Formulación sistema de gestión de la seguridad de la información Sgsi en empresas dedicadas a la consultoría y el levantamiento de información
49
0
0
Texto completo
(2) ANEXO A. CRONOGRAMA.
(3) ANEXO B. SALVAGUARDAS. ID H H.IA H.AC H.ST H.IR H.tools H.tools.AV H.tools.IDS H.tools.CC H.tools.VA H.tools.TM H.tools.DLP H.tools.LA H.tools.HP H.tools.SFV H.VM H.AU D.A D.I D.C D.DS D.TS K K.IC K.DS K.disk K.comms K.509 S S.A S.start S.SC S.op S.CM S.end. NOMBRE SALVAGUARDA PROTECCIÓN TRANSVERSAL Protecciones Generales Identificación y autenticación Control de acceso lógico Segregación de tareas Gestión de incidencias Herramientas de seguridad Herramienta contra código dañino IDS/IPS Herramienta de detección / prevención de intrusión Herramienta de chequeo de configuración Herramienta de análisis de vulnerabilidades Herramienta de monitorización de tráfico DLP: Herramienta de monitorización de contenidos Herramienta para análisis de logs Honey net / honey pot Verificación de las funciones de seguridad Gestión de vulnerabilidades Registro y auditoría PROTECIÓN DE LOS DATOS/ INFORMACIÓN Copias de seguridad de los datos (backup) Aseguramiento de la integridad Cifrado de la información Uso de firmas electrónicas Uso de servicios de fechado electrónico (time stamping) PROTECCIÓN DE LAS CLAVES CRIPTOGRAFICAS Gestión de claves criptográficas Gestión de claves de cifra de información Gestión de claves de firma de información Gestión de claves para contenedores criptográficos Gestión de claves de comunicaciones Gestión de certificados PROTECCIÓN DE LOS SERVICIOS Protección de los Servicios Aseguramiento de la disponibilidad Aceptación y puesta en operación Se aplican perfiles de seguridad Explotación Gestión de cambios (mejoras y sustituciones) Terminación.
(4) S.www S.email S.dir S.dns S.TW S.voip. Protección de servicios y aplicaciones web Protección del correo electrónico Protección del directorio Protección del servidor de nombres de dominio (DNS) Teletrabajo Voz sobre IP PROTECCIÓN DE SOFTWARE SW Protección de las Aplicaciones Informáticas SW.A Copias de seguridad (backup) SW.start Puesta en producción SW.SC Se aplican perfiles de seguridad SW.op Explotación / Producción SW.CM Cambios (actualizaciones y mantenimiento) SW.end Terminación PROTECCIÓN DE EQUIPOS/ HARDWARE HW Protección de los Equipos Informáticos HW.start Puesta en producción HW.SC Se aplican perfiles de seguridad HW.A Aseguramiento de la disponibilidad HW.op Operación HW.CM Cambios (actualizaciones y mantenimiento) HW.end Terminación HW.PCD Informática móvil HW.print Reproducción de documentos HW.pabx Protección de la centralita telefónica (PABX) PROTECCIÓN DE LAS COMUNICACIONES COM Protección de las Comunicaciones COM.start Entrada en servicio COM.SC Se aplican perfiles de seguridad COM.A Aseguramiento de la disponibilidad COM.aut Autenticación del canal COM.I Protección de la integridad de los datos intercambiados COM.C Protección criptográfica de la confidencialidad de los datos intercambiados COM.op Operación COM.CM Cambios (actualizaciones y mantenimiento) COM.end Terminación COM.internet Internet uso de acceso a COM.wifi Seguridad Wireless (WiFi) COM.mobile Telefonía móvil COM.DS Segregación de las redes en dominios PROTECCIÓN PUNTOS DE INTERCONEXIÓN CON OTROS SISTEMAS IP Puntos de interconexión: conexiones entre zonas de confianza IP.SPP Sistema de protección perimetral.
(5) IP.BS. G G.RM G.plan G.exam. Protección de los equipos de frontera PROTECCIÓN SOPORTES DE INFORMACIÓN Protección de los Soportes de Información Aseguramiento de la disponibilidad Protección criptográfica del contenido Limpieza de contenidos Destrucción de soportes PROTECCIÓN ELEMENTOS AUXILIARES Elementos Auxiliares Aseguramiento de la disponibilidad Instalación Suministro eléctrico Climatización Protección del cableado PROTECCIÓN INSTALACIONES / DE SITIO Diseño Defensa en profundidad Control de los accesos físicos Aseguramiento de la disponibilidad Terminación SEGURIDAD RELATIVA A PERSONAS Gestión del Personal Formación y concienciación Aseguramiento de la disponibilidad SALVAGUARDA CONTINUIDAD DE OPERACIONES Continuidad del negocio Análisis de impacto (BIA) Plan de Recuperación de Desastres (DRP) SALVAGUARDA DE TIPO ORGANIZATIVO Organización Gestión de riesgos Planificación de la seguridad Inspecciones de seguridad. E E.1 E.2 E.3 E.4. EXTERNALIZACIÓN Relaciones Externas Acuerdos para intercambio de información y software Acceso externo Servicios proporcionados por otras organizaciones Personal subcontratado. MP MP.A MP.IC MP.clean MP.end AUX AUX.A AUX.start AUX.power AUX.AC AUX.wires L.design L.depth L.AC L.A L.end PS PS.AT PS.A BC BC.BIA BC.DRP.
(6) NEW NEW.S NEW.SW NEW.HW NEW.COM NEW.MP NEW.C. ADQUISICION Y DESARROLLO Adquisición / desarrollo Servicios: Adquisición o desarrollo Aplicaciones: Adquisición o desarrollo Equipos: Adquisición o desarrollo Comunicaciones: Adquisición o contratación Soportes de Información: Adquisición Productos certificados o acreditados.
(7) ANEXO C. IMPACTO POTENCIAL. Identificación Nombre. C. 6 Almacenamiento de información 8 Desarrolladores 6 Desarrollos a medida y/o propios de la organización 7 Fluido Eléctrico 8 Hojas de Vida 3 Manuales de Usuario 8 Routers Servidores Aplicaciones/ Contenedores Sistemas Operativos. CD/DVD Dispositivos móviles Memoria USB Teléfonos Usuarios externos Base de Datos Información en carpetas compartidas en red Licencias. Material Físico (Impreso) Analista Archivos de Datos Cámaras de Seguridad Canalización de red de datos Canalización de red eléctrica Capacitaciones Clientes Discos Portables Entregables (CD/DVD) Equipos multifuncional Formatos Funcionales Impresoras Información memorias USB Instalación de red de datos Instalación de red eléctrica Internet Lector Huella Dactilar Navegadores Office. Personal Administrativo Planta de la Organización Proveedores QA Red Inalámbrica Telefonía Usuarios Internos Antivirus. Computadores de escritorio Contratos Desarrollo – IDE. Documentación del sistema Documentos internos Información Disco Portables Modems Motor de Base de Datos. Portátiles Servidores Claves criptograficas. 7 7 4 4 4 4 3 10 10 10 10 7 4 4 7 7 7 3 6 6 5 6 6 5 6 7 7 6 4 3 4 8 7 3 6 4 4 5 7 7 9 7 8 9 9 8 7 7 7 10. I Uso Interno Restringido Uso Interno Uso Interno Restringido Pública Restringido Uso Interno Uso Interno Uso Interno Uso Interno Uso Interno Uso Interno Pública Restringido Restringido Restringido Restringido Uso Interno Uso Interno Uso Interno Uso Interno Uso Interno Uso Interno Pública Uso Interno Uso Interno Uso Interno Uso Interno Uso Interno Uso Interno Uso Interno Uso Interno Uso Interno Uso Interno Uso Interno Pública Uso Interno Restringido Uso Interno Pública Uso Interno Uso Interno Uso Interno Uso Interno Uso Interno Uso Interno Restringido Uso Interno Restringido Restringido Restringido Restringido Uso Interno Uso Interno Uso Interno Restringido. 6 0 8 5 8 7 8 7 5 2 2 2 2 0 10 10 9 10 0 8 5 0 0 7 0 4 5 4 5 0 4 5 0 0 5 5 2 5 0 0 0 0 3 5 0 8 8 10 8 8 10 9 8 8 8 8 10. Medio Despreciable Alto Medio Alto Alto Alto Alto Medio Bajo Bajo Bajo Bajo Despreciable Extremo Extremo Muy Alto Extremo Despreciable Alto Medio Despreciable Despreciable Alto Despreciable Medio Medio Medio Medio Despreciable Medio Medio Despreciable Despreciable Medio Medio Bajo Medio Despreciable Despreciable Despreciable Despreciable Medio Medio Despreciable Alto Alto Extremo Alto Alto Extremo Muy Alto Alto Alto Alto Alto Extremo. IMPACTO POTENCIAL Clasificación D 8 Alto 10 Extremo 8 Alto 10 Extremo 8 Alto 8 Alto 8 Alto 10 Extremo 10 Extremo 2 Bajo 2 Bajo 2 Bajo 2 Bajo 4 Medio 10 Extremo 10 Extremo 9 Muy Alto 10 Extremo 9 Muy Alto 5 Medio 5 Medio 9 Muy Alto 10 Extremo 3 Medio 8 Alto 4 Medio 5 Medio 3 Medio 6 Alto 7 Alto 3 Medio 5 Medio 9 Muy Alto 10 Extremo 3 Medio 5 Medio 4 Medio 5 Medio 8 Alto 10 Extremo 7 Alto 7 Alto 2 Bajo 3 Medio 8 Alto 10 Extremo 10 Extremo 8 Alto 10 Extremo 10 Extremo 8 Alto 8 Alto 10 Extremo 10 Extremo 10 Extremo 10 Extremo 9 Muy Alto. A 6 0 8 5 8 7 8 7 5 2 2 2 2 0 10 10 9 10 0 8 5 0 0 7 0 4 5 4 5 0 4 5 0 0 5 5 2 5 0 0 0 0 3 5 0 8 8 10 8 8 10 9 8 8 8 8 10. Medio Despreciable Alto Medio Alto Alto Alto Alto Medio Bajo Bajo Bajo Bajo Despreciable Extremo Extremo Muy Alto Extremo Despreciable Alto Medio Despreciable Despreciable Alto Despreciable Medio Medio Medio Medio Despreciable Medio Medio Despreciable Despreciable Medio Medio Bajo Medio Despreciable Despreciable Despreciable Despreciable Medio Medio Despreciable Alto Alto Extremo Alto Alto Extremo Muy Alto Alto Alto Alto Alto Extremo. Valoración. T 8 10 8 10 8 8 8 10 10 2 2 2 2 4 10 10 9 10 9 5 5 9 10 3 8 4 5 3 6 7 3 5 9 10 3 5 4 5 8 10 7 7 2 3 8 10 10 8 10 10 8 8 10 10 10 10 9. Alto Extremo Alto Extremo Alto Alto Alto Extremo Extremo Bajo Bajo Bajo Bajo Medio Extremo Extremo Muy Alto Extremo Muy Alto Medio Medio Muy Alto Extremo Medio Alto Medio Medio Medio Alto Alto Medio Medio Muy Alto Extremo Medio Medio Medio Medio Alto Extremo Alto Alto Bajo Medio Alto Extremo Extremo Alto Extremo Extremo Alto Alto Extremo Extremo Extremo Extremo Muy Alto. 34 28 38 37 40 33 40 41 37 12 12 12 12 11 50 50 46 50 25 30 24 25 27 27 19 22 26 19 28 20 19 26 25 27 22 24 15 24 24 27 17 20 14 20 21 43 43 45 43 44 45 43 44 43 43 43 48. 0,7 0,6 0,8 0,7 0,8 0,7 0,8 0,8 0,7 0,2 0,2 0,2 0,2 0,2 1,0 1,0 0,9 1,0 0,5 0,6 0,5 0,5 0,5 0,5 0,4 0,4 0,5 0,4 0,6 0,4 0,4 0,5 0,5 0,5 0,4 0,5 0,3 0,5 0,5 0,5 0,3 0,4 0,3 0,4 0,4 0,9 0,9 0,9 0,9 0,9 0,9 0,9 0,9 0,9 0,9 0,9 1,0. Alto Alto Alto Alto Alto Alto Alto Alto Alto Bajo Bajo Bajo Bajo Bajo Extremo Extremo Extremo Extremo Medio Medio Medio Medio Medio Medio Medio Medio Medio Medio Medio Medio Medio Medio Medio Medio Medio Medio Medio Medio Medio Medio Medio Medio Medio Medio Medio Muy Alto Muy Alto Muy Alto Muy Alto Muy Alto Muy Alto Muy Alto Muy Alto Muy Alto Muy Alto Muy Alto Muy Alto.
(8) ANEXO D. RIESGO POTENCIAL RIESGO POTENCIAL. ACTIVO. AUX-000001. AUX-000002. AUX-000003. AUX-000004. AUX-000005. AUX-000006. AMENAZA. Daño al medio de almacenamiento. Daño al medio de capacitación. Fallo en el suministro electrico. Fallo en el suministro de internet. PROBABILIDAD DE OCURRENCIA IMPACTO. MB. MB. M. B. Fallo en el suministro de red M inalambrica. Fallo en el suministro de telefonía. M. M. A. MA. A. M. M. ZONA. TIPO SALVAGUARDA. CONTROL PREVENTIVO. CONTROL DETECTIVO. ZONA 2. COM COM.start COM.SC COM.A COM.aut COM.I COM.C COM.op COM.CM COM.end COM.internet COM.wifi COM.mobile COM.DS. Protección de las Comunicaciones Entrada en servicio Se aplican perfiles de seguridad Aseguramiento de la disponibilidad Autenticación del canal Protección de la integridad de los datos intercambiados Protección criptográfica de la confidencialidad de los datos intercambiados Operación Cambios (actualizaciones y mantenimiento) Terminación Internet uso de acceso a Seguridad Wireless (WiFi) Telefonía móvil Segregación de las redes en dominios. Mitigar los efectos aislando el sistema Gestión de cambios de infraestructura. afectado. -Documentación de los procedimientos Analizar y restablecer el servicio de operación mediante el bloqueo de conexiones bajo previa identificación de origen de -Reevaluar los controles existentes ataque DDos. agregar y o modificar control(es) que fueron detectados ineficientes ante el Evaluar si se requiere comunicación ataque. interna y/o externa del evento.. ZONA 4. COM COM.start COM.SC COM.A COM.aut COM.I COM.C COM.op COM.CM COM.end COM.internet COM.wifi COM.mobile COM.DS. Protección de las Comunicaciones Entrada en servicio Se aplican perfiles de seguridad Aseguramiento de la disponibilidad Autenticación del canal Protección de la integridad de los datos intercambiados Protección criptográfica de la confidencialidad de los datos intercambiados Operación Cambios (actualizaciones y mantenimiento) Terminación Internet uso de acceso a Seguridad Wireless (WiFi) Telefonía móvil Segregación de las redes en dominios. Mitigar los efectos aislando el sistema Gestión de cambios de infraestructura. afectado. -Documentación de los procedimientos Analizar y restablecer el servicio de operación mediante el bloqueo de conexiones bajo previa identificación de origen de -Reevaluar los controles existentes ataque DDos. agregar y o modificar control(es) que fueron detectados ineficientes ante el Evaluar si se requiere comunicación ataque. interna y/o externa del evento.. Elementos Auxiliares Aseguramiento de la disponibilidad Instalación Suministro eléctrico Climatización Protección del cableado. Mitigar los efectos aislando el sistema Gestión de cambios de infraestructura. afectado. -Documentación de los procedimientos Analizar y restablecer el servicio de operación mediante el bloqueo de conexiones bajo previa identificación de origen de -Reevaluar los controles existentes ataque DDos. agregar y o modificar control(es) que fueron detectados ineficientes ante el Evaluar si se requiere comunicación ataque. interna y/o externa del evento.. CONTROL CORRECTIVO. ZONA 2. AUX AUX.A AUX.start AUX.power AUX.AC AUX.wires. ZONA 4. AUX AUX.A AUX.start AUX.power AUX.AC AUX.wires COM COM.start COM.SC COM.A COM.aut COM.I COM.C COM.op COM.CM COM.end COM.internet COM.wifi COM.mobile COM.DS. Elementos Auxiliares Aseguramiento de la disponibilidad Instalación Suministro eléctrico Climatización Protección del cableado Protección de las Comunicaciones Entrada en servicio Se aplican perfiles de seguridad Aseguramiento de la disponibilidad Autenticación del canal Protección de la integridad de los datos intercambiados Protección criptográfica de la confidencialidad de los datos intercambiados Operación Cambios (actualizaciones y mantenimiento) Terminación Internet uso de acceso a Seguridad Wireless (WiFi) Telefonía móvil Segregación de las redes en dominios. Mitigar los efectos aislando el sistema Gestión de cambios de infraestructura. afectado. -Documentación de los procedimientos Analizar y restablecer el servicio de operación. mediante el bloqueo de conexiones bajo previa identificación de origen de ataque DDos. -Solicitar el correspondiente soporte por parte del proveedor. Evaluar si se requiere comunicación interna y/o externa del evento. -Aplicar los acuerdos y sanciones relacionadas en la contratación.. Elementos Auxiliares Aseguramiento de la disponibilidad Instalación Suministro eléctrico Climatización Protección del cableado Protección de las Comunicaciones Entrada en servicio Se aplican perfiles de seguridad Aseguramiento de la disponibilidad Autenticación del canal Protección de la integridad de los datos intercambiados Protección criptográfica de la confidencialidad de los datos intercambiados Operación Cambios (actualizaciones y mantenimiento) Terminación Internet uso de acceso a Seguridad Wireless (WiFi) Telefonía móvil Segregación de las redes en dominios. Mitigar los efectos aislando el sistema Gestión de cambios de infraestructura. afectado. -Documentación de los procedimientos Analizar y restablecer el servicio de operación mediante el bloqueo de conexiones bajo previa identificación de origen de -Reevaluar los controles existentes ataque DDos. agregar y o modificar control(es) que fueron detectados ineficientes ante el Evaluar si se requiere comunicación ataque. interna y/o externa del evento.. ZONA 2. AUX AUX.A AUX.start AUX.power AUX.AC AUX.wires COM COM.start COM.SC COM.A COM.aut COM.I COM.C COM.op COM.CM COM.end COM.internet COM.wifi COM.mobile COM.DS. Elementos Auxiliares Aseguramiento de la disponibilidad Instalación Suministro eléctrico Climatización Protección del cableado Protección de las Comunicaciones Entrada en servicio Se aplican perfiles de seguridad Aseguramiento de la disponibilidad Autenticación del canal Protección de la integridad de los datos intercambiados Protección criptográfica de la confidencialidad de los datos intercambiados Operación Cambios (actualizaciones y mantenimiento) Terminación Internet uso de acceso a Seguridad Wireless (WiFi) Telefonía móvil Segregación de las redes en dominios. Mitigar los efectos aislando el sistema Gestión de cambios de infraestructura. afectado. -Documentación de los procedimientos Analizar y restablecer el servicio de operación mediante el bloqueo de conexiones bajo previa identificación de origen de -Reevaluar los controles existentes ataque DDos. agregar y o modificar control(es) que fueron detectados ineficientes ante el Evaluar si se requiere comunicación ataque. interna y/o externa del evento.. ZONA 1. AUX AUX.A AUX.start AUX.power AUX.AC AUX.wires COM COM.start COM.SC COM.A COM.aut COM.I COM.C COM.op COM.CM COM.end COM.internet COM.wifi COM.mobile COM.DS. -Evaluar si se requiere hacer extensivo un comunicado interno y/o externo respecto a la situación presentada.
(9) RIESGO POTENCIAL. ACTIVO. D-000001. D-000001. AMENAZA. Hurto de Información. Ingreso de datos falsos o corruptos. PROBABILIDAD DE OCURRENCIA IMPACTO. MA. A. MA. A. ZONA. ZONA 1. ZONA 1. TIPO SALVAGUARDA D.A D.I D.C D.DS D.TS. D.A D.I D.C D.DS D.TS. CONTROL PREVENTIVO. CONTROL DETECTIVO. Procedimientos y políticas de información y software -Controles contra el código malicioso -Seguridad en los servicios de red. Separación de los recursos de desarrollo, prueba y operación. -Ejecutar software de control, administración y mantenimiento de redes Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. CONTROL CORRECTIVO Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades.. D-000001. Corrupción de los datos. M. M. ZONA 2. D.A D.I D.C D.DS D.TS. Evaluar el perímetro de seguridad física -Control de conexión a la red -Emplazamiento y protección de equipos -Autenticación de usuario para conexiones externas Controles físicos de entrada -Diagnostico remoto y protección de los equipos. Establecer un manual del uso y Gestión de cambios de infraestructura. privacidad de datos, contraseñas, etc. Correctivos: -Documentación de los procedimientos -Establecer tiempos cortos para de operación renovación de contraseñas -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000001. Intrusión, accesos forzados al MA sistema. MA. ZONA 1. D.A D.I D.C D.DS D.TS. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000001. Manipulación con Software. A. A. ZONA 1. D.A D.I D.C D.DS D.TS. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000001. Saturación del Sistema de Información. M. M. ZONA 4. D.A D.I D.C D.DS D.TS. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades.. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque..
(10) RIESGO POTENCIAL. ACTIVO. AMENAZA. PROBABILIDAD DE OCURRENCIA IMPACTO. ZONA. TIPO SALVAGUARDA. CONTROL PREVENTIVO. CONTROL DETECTIVO. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000002. Destrucción del equipo o de MB los Medios. MB. ZONA 3. D.A D.I D.C D.DS D.TS. CONTROL CORRECTIVO Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000002. Hurto de Información. M. M. ZONA 1. D.A D.I D.C D.DS D.TS. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades.. D-000002. Recuperación de medios reciclados o desechados. MB. MB. ZONA 1. D.A D.I D.C D.DS D.TS. utilizar medios de destrucción de documentos como trituradoras de papel capacitación y cocnientización sobre el desechado de documentos con información sensible Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000002. Corrupción de los datos. A. A. ZONA 1. D.A D.I D.C D.DS D.TS. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades.. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque..
(11) RIESGO POTENCIAL. ACTIVO. AMENAZA. PROBABILIDAD DE OCURRENCIA IMPACTO. ZONA. TIPO SALVAGUARDA. CONTROL PREVENTIVO. CONTROL DETECTIVO. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000003. Hurto de Información. A. A. ZONA 1. D.A D.I D.C D.DS D.TS. CONTROL CORRECTIVO Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000003. Recuperación de medios reciclados o desechados. MB. MB. ZONA 1. D.A D.I D.C D.DS D.TS. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000003. Corrupción de los datos. M. M. ZONA 1. D.A D.I D.C D.DS D.TS. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000003. Destrucción del equipo o de MB los Medios. MB. ZONA 1. D.A D.I D.C D.DS D.TS. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades.. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque..
(12) RIESGO POTENCIAL. ACTIVO. AMENAZA. PROBABILIDAD DE OCURRENCIA IMPACTO. ZONA. TIPO SALVAGUARDA. CONTROL PREVENTIVO. CONTROL DETECTIVO. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000004. Recuperación de medios reciclados o desechados. MB. B. ZONA 3. D.A D.I D.C D.DS D.TS. CONTROL CORRECTIVO Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000004. Destrucción del equipo o de MB los Medios. A. ZONA 4. D.A D.I D.C D.DS D.TS. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000004. Hurto de Información. M. MA. ZONA 4. D.A D.I D.C D.DS D.TS. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000004. Procesamiento ilegal de los d MB atos. A. ZONA 4. D.A D.I D.C D.DS D.TS. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades.. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque..
(13) RIESGO POTENCIAL. ACTIVO. AMENAZA. PROBABILIDAD DE OCURRENCIA IMPACTO. ZONA. TIPO SALVAGUARDA. CONTROL PREVENTIVO. CONTROL DETECTIVO. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000005. Recuperación de medios reciclados o desechados. MB. M. ZONA 3. D.A D.I D.C D.DS D.TS. CONTROL CORRECTIVO Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000005. Destrucción del equipo o de MB los Medios. A. ZONA 4. D.A D.I D.C D.DS D.TS. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000005. Hurto de Información. MB. MA. ZONA 4. D.A D.I D.C D.DS D.TS. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades.. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque..
(14) RIESGO POTENCIAL. ACTIVO. AMENAZA. PROBABILIDAD DE OCURRENCIA IMPACTO. ZONA. TIPO SALVAGUARDA. CONTROL PREVENTIVO. CONTROL DETECTIVO. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000006. Recuperación de medios reciclados o desechados. B. M. ZONA 3. D.A D.I D.C D.DS D.TS. CONTROL CORRECTIVO Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000006. Destrucción del equipo o de M los Medios. MA. ZONA 4. D.A D.I D.C D.DS D.TS. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000006. Hurto de Información. B. A. ZONA 4. D.A D.I D.C D.DS D.TS. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades.. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque..
(15) RIESGO POTENCIAL. ACTIVO. AMENAZA. PROBABILIDAD DE OCURRENCIA IMPACTO. ZONA. TIPO SALVAGUARDA. CONTROL PREVENTIVO. CONTROL DETECTIVO. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000007. Recuperación de medios reciclados o desechados. MB. B. ZONA 3. D.A D.I D.C D.DS D.TS. CONTROL CORRECTIVO Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000007. Hurto de Información. MB. A. ZONA 4. D.A D.I D.C D.DS D.TS. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000007. Destrucción del equipo o de M los Medios. MA. ZONA 4. D.A D.I D.C D.DS D.TS. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades.. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque..
(16) RIESGO POTENCIAL. ACTIVO. AMENAZA. PROBABILIDAD DE OCURRENCIA IMPACTO. ZONA. TIPO SALVAGUARDA. CONTROL PREVENTIVO. CONTROL DETECTIVO. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000008. Hurto de Información. MB. B. ZONA 3. D.A D.I D.C D.DS D.TS. CONTROL CORRECTIVO Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000008. Suplantación de Identidad. MB. A. ZONA 4. D.A D.I D.C D.DS D.TS. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000008. Manipulación con software. M. MA. ZONA 4. D.A D.I D.C D.DS D.TS. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000008. Intrusión, accesos forzados al MB sistema. A. ZONA 4. D.A D.I D.C D.DS D.TS. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000008. Saturación del sistema de inf M ormación. A. ZONA 2. D.A D.I D.C D.DS D.TS. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades.. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque..
(17) RIESGO POTENCIAL. ACTIVO. AMENAZA. PROBABILIDAD DE OCURRENCIA IMPACTO. ZONA. TIPO SALVAGUARDA. CONTROL PREVENTIVO. CONTROL DETECTIVO. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000009. Hurto de Información. M. A. ZONA 2. D.A D.I D.C D.DS D.TS. CONTROL CORRECTIVO Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000009. Intrusión, accesos forzados al M sistema. A. ZONA 4. D.A D.I D.C D.DS D.TS. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000009. Error en el uso. M. A. ZONA 2. D.A D.I D.C D.DS D.TS. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque.. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades. Establecer el área encargada de seguridad informática la Mitigar los efectos aislando el sistema cual debe contar con el personal especializado en afectado. herramientas y tecnologías para la seguridad de la información. -Analizar y restablecer el servicio mediante el bloqueo de conexiones Desarrollar un plan de acciones y responsabilidades, bajo previa identificación de origen de determinando la participación de los partners (socios) y ataque DDos. de responsables internos que deben conocer muy bien los contactos y responsabilidades de los aliados -Evaluar si se requiere comunicación interna y/o externa del evento. Establecer un firewall para cada uno de los canales.. D-000009. Manipulación con software. A. A. ZONA 1. D.A D.I D.C D.DS D.TS. -Establecer una DMZ para los servidores que deben estar accesibles para la red exterior. -Identificar y adquirir tecnologías de mitigación basadas en la nube mitigación On-Premise. -Revisión y documentación detallada de cada puerto y/o servicio expuesto. -Tener actualizado todos los parches en cada sistema operativo. -Realización periódica y programada de los servicios expuestos a través de test de penetración y análisis de vulnerabilidades.. Gestión de cambios de infraestructura. -Documentación de los procedimientos de operación -Reevaluar los controles existentes agregar y o modificar control(es) que fueron detectados ineficientes ante el ataque..
Documento similar
No había pasado un día desde mi solemne entrada cuando, para que el recuerdo me sirviera de advertencia, alguien se encargó de decirme que sobre aquellas losas habían rodado
E Clamades andaua sienpre sobre el caua- 11o de madera, y en poco tienpo fue tan lexos, que el no sabia en donde estaña; pero el tomo muy gran esfuergo en si, y pensó yendo assi
The 'On-boarding of users to Substance, Product, Organisation and Referentials (SPOR) data services' document must be considered the reference guidance, as this document includes the
In medicinal products containing more than one manufactured item (e.g., contraceptive having different strengths and fixed dose combination as part of the same medicinal
Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in
Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in
This section provides guidance with examples on encoding medicinal product packaging information, together with the relationship between Pack Size, Package Item (container)
Package Item (Container) Type : Vial (100000073563) Quantity Operator: equal to (100000000049) Package Item (Container) Quantity : 1 Material : Glass type I (200000003204)
