parte de JTI. No Requiere No se prioriza su
34 Servicios 8 personal de las empresas R34 de internet así como con el Servicio para el enlace con el proveedor del Moderado Bajo Menor Bajo SI
Operaciones de TI Servicio de internet sobre el nivel de servicio Información - Se remite conformidades mensuales del tratamiento tratamiento
proveedoras centro de datos principal debido al incumplimiento de acuerdos de nivel
Servicio para el enlace con el proveedor servicio
de servicios y/o contrato, lo que generaría retraso al proceso de gestión
del centro de datos principal
de operaciones de TI.
Posibles acciones no autorizadas por personal de la empresa

Servicio de tercerización del Centro de
proveedora Servicio de tercerización del Centro de Datos Principal para
Datos Principal para el OSITRAN
Acciones no autorizadas por Falta de firma de acuerdo de el OSITRAN, Servicio de telefonía fija, Servicio de internet, Servicio para - Incorporar en los procedimientos de contratación la 15.1.3 Abordar la seguridad Oficial de Seguridad de la
Proceso de Gestión de Servicio de telefonía fija Jefe de Tecnologías de la Firma de contrato y cláusulas de Prioridad (3) para su Jefa de Logística y Control
35 Servicios 8 personal de las empresas confidencialidad y de no R35 el enlace con el proveedor del centro de datos principal debido a la falta Débil Bajo Moderado Medio NO Requiere tratamiento Mitigar el riesgo firma de acuerdos de confidencialidad y de no dentro de los acuerdos con 10/1/2019 4/30/2020 Bajo Menor Bajo Información / Analista en Pendiente
Operaciones de TI Servicio de internet Información penalidades. tratamiento Patrimonial
proveedoras divulgación de firma de acuerdo de confidencialidad, lo que podría generar pérdidas divulgación. proveedores Seguridad de la Información
Servicio para el enlace con el proveedor
de confidencialidad de la información afectando al proceso de gestión de
del centro de datos principal
operaciones de TI.
Posible indisponibilidad del servicio de enlace de comunicaciones con el 12.1.3 Gestión de la capacidad
Oficial de Seguridad de la Esto sera subsanado en la contratacion del nuevo
Proceso de Gestión de Servicio enlace de comunicaciones con el Solo se tiene un router para los 2 proveedor del centro de datos principal debido a que solo se tiene un Jefe de Tecnologías de la Prioridad (3) para su - Gestionar que en el servicio se implemente alta 17.1.1.2 Implementación de Coordinador de Infraestructura
36 Servicios 8 Indisponibilidad del servicio R36 Personal de JTI supervisando el servicio. Moderado Bajo Mayor Medio SI Requiere tratamiento Mitigar el riesgo 17/05/2021 31/05/2021 Bajo Menor Bajo Información / Analista en servicio en julio 2021. (Siempre y cuando alcance el Pendiente
Operaciones de TI proveedor del Centro de Datos Principal enlaces de fibra router para los 2 enlaces de fibra, la cual generaría retraso al proceso de Información tratamiento disponibilidad a nivel de router. continuidad de seguridad la Tecnológica
Seguridad de la Información presupuesto)
gestión de operaciones de TI. información
Posible falla del sistema operativo Microsoft Windows Server 2012 R2

Proceso de Gestión de Sistema operativo Microsoft Windows Falla del software, hackers, infección debido a la falta de licenciamiento, lo cual generaría pérdidas de Jefe de Tecnologías de la Prioridad (3) para su - Gestionar la adquicisión licencias de windows 18.1.2 Derecho de propiedad Coordinador de Infraestructura Se va a gestionar la adquisicion de licencias de sistema
37 Software 8 Falta de licenciamiento R37 Adquisición de licencias limitadas. Débil Medio Moderado Medio NO Requiere tratamiento Mitigar el riesgo 1/3/2021 31/12/2021 Bajo Menor Bajo Información / Analista en Pendiente
Operaciones de TI Server 2012 R2 del código malicioso disponibilidad integridad y confidencialidad así como incumplimiento Información tratamiento server en su versión vigente. intelectual Tecnológica operativo para regularizar las licencias de servidores
legal referente al apropieda intelectual, sanciones multas a la entidad.
Sistema operativo ORACLE LINUX

SERVER
Posible falla del sistema operativo Microsoft Windows Server 2012 R2 ,
Sistema operativo ORACLE LINUX Oracle linux Server, VMWare debido a las configuraciones débiles, lo Oficial de Seguridad de la Requiere contratar un servicio especializado para el
Proceso de Gestión de Jefe de Tecnologías de la Prioridad (2) para su - Realizar un hardening a nivel de sistemas 12.6.1 Gestión de la Coordinador de Infraestructura
38 Software 8 Hackers, personas malintencionadas Configuraciones débiles R38 cual generaría pérdidas de disponibilidad integridad y confidencialidad, Ninguno Débil Medio Mayor Alto NO Requiere tratamiento Mitigar el riesgo 1/7/2021 31/12/2021 Bajo Menor Bajo Información / Analista en Hardening a nivel de sistemas operativos. Dependerá de Pendiente
Operaciones de TI Información tratamiento operativos. vulnerabilidad técnica Tecnológica
Sistema de virtualización VMWARE así como incumplimiento legal referente al apropieda intelectual, Seguridad de la Información la habilitación de recursos presupuestales.
sanciones multas a la entidad.
Sistema operativo Microsoft Windows
Server 2012 R2
Posible falla, hackeo y/o infección con código malicioso a los sistema
No aplica.
Sistema operativo ORACLE LINUX operativo ORACLE LINUX/Server, debido a la falta de actualización de
- Implementar un sistema automatizado para la Oficial de Seguridad de la La entiendad ahora unicamente tiene ORACLE LINUX
Proceso de Gestión de SERVER Falla del sistema operativo, infección Falta de actualización de parches los parches críticos de seguridad, lo cual generaría pérdidas de Jefe de Tecnologías de la Prioridad (3) para su 12.6.1 Gestión de la Coordinador de Infraestructura
39 Software 8 R39 Actualización a demanda Débil Medio Moderado Medio NO Requiere tratamiento Mitigar el riesgo descarga e instalación controlada de los parches y 7/1/2020 12/31/2021 Bajo Menor Bajo Información / Analista en como sistema operativo estandar LINUX.. Oracle Pendiente
Operaciones de TI del código malicioso críticos confidencialidad, integridad y disponibilidad de la información y Información tratamiento vulnerabilidad técnica Tecnológica
actualización de los sistemas operativos LINUX. Seguridad de la Información maneja su propio sistema de actualización de parches
Sistema operativo ORACLE LINUX paralización de las operaciones de los sistemas y servicios que lo
basado en la nube.
soporta.
- Llevar a cabo un proceso para la selección de un 12.1.1 Procedimientos operativos

proveedor para el servicio de soporte y documentados.
Posible falla e indisponibilidad Sistema de virtualización VMWARE Oficial de Seguridad de la En proceso, se ha generado los términos de referencia
Proceso de Gestión de Ausencia de soporte y Jefe de Tecnologías de la Prioridad (3) para su mantenimiento. . Coordinador de Infraestructura
40 Software Sistema de virtualización VMWARE 8 Falla e indisponibilidad del software R40 debido a la ausencia de soporte y mantenimiento especializado, lo cual Ninguno Débil Bajo Moderado Medio NO Requiere tratamiento Mitigar el riesgo 1/11/2020 12/31/2020 Bajo Menor Bajo Información / Analista en para la implementación de un servicio de mantenimiento En proceso
Operaciones de TI mantenimiento especializado Información tratamiento - Coordinar con el analista de seguridad la Tecnológica
generaría posible indisponibilidad de la plataforma tecnológica . Seguridad de la Información preventivo. Está en estudio de mercado.
elaboración de un cronograma para realizar los
parches
Posible falla del sistema operativo , hackeo y/o infección con código
malicioso a los sistema operativo Microsoft Windows( Server 2003, 2008
Proceso de Gestión de Sistema operativo Microsoft Windows Falla del sistema operativo, infección Falta de actualización de parches 2012 R2, Windows 7, Windows 8, Windows 10), debido a la falta de Jefe de Tecnologías de la Prioridad (2) para su - Implementar Windows Server Update Servicies 12.6.1 Gestión de la Coordinador de Infraestructura https://ositran.sharepoint.com/sites/JefaturadeTecnologiasdelaInformacion/3%20Gestin%20de%20TI/Forms/AllItems.aspx?RootFolder=%2fsites%2fJefaturadeTecnolog
41 Software 8 R41 Actualización a demanda Débil Medio Mayor Alto NO Requiere tratamiento Mitigar el riesgo 11/22/2019 12/31/2019 Bajo Menor Bajo Información / Analista en Implementado
Operaciones de TI (Server 2003, 2008 2012 R2, Windows 7, del código malicioso críticos actualización de los parches críticos de seguridad, lo cual generaría Información tratamiento (WSUS) vulnerabilidad técnica Tecnológica
Seguridad de la Información Pendiente.
Windows 8, Windows 10) pérdidas de confidencialidad, integridad y disponibilidad de la De la revisión de los aplicativos y las bases de datos de
información y paralización de las operaciones. los sistemas operativos W2003 y W2008 se atenderá la
recomendación para los siguientes aplicativos: SIGA
HISTORICO y SISTEMA DE VISITAS, dado que se
vienen utilizando de manera recurrente.
- Identificar las aplicaciones que están sobre
La 1era migración será unicamente por sistema
Windows Server 2003 y 2008 y verificar a nivel de
operativo.
desarrollo la factibilidad de la migración. 18.1.2 Derecho de propiedad Coordinador de Sistemas de 1/10/2020 15/11/2021
Posible falla , hackeo, infección de código malicioso al sistema operativo
El 14 de enero de 2020 finalizará intelectual Información Oficial de Seguridad de la
Proceso de Gestión de Sistema operativo Microsoft Windows Falla del software, hackers, infección Microsoft Windows Server 2008 R2 debido a que el 14 de enero de 2020 Jefe de Tecnologías de la Prioridad (3) para su En el caso del SIGA HISTORICO sería conveniente
42 Software 8 el soporte de Windows Server R42 Ninguno. Débil Medio Moderado Medio NO Requiere tratamiento Mitigar el riesgo - Migrar a otro sistema operativo con soporte vigente. Bajo Menor Bajo Información / Analista en Pendiente
Operaciones de TI Server 2008 R2 del código malicioso finalizará el soporte de Windows, lo cual generaría pérdidas de Información tratamiento migrar la base de datos de 10 G a 12 G (esto debería
2008 y 2008 R2. 12.6.1 Gestión de Coordinador de Infraestructura Seguridad de la Información
disponibilidad, integridad y confidencialidad de la información. ser en otra etapa), por ser un proyecto sumamente
- Actualizar a una nueva versión del sistema vulnerabilidades técnicas Tecnológica 01/06/2021 31/09/2021
complejo.
operativo Windows server 2012/2016 o eliminar el
S.O
En el caso de los otros sistemas SACA CLIENTE
SERVIDOR .- DBASE DE SISTEMAS HISTORICO DE
ASISTENCIAS (VISUAL ASIS), se realizará una
12.4.1 Registro de eventos consulta a efectos que se determine la procedencia de
Posible acciones no autorizadas en el motor de base de datos de - Habilitar la auditoría unificada de en el motor de la conservación de la información. (Información Historica
12.4.2 Protección de información Oficial de Seguridad de la
Proceso de Gestión de Ausencia de la Auditoría ORACLE 12C debido a la ausencia de activación de la auditoría Jefe de Tecnologías de la Almacenamiento de logs de auditoría por Prioridad (3) para su base de datos Oracle Coordinador de Infraestructura de
43 Software Motor de base de datos ORACLE 12c 8 Acciones no autorizadas R43 Débil Bajo Mayor Medio NO Requiere tratamiento Mitigar el riesgo de registros 1/6/2021 31/12/2021 Bajo Moderado Medio Información / Analista en Se antiguedad entre 5del
requiere el apoyo a 20 años)
DBA. Pendiente
Operaciones de TI Unificada (Unified Auditing) unificada (Unified Auditing), lo cual generaría pérdida de Información 3 días. tratamiento - Mayores recursos para el almacenamiento de los Tecnológica
12.4.2 Registros del administrador Seguridad de la Información
confidencialidad, integridad y trazabilidad ante la manipulación de datos. log generados por las base de datos.
y del operador.
Posible falla y/o indisponibilidad del motor de base de datos debido a

Proceso de Gestión de que si sucede algún incidente y no se cuente con el soporte, generaría Jefe de Tecnologías de la Prioridad (3) para su Coordinador de Infraestructura Ya se ha generado el soporte con Oracle para los
44 Software Motor de base de datos ORACLE 12c 8 Falla del software Soporte por vencer R44 Soporte vence en marzo del 2020 Fuerte Bajo Moderado Medio NO Requiere tratamiento Mitigar el riesgo - Renovar el soporte especializado con Oracle 11.2.4 Mantenimiento de equipos 12/2/2020 3/31/2020 Bajo Menor Bajo Información / Analista en Implementado
Operaciones de TI posibles pérdidas de disponibilidad y paralización de algunos servicios y Información tratamiento Tecnológica servidores y el cual vence en Noviembre.
sistemas de TI.
Posible indisponibilidad del servicio de base de datos en el motor de

Proceso de Gestión de base de datos del PostgreSQL debido a que no se cuenta soporte Jefe de Tecnologías de la Prioridad (2) para su - Renovar y/o suscribirse al soporte especializado con Coordinador de Infraestructura Requiere contratar un servicio especializado. Dependerá
45 Software Motor de base de datos PostgreSQL 8 Falla del software Falta de soporte especializado R45 Ninguno. Débil Medio Mayor Alto NO Requiere tratamiento Mitigar el riesgo 11.2.4 Mantenimiento de equipos 2/2/2021 3/31/2021 Bajo Menor Bajo Información / Analista en Pendiente
Operaciones de TI especializado, lo cual generaría una posible pérdida de disponibilidad y Información tratamiento PostgreSQL. Tecnológica de la habilitación de recursos presupuestales.
paralización de algunos servicios y sistemas de TI.
Posible falla, indisponibilidad del motor de base de datos ORACLE 12C

así como de PostgreSQL debido a las configuraciones débiles en los Oficial de Seguridad de la
Proceso de Gestión de Motor de base de datos ORACLE 12c Jefe de Tecnologías de la Prioridad (2) para su - Realizar un hardening a nivel de base de datos 12.6.1 Gestión de la Coordinador de Infraestructura
46 Software 8 Hacker, personas mal intencionadas Configuraciones débiles R46 motores mencionados, lo cual generaría pérdidas de disponibilidad Ninguno Débil Medio Mayor Alto NO Requiere tratamiento Mitigar el riesgo 1/6/2021 31/12/2021 Bajo Menor Bajo Información / Analista en Se espera contar con el DBA para su ejecución Pendiente
Operaciones de TI Motor de base de datos PostgreSQL Información tratamiento SGD y SIDECO. vulnerabilidad técnica Tecnológica
integridad y confidencialidad y paralización de algunos servicios de TI Seguridad de la Información
del proceso.
Posible falla, hackeo y/o infección con código malicioso al motor de base - Elaborar un cronograma que permita realizar un
de datos oracle 12c y PostgreSQL, debido a la falta de actualización de monitoreo de actualizaciones semestral de los
Proceso de Gestión de Motor de base de datos ORACLE 12c Falta de actualización de parches los parches críticos de seguridad, lo cual generaría pérdidas de Jefe de Tecnologías de la Prioridad (3) para su parches de los motores de bases de datos. 12.6.1 Gestión de la Coordinador de Infraestructura
47 Software 8 Hacker, personas mal intencionadas R47 Actualización a demanda Moderado Medio Moderado Medio NO Requiere tratamiento Mitigar el riesgo 1/6/2021 31/12/2021 Bajo Menor Bajo Información / Analista en Se espera contar con el DBA para su ejecución Pendiente
Operaciones de TI Motor de base de datos PostgreSQL críticos confidencialidad, integridad y disponibilidad de la información y Información tratamiento - Implementar un sistema automatizado para la vulnerabilidad técnica Tecnológica
paralización de las operaciones de los sistemas y servicios que lo descarga e instalación controlada de los parches y
soporta. actualización.
Posible indisponibilidad del del servicio de base de datos ORACLE 12C El Especialista de Redes y
- Gestionar la contratación de un colaborador Oficial de Seguridad de la
Proceso de Gestión de Indisponibilidad del servicio de base Ausencia de un administrador de debido a la ausencia de un personal especializado en la administración Jefe de Tecnologías de la Telecomunicaciones II cumple las Prioridad (3) para su Coordinador de Infraestructura
48 Software Motor de base de datos ORACLE 12c 8 R48 Moderado Bajo Mayor Medio NO Requiere tratamiento Mitigar el riesgo especializado para la administración de la base de 6.1.2 Segregación de funciones 10/1/2020 3/31/2021 Bajo Menor Bajo Información / Analista en Se espera contar con el DBA para su ejecución Pendiente
Operaciones de TI de datos base de datos especializado de la base de datos, la cual generaría pérdidas de confidencialidad, Información funciones de administrador de base tratamiento Tecnológica
datos ORACLE. Seguridad de la Información
integridad y disponibilidad y retraso en las operaciones institucionales. datos.

(24)
a (25) (26)
12.1.1 Procedimientos operativos

documentados.
A.12.4.2 Protección de
Posible falla y/o indisponibilidad del software, del motor de base de - Elaborar un cronograma para realizar el monitoreo y
información de registros Para elaborar el cronograma se requiere el apoyo de un
datos MYSQL, Motor de base de datos PostgreSQL debido a la falta de seguimiento de los parches de seguridad en las Oficial de Seguridad de la
Proceso de Gestión de Motor de base de datos MYSQL Falla y/o indisponibilidad del Jefe de Tecnologías de la Prioridad (3) para su A.9.2.5 Revisión de derechos de Coordinador de Infraestructura DBA
49 Software 8 Ausencia de parches críticos R49 actualizaciones de parches críticos, lo cual generaría pérdida de Parches a demanda Débil Bajo Moderado Medio NO Requiere tratamiento Mitigar el riesgo bases de datos. 2/2/2021 3/31/2021 Bajo Menor Bajo Información / Analista en Pendiente
Operaciones de TI Motor de base de datos PostgreSQL software Información tratamiento acceso de usuarios. Tecnológica Respecto al contrato de soporte se encuentra en
confidencialidad, integridad y disponibilidad de información de los Seguridad de la Información
A.9.2.6 Remoción o ajuste de proceso de renovacion.
procesos de negocio de la institución. - Renovar el contrato de soporte técnico.
derecho de acceso.
A.9.4.1 Restricción de acceso a la
información
Posible indisponibilidad por la falla del software del Sistema de gestión

Proceso de Gestión de Sistema de gestión de contenidos del SGD de contenidos del SGD - ALFRESCO, debido a que no se cuenta Jefe de Tecnologías de la Prioridad (2) para su - Adquirir la licencia del software ALFRESCO y 18.1.2 Derechos de propiedad Coordinador de Infraestructura
50 Software 8 Falla del software Falta de soporte R50 Monitoreo por parte del personal de JTI. Débil Medio Mayor Alto NO Requiere Tratamiento Mitigar el riesgo 2/15/2021 3/31/2021 Bajo Moderado Medio Información / Analista en Depende del presupuesto Pendiente
Operaciones de TI - ALFRESCO soporte del fabricante, lo que podría generar posibles pérdida de Información tratamiento soporte por parte del fabricante. intelectual Tecnológica
confidencialidad, integridad y disponibilidad.
Posibles errores en la administración del sistema de gestión de

Debilidades en las competencias Personal a cargo de la administración con Oficial de Seguridad de la
Proceso de Gestión de Sistema de gestión de contenidos del SGD Error de configuración y contenidos del SGD-ALFRESCO debido a las debilidades de las Jefe de Tecnologías de la Prioridad (3) para su - Gestionar la capacitación especializada en la 12.6.1 Gestión de la Coordinador de Infraestructura
51 Software 8 para la administración de la R51 habilidades básicas para administrar y Débil Bajo Moderado Medio NO Requiere Tratamiento Mitigar el riesgo 2/15/2021 3/31/2021 Bajo Menor Bajo Información / Analista en Depende del presupuesto Pendiente
Operaciones de TI - ALFRESCO administración de la plataforma competencias de los colaboradores que administran la plataforma Información tratamiento administración del ALFRESCO. vulnerabilidad técnica Tecnológica
plataforma ALFRESCO configurar la solución tecnológica. Seguridad de la Información
ALFRESCO; la cual podría generar la paralización del proceso.
Posible indisponibilidad por corrupción de la base de datos Sistema de

- Implementar un sistema en alta disponibilidad para Oficial de Seguridad de la
Proceso de Gestión de Sistema de gestión de contenidos del SGD gestión de contenidos del SGD - ALFRESCO debido a la falta de Jefe de Tecnologías de la Prioridad (2) para su 17.2.1 Instalaciones de Coordinador de Infraestructura
52 Software 8 Corrupción de la base de datos Falta de contingencia R52 Ninguno Débil Medio Mayor Alto NO Requiere Tratamiento Mitigar el riesgo el Sistema de gestión de contenidos de SGD - 2/2/2021 31/03/2021 Bajo Menor Bajo Información / Analista en En proceso de elaboracion de los TDR Pendiente
Operaciones de TI - ALFRESCO contingencias para el mismo, lo que generaría la paralización del Información tratamiento procesamiento de la información Tecnológica
ALFRESCO. Seguridad de la Información
proceso.
9.1.1 Política de Control de

- Políticas de contraseñas configuradas acceso.
Uso de contraseñas integradas en Posible acceso no autorizado a los servicios y sistemas de información en el Active Directory. 9.1.2. Acceso a redes y servicios
- Implementar un módulo central que gobierne el Oficial de Seguridad de la
Proceso de Gestión de Accesos no autorizados a los los servicios y sistemas de del alcance debido al uso de contraseñas integradas, lo que podría Jefe de Tecnologías de la - Gestión de contraseñas administradas Prioridad (3) para su de red. Coordinador de Sistemas de
53 Software Sistema mis aplicativos 8 R53 Moderado Bajo Moderado Medio NO Requiere Tratamiento Mitigar el riesgo control de acceso integrada a las aplicaciones y 2/2/2021 31/06/2021 Bajo Menor Bajo Información / Analista en Pendiente
Operaciones de TI servicios y sistemas de información . información administrados por la generar pérdidas de confidencialidad, integridad y disponibilidad de la Información por el Active Directory. tratamiento 9.2.3 Gestión de derechos de Información
sistemas de información del OSITRAN. Seguridad de la Información
JTI información. - Permiso por parte del administrador para acceso privilegiado.
el uso de los sistemas de información. 9.4.3. Sistema de gestión de
contraseñas
- Se tiene un Coordinador de
Posible indisponibilidad de los servicios y sistemas de información - Contratar un personal adicional para la
Infraestructura Tecnológica. Oficial de Seguridad de la
Proceso de Gestión de Especialista de Redes y Una sola persona para la administrado por el Especialista de Redes y Telecomunicaciones debido Jefe de Tecnologías de la Prioridad (3) para su administración de los servicios y sistemas de Jefe de Tecnologías de la
54 Personal 5 Ausencia del personal R54 - Se tiene procedimientos e instructivos Moderado Medio Moderado Medio SI Requiere Tratamiento Mitigar el riesgo ---- 11/1/2019 2/28/2020 Bajo Menor Bajo Información / Analista en Pendiente
Operaciones de TI Telecomunicaciones II administración a existe solo una persona para la administración, lo cual generaría Información tratamiento información de la infraestructura tecnológica (redes y Información
internos de administración de la Seguridad de la Información
indisponibilidad de servicios y/o plataformas tecnológica. base de datos).
infraestructura tecnológica.
Posible incorrecta administración de la s base de datos de la institución

El Especialista de Redes y Oficial de Seguridad de la
Proceso de Gestión de Incorrecta administración de la base Renuncia del administrador de debido a la renuncia inesperada del administrador de base de datos , la Jefe de Tecnologías de la Prioridad (3) para su - Contratar un personal para la administración de las Jefe de Tecnologías de la
55 Personal Administrador de base de datos 5 R55 Telecomunicaciones II hace las veces de Débil Medio Moderado Medio NO requiere tratamiento Mitigar el riesgo ---- 11/1/2019 4/30/2020 Bajo Menor Bajo Información / Analista en Pendiente
Operaciones de TI de datos base de datos cual generaría pérdidas de confidencialidad, integridad y disponibilidad Información tratamiento bases de datos intitucionales. Información
administrador de base de datos. Seguridad de la Información
de la información .
Posible ausencia de la Jefatura de tecnologías de la información, o el

Proceso de Gestión de Jefe de Tecnologías de la Información Casos fortuitos, fuerza mayor o Coordinador de infraestructura tecnológica debido a casos fortuitos o Encarga su función a otro colaborador de No requiere No se prioriza su
56 Personal 5 Ausencia del personal R56 Gerencia General Fuerte Bajo Menor Bajo SI
Operaciones de TI Coordinador de Infraestructura Tecnológica comisiones de servicio. fuerza mayor, la cual generaría un posible retraso en el desarrollo del la JTI durante su ausencia. tratamiento tratamiento
proceso.
Posible acceso no autorizado al centro de Datos Alterno debido a la falta

de listado personas autorizados con acceso, lo cual generaría una
Proceso de Gestión de Falta de listado de personas Jefe de Tecnologías de la Sistema automatizado de control de No Requiere No se prioriza su
57 Sitio Centros de Datos Alterno - sede Ositran 8 Accesos no autorizados R57 posible manipulación de equipos, pérdida de confidencialidad, integridad Moderado Bajo Menor Bajo SI
Operaciones de TI autorizadas con acceso Información accesos (biométrico) tratamiento tratamiento
y disponibilidad de la información y continuidad de operaciones
informáticas.
Posible indisponibilidad del centro de datos alterno debido a la falla del

aire acondicionado porque no se realiza el mantenimiento, lo cual Oficial de Seguridad de la
Proceso de Gestión de Indisponibilidad del aire Jefe de Tecnologías de la Prioridad (3) para su - Gestionar el mantenimiento por lo menos una vez al A.11.2.4 Mantenimiento de Coordinador de Infraestructura https://ositran.sharepoint.com/sites/JefaturadeTecnologiasdelaInformacion/3%20Gestin%20de%20TI/Forms/AllItems.aspx?RootFolder=%2fsites%2fJefaturadeTecnolog
58 Sitio Centros de Datos Alterno - sede Ositran 8 Ausencia de mantenimiento R58 generaría posible indisponibilidad de los servicios y/o sistemas de Ninguno Débil Bajo Mayor Medio NO Requiere tratamiento Mitigar el riesgo 8/9/2019 8/9/2019 Bajo Menor Bajo Información / Analista en Implementado
Operaciones de TI acondicionado Información tratamiento año equipos Tecnológica
información del OSITRANafectando el proceso de gestión de Seguridad de la Información
operaciones de TI.
Posible indisponibilidad del centro de datos alterno debido a la falla del

Proceso de Gestión de aire acondicionado por la falta de mantenimiento del UPS, lo cual Jefe de Tecnologías de la Prioridad (2) para su - Gestionar el mantenimiento por lo menos una vez al A.11.2.4 Mantenimiento de Coordinador de Infraestructura https://ositran.sharepoint.com/sites/JefaturadeTecnologiasdelaInformacion/3%20Gestin%20de%20TI/Forms/AllItems.aspx?RootFolder=%2fsites%2fJefaturadeTecnolog
59 Sitio Centros de Datos Alterno - sede Ositran 8 Falla del UPS Falta de mantenimiento del UPS R59 UPS sin mantenimiento Débil Medio Mayor Alto NO Requiere tratamiento Mitigar el riesgo 9/2/2019 9/2/2019 Bajo Moderado Medio Información / Analista en Implementado
Operaciones de TI generaría posible indisponibilidad de los servicios y/o sistemas de Información tratamiento año equipos Tecnológica
información del OSITRAN.
Posible acceso no autorizado al cuarto de comunicaciones debido a una - Solo personal autorizado tiene acceso al
Proceso de Gestión de Cuartos de comunicaciones de la sede débil gestión de acceso físico, lo cual generaría manipulación de los Jefe de Tecnologías de la ambiente mediante una llave No Requiere No se prioriza su
60 Sitio 8 Acceso no autorizado Débil gestión de accesos físicos R60 Fuerte Bajo Menor Bajo SI
Operaciones de TI central del OSITRAN equipos de comunicaciones e interrupción de la red de datos y por ende Información - Se tiene cámaras de video vigilancia tratamiento tratamiento
afecta los servicios y sistemas de información. próximo a los ambientes.
Posible acceso no autorizado al ambiente de trabajo del piso 3 de la

sede central de OSITRAN, debido a que existen mecanismos eficientes - Restringir el acceso a solo personal autorizado Oficial de Seguridad de la
Proceso de Gestión de Deficiencia de mecanismos de Jefe de Tecnologías de la - Personal de vigilancia de cada piso Prioridad (3) para su Jefa de Logística y Control
61 Sitio Ambiente de operaciones JTI 5 Acceso no autorizado R61 de acceso físico, lo cual generaría posibles pérdida de documentos, Débil Alto Menor Medio NO Requiere Tratamiento Mitigar el riesgo - Implementar un control automatizado para validar 11.1.2 Control de ingreso físico 10/21/2019 6/2/2020 Bajo Menor Bajo Información / Analista en Pendiente
Operaciones de TI acceso físico Información - Cámaras de Seguridad tratamiento Patrimonial
equipamiento informático afectando la confidencialidad, integridad y los accesos Seguridad de la Información
disponibilidad y retraso de las operaciones.
Proceso y La implementación de un Sistema de Gestión de Seguridad de la A la fecha bajo el patrocinio del CGD se Comité de Gobierno Digital
Proceso de Gestión de Prioridad (2) para su Explotar la - Implementar y mantener el Sistema de Gestión de Comité de Gobierno Digital
62 actividades del Proceso de gestión de operaciones de TI 8 O1 Información en cumplimiento de la Resolución Ministerial N°004-2016- Comité de Gobierno Digital viene implementando la ISO/IEC Moderado Alto Mayor Alto NO Requiere Tratamiento Oficial de Seguridad de la 1/3/2019 6/1/2021 Pendiente
Operaciones de TI tratamiento oportunidad Seguridad de la Información ISO/IEC 27001:2014
negocio PCM, permitirá la mejora de la seguridad de la información. 27001:2014. Información
Se encuentra en ejecución el Plan de

Proceso y Comité de Gobierno Digital Oficial de Seguridad de la
Proceso de Gestión de Implementación del marco regulatorio emitido por la PCM y la SEGDI Gobierno Digital 2019-2022, que Prioridad (2) para su Explotar la - Dar cumplimiento a la Ley 29733. Ley de protección
63 actividades del Proceso de gestión de operaciones de TI 8 O2 Comité de Gobierno Digital Moderado Alto Mayor Alto NO Requiere Tratamiento Oficial de Seguridad de la 5/10/2020 12/31/2020 Información / Analista en Pendiente
Operaciones de TI ayudaría a fortalecer la seguridad de la información y ciberseguridad. contempla proyectos para dar tratamiento oportunidad. de datos personales .
negocio Información Seguridad de la Información
cumplimiento al marco normativo vigente.
- Monitoreo y revisión por personal - Exigir el cumplimiento estricto del Sistema de Jefe de Tecnologías de la
Proceso y La infraestructura tecnológica del OSITRAN, está alojada en el centro de Oficial de Seguridad de la
Proceso de Gestión de Jefe de Tecnologías de la mensual de JTI. Prioridad (3) para su Explotar la Gestión de Seguridad de la Información ISO/IEC Información
64 actividades del Proceso de gestión de operaciones de TI 8 O3 datos de GTD en modalidad de housing la cual se cuenta implementado Moderado Medio Moderado Medio NO Requiere Tratamiento 1/3/2019 1/31/2020 Información / Analista en Pendiente
Operaciones de TI Información - Niveles de servicio establecido para el tratamiento oportunidad. 27001:2014 por parte del servicio de centro de datos Oficial de Seguridad de la
negocio y certificado la ISO/IEC 27001:2014. Seguridad de la Información
servicio tercerizado del data center. tercerizado Información

Proceso y - Implementar equipos de seguridad perimetral tales Comité de Gobierno Digital Oficial de Seguridad de la
Proceso de Gestión de Tecnología emergente que permitirá garantizar la seguridad de la Gobierno Digital 2019-2022, que Prioridad (2) para su Explotar la
65 actividades del Proceso de gestión de operaciones de TI 8 O4 Comité de Gobierno Digital Moderado Alto Mayor Alto NO Requiere Tratamiento como un SIEM, WAF, anti DOSS, escáner de Oficial de Seguridad de la 12/2/2019 12/31/2020 Información / Analista en Pendiente
Operaciones de TI información y la infraestructura tecnológica de la institución. contempla proyectos para dar tratamiento oportunidad.
negocio seguridad a nivel de red y seguridad. Información Seguridad de la Información
Código: PA-01-SGSI/ F-02
FORMATO
Versión: 01
Fecha de creación:
Matriz de Riesgos y Oportunidades de Seguridad de la Información 13/11/2019
Página: 1 de 1
Fecha de actualización 5-Aug-21 Proceso del alcance: Gestión de Operaciones de TI
IDENTIFICACIÓN DEL RIESGO ANALISIS DE RIESGO VALORACIÓN DEL RIESGO PLAN DE TRATAMIENTO DE RIESGOS/ OPORTUNIDADES SEGUIMIENTO
Plazos de Implementación
(23)
Activo (3) Activo (5) Oportunidad (8) Control (12) Consecuencia Oportunidad Apetito de Riesgo Tratamiento (17) Tratamiento (18) ISO/IEC 27001 vigente (21) Implementación (22) Probabilidad Seguimiento (27) Implementación (29)
(14) (15) establecido por la Entidad? Fecha de Fin de Ocurrencia
(24)
Otorgar equipos de seguridad y lockers asignados a
a (25) (26)
los colaborades de Scotibank con la finalidad que
puedan dejar sus equipos tecnológicos en las oficinas
de trabajo.
- 17.1.1 Planificación de
Posible pérdida de los equipos tecnológicos de la institución como
continuidad de seguridad de la
laptops, tokens, periféricos por robo debido a que el personal de Realizar y gestionar accesos de carpetas Oficial de Seguridad de la
Proceso de Gestión de Exposición al robo de los equipos No se cuenta con un plan Jefe de Tecnologías de la Prioridad (2) para su información. Jefe de Tecnologías de la
5 Hardware Equipos tecnológicos 10 R05 Scotiabank suele trasladarse con frecuencia a las distintas sucursales, lo Ninguno. Débil Medio Critico Alto NO Requiere tratamiento Mitigar el riesgo compartidas para que se guarde la información en un 10/23/2023 12/31/2023 Medio Menor Medio Información / Analista en En proceso
Operaciones de TI tecnológicos alternativo en caaso suceda Información tratamiento - 17.1.3 Verificación revisión y Información
que paralizaría las actividades laborales del personal y contribuiría a la sharepoint en caso de la pérdida de datos. Seguridad de la Información
evaluación de continuidad de
pérdida de datos
seguridad de la información.
Tener disponibles cierta cantidad de equipos fijos
(computadoras) en las oficinas de trabajo y que lo
colaboradores puedan accesar a ellas a través de
sus credenciales para laborar con normalidad
-Realizar revisiones al código (procedimientos
almacenados, “trigers”, entre otros) de los sistemas
de información SGD y SIDECO, para optimizar y 12.6.1 Gestión de la Coordinador de Sistemas de
- El personal de desarrollo realiza pruebas
Programación deficiente en Posible degradación del rendimiento de las Bases de datos mejorar el rendimiento de los procesos relacionados. vulnerabilidad técnica Información Oficial de Seguridad de la
Proceso de Gestión de Degradación del rendimiento de la Jefe de Tecnologías de la básicas de aseguramiento de calidad. Prioridad (3) para su
15 Información Bases de datos institucionales 9 queries (Queries sin índices, entre R15 institucionales, debido a la programación deficiente en los queries, lo Débil Bajo Mayor Medio NO Requiere Tratamiento Mitigar el riesgo -Realizar revisiones de los “trigers” (procesos o 14.2.1 Política de desarrollo 8/20/2021 3/30/2022 Bajo Moderado Medio Información / Analista en Pendiente
Operaciones de TI base de datos. Información - Servicio Control de monitoreo con tratamiento
otros) cual generaría posibles pérdidas de disponibilidad de la información. tareas programadas automáticamente) en la seguro Coordinador de Infraestructura Seguridad de la Información
Umbrales de BD, procesador, memoria
programación de SGD y SIDECO. Se busca evitar Tecnológica
errores o tareas sin usar, en el funcionamiento normal
de los sistemas de información.
Política de seguridad de
contraseñas sólida: Esta política
debe requerir que los empleados
utilicen contraseñas largas y
Implementar un sistema de gestión de amenazas y
complejas, que cambien sus
vulnerabilidades (SIEM)
contraseñas con regularidad y que
Políticas y procedimientos de seguridad Implementar un sistema de gestión de eventos de
Un ataque de ransomware es un tipo de ataque cibernético en el que los no compartan sus contraseñas
de la información que requieren que los seguridad (SIEM)
Empleados y clientes atacantes cifran los datos de la víctima y exigen un rescate en con nadie. Departamento de seguridad
Proceso de Gestión de Información confidencial Robo de datos Jefe de Tecnologías de la empleados utilicen contraseñas seguras y Prioridad (2) para su Realizar copias de seguridad de los datos con Departamento de TI
13 Información 10 desprevenidos R13 criptomoneda para descifrarlos. Si el Scotiabank fuera víctima de un Moderado Medio Critico Alto NO Requiere Tratamiento Mitigar el riesgo Capacitación de seguridad 10/25/2023 11/30/2023 Medio Menor Medio de la información Pendiente
Operaciones de TI Información que los sistemas informáticos se tratamiento regularidad y almacenarlas en un lugar seguro
ataque de ransomware, podría experimentar una interrupción de los cibernética para los empleados:
actualicen regularmente. Implementar una política de seguridad de
servicios, una pérdida de datos y un daño a la reputación. Esta capacitación debe enseñar a
contraseñas sólida
los empleados a identificar y evitar
Educar a los empleados sobre las amenazas
los ataques de phishing.
cibernéticas y cómo protegerse
Software de seguridad de correo
electrónico: Este software puede
ayudar a identificar y bloquear los
correos electrónicos de phishing.
- Segregación de usuarios de acuerdo al A.9.4.1 Restricción de acceso a la

- Separar físicamente y lógicamente el ambiente de
Posible acceso no autorizado a la información de la Bases de datos perfil información
pruebas del SGD y SIDECO Oficial de Seguridad de la
Proceso de Gestión de Acceso no autorizado a las bases de No se tiene ambientes separados institucionales, debido a que no se tiene separado los ambientes de Jefe de Tecnologías de la - Usuarios específicos para consulta Prioridad (3) para su A12.1.4 Separación de entornos Coordinador de Infraestructura
17 Información Bases de datos institucionales 8 R17 Débil Bajo Mayor Medio NO Requiere Tratamiento Mitigar el riesgo 8/1/2021 11/30/2021 Muy Bajo Moderado Bajo Información / Analista en En proceso
Operaciones de TI datos de producción de desarrollo, calidad producción desarrollo, calidad y producción, lo cual generaría posibles pérdidas de Información segregados tratamiento de desarrollo, pruebas y Tecnológica
- Segregar a nivel de redes los entornos e desarrollo, Seguridad de la Información
confidencialidad, integridad y disponibilidad de la información. - Revisiones a demanda. producción
pruebas y producción
- Se cuenta con ambientes de desarrollo. A.13.1.1.3 Segregación de redes

Proceso y - Implementar equipos de seguridad perimetral tales
Proceso de Gestión de Tecnología emergente que permitirá garantizar la seguridad de la Gobierno Digital 2019-2022, que Prioridad (2) para su Explotar la Oficial de Seguridad de la Oficial de Seguridad de la
69 actividades del Proceso de gestión de operaciones de TI 8 O4 Comité de Gobierno Digital Moderado Alto Mayor Alto NO Requiere Tratamiento como un SIEM, WAF, anti DOSS, escáner de 8/1/2021 12/31/2021 Pendiente
Operaciones de TI información y la infraestructura tecnológica de la institución. contempla proyectos para dar tratamiento oportunidad. Información Información
negocio seguridad a nivel de red y seguridad.

Matriz Gestión de Riesgos y Oportunidades

Cargado por

Copyright:

Formatos disponibles

Matriz Gestión de Riesgos y Oportunidades

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Matriz Gestión de Riesgos y Oportunidades

Cargado por

Copyright:

Formatos disponibles

Código: SGSI.DC.

Fecha de actualización 19-Mar-21 Proceso del alcance: Gestión de Operaciones de TI

Plazos de Implementación Aprobación de riesgo

Posibles errores en la ejecución de las actividades del proceso debido a

- Formalizar las contrataciones suficientes del Jefe de Tecnologías de la

Posible indisponibilidad de servicios y sistemas de información debido a

Posibles retrasos en las operaciones de implementación, desarrollo o Coordinador de Sistemas de

Posible acceso no autorizado al excel con claves administradoras de la

Posible acceso no autorizado, robo, manipulación de información

Posible incumplimiento de las políticas de seguridad implementadas en

No se tiene configurada alguna

- Realizar un análisis de vulnerabilidades técnicas

Posible indisponibilidad de las Bases de datos institucionales del

A.9.4.1 Restricción de acceso a la

Clúster de servidores 1 - CLUSTER

Clúster de servidores 1 - CLUSTER

Actualmente se cuenta con contrato de soporte para

Plazos de Implementación Aprobación de riesgo

Posible saturación del sistema del servidor aplicaciones SGD, Servidor

Posible indisponibilidad del servidor del directorio activo debido a que la

Posible indisponibilidad de la central telefónica debido a la Oficial de Seguridad de la

Posible infección de código malicioso (malware, virus, troyano, gusano

Posible acceso no autorizado al repositorio del Sharepoint carpeta JTI y

Posible incidente de seguridad de la información relacionado a la

Posible falla del Swicht Core DATACENTER GTD debido a la falta de un

Posible indisponibilidad, acciones no autorizadas por personal de las

Posibles acciones no autorizadas por personal de la empresa

Posible falla del sistema operativo Microsoft Windows Server 2012 R2

Sistema operativo ORACLE LINUX

- Llevar a cabo un proceso para la selección de un 12.1.1 Procedimientos operativos

Posible falla y/o indisponibilidad del motor de base de datos debido a

Posible indisponibilidad del servicio de base de datos en el motor de

Posible falla, indisponibilidad del motor de base de datos ORACLE 12C

Plazos de Implementación Aprobación de riesgo

12.1.1 Procedimientos operativos

Posible indisponibilidad por la falla del software del Sistema de gestión

Posibles errores en la administración del sistema de gestión de

Posible indisponibilidad por corrupción de la base de datos Sistema de

9.1.1 Política de Control de

Posible incorrecta administración de la s base de datos de la institución

Posible ausencia de la Jefatura de tecnologías de la información, o el

Posible acceso no autorizado al centro de Datos Alterno debido a la falta

Posible indisponibilidad del centro de datos alterno debido a la falla del

Posible indisponibilidad del centro de datos alterno debido a la falla del

Posible acceso no autorizado al ambiente de trabajo del piso 3 de la

Se encuentra en ejecución el Plan de

Se encuentra en ejecución el Plan de

Fecha de actualización 5-Aug-21 Proceso del alcance: Gestión de Operaciones de TI

- Segregación de usuarios de acuerdo al A.9.4.1 Restricción de acceso a la

Se encuentra en ejecución el Plan de

También podría gustarte