Anexo A. Tabla Matriz entre las Metas Corporativas y las ...
Transcript of Anexo A. Tabla Matriz entre las Metas Corporativas y las ...
Anexo A. Tabla Matriz entre las Metas Corporativas y las Metas relacionadas con TI
Fuente: Matriz tomada de COBIT v5 Framework – Formulación adaptada de documento FERROL INTERNATIONAL GROUP
Anexo B. Tabla Matriz entre las metas de TI y los procesos de COBIT v5
Fuente: Matriz tomada de COBIT v5 Framework – Formulación adaptada de documento FERROL INTERNATIONAL GROUP
Anexo C. Tabla Matriz Puntos de dolor
Fuente: Matriz tomada de COBIT v5 Framework – Formulación adaptada de documento FERROL INTERNATIONAL GROUP
Anexo D. Tabla Matriz Diagnostico de la Gestión de Conciencia
Fuente: Matriz tomada de COBIT v5 Framework – Formulación adaptada de documento FERROL INTERNATIONAL GROUP
Anexo E. Totalización de Totalización procesos habilitadores relacionados con procesos críticos
Fuente: Matriz tomada de COBIT v5 Framework – Formulación adaptada de documento FERROL INTERNATIONAL GROUP
Anexo F. Clasificación de Activos de información conforme a Guía 5 (MinTIC)
Valor Clasificación 3 Alto
2 Medio
1 Bajo
Código Proceso Recurso Activo Tipo Activo Descripción Confidencialidad Integridad Disponibilidad Valor Corporativo
Valor Final Estimado
ACT1 Control de calidad productos y servicios
Repositorio de Información
Información almacenada en plataforma centralizada
Información Repositorio de consulta y actualización de documentos donde se almacena la documentación enviada por desarrollo para realizar proceso de pruebas al producto, de igual forma también se encuentra el script de funcionamiento del desarrollo a probar.
2 3 2 2 2
ACT2 Control de calidad productos y servicios
Repositorio de trazabilidad
Versiones de código
Información Repositorio donde se almacena las versiones del desarrollo y piezas de código.
2 3 3 3 3
ACT3 Control de calidad productos y servicios
Herramienta de Hallazgos
Información de hallazgo
Sistema de Información
Sistema donde se consignan los hallazgos de pruebas del producto, estos son consultados por desarrollo y servicio al cliente.
2 2 3 3 3
ACT4 Control de calidad productos y servicios
Bases de datos - Ambiente de Pruebas
Estructura de la base de datos
Información Estructura de tablas que requiere el sistema para su funcionamiento, esto puede incluir lógica de negocio a través de Vistas y Stored Procedures que hacen parte del ambiente al que se le realiza pruebas funcionales y de estabilidad.
2 3 2 2 2
ACT5 Control de calidad productos y servicios
Bases de datos - Ambiente de Pruebas
Motor de la base de datos
Software Software encargado de almacenar, procesar, y proteger la información contenida en datos, proporcionando acceso controlado y procesamiento de transacciones de consulta y actualización de información.
1 2 2 2 2
Código Proceso Recurso Activo Tipo Activo Descripción Confidencialidad Integridad Disponibilidad Valor Corporativo
Valor Final Estimado
ACT6 Control de calidad productos y servicios
Servidores - Ambiente de Pruebas
Sistema operativo
Software Software encargado de ordenar y controlar los procesos relacionas con una computadora o servidor, permitiendo el uso de otros programas y gestionando los recursos.
1 2 2 1 1
ACT7 Diseño, desarrollo Integración y despliegue
Repositorio de Información
Información almacenada en plataforma centralizada
Información Repositorio de consulta y actualización de documentos donde se almacena la documentación de desarrollo y de los procesos de negocio que han sido documentados, de igual forma también se encuentra el script de funcionamiento del desarrollo a realizar.
3 2 2 3 3
ACT8 Diseño, desarrollo Integración y despliegue
Repositorio de Información
Arquitectura de la aplicación
Información Modelo de elaboración y funcionamiento correspondiente con la integración de componentes de software y desarrollo propuesto.
3 2 2 3 3
ACT9 Diseño, desarrollo Integración y despliegue
Infraestructura Programa desarrollo de aplicaciones
Software Consola con rutinas e interpretación para creación de programas y piezas de software, este puede contener lógica de negocio e información obtenida desde el repositorio de trazabilidad del producto.
2 2 2 2 2
ACT10 Diseño, desarrollo Integración y despliegue
Repositorio de Trazabilidad
Versiones de código
Sistema de Información
Repositorio donde se almacena las versiones del desarrollo y piezas de código. 3 3 3 3 3
ACT11 Diseño, desarrollo Integración y despliegue
Línea base producto para despliegue
Servidor Archivos
Hardware Servidor destinado para el almacenamiento de compilados y línea base de producto para entrega a pruebas.
2 2 2 2 2
ACT12 Diseño, desarrollo Integración y despliegue
Línea base producto para despliegue
Versiones de código
Información Repositorio donde se almacena las versiones del desarrollo y piezas de código que han sido definidas para integración y despliegue de la solución producto.
3 3 2 3 3
Código Proceso Recurso Activo Tipo Activo Descripción Confidencialidad Integridad Disponibilidad Valor Corporativo
Valor Final Estimado
ACT13 Diseño, desarrollo Integración y despliegue
Bases de datos - Ambiente de Desarrollo
Estructura de la base de datos
Información Estructura de tablas que requiere el sistema para su funcionamiento, esto puede incluir lógica de negocio a través de Vistas y Stored Procedures que hacen parte del ambiente al que se le realiza pruebas funcionales y de estabilidad.
2 3 2 2 2
ACT14 Diseño, desarrollo Integración y despliegue
Bases de datos - Ambiente de Desarrollo
Motor de la base de datos
Software Software encargado de almacenar, procesar, y proteger la información contenida en datos, proporcionando acceso controlado y procesamiento de transacciones de consulta y actualización de información. En desarrollo es usado para realizar ajustes de Stored Procedures y optimización de consulta y actualización de registros.
2 2 3 2 2
ACT15 Diseño, desarrollo Integración y despliegue
Servidores - Ambiente de Desarrollo
Sistema operativo
Software Software encargado de ordenar y controlar los procesos relacionas con una computadora o servidor, permitiendo el uso de otros programas y gestionando los recursos.
2 2 2 1 2
ACT16 Servicio al cliente
Herramienta de Tickets
Información de Tickets
Sistema de Información
Sistema donde se consignan los tickets solicitados por los clientes del desarrollo y del programa, estos son consultados por desarrollo y servicio al cliente.
2 3 3 2 2
ACT17 Servicio al cliente
Herramienta de Hallazgos
Información de hallazgo
Sistema de Información
Sistema donde se consignan los hallazgos de pruebas del producto, estos son consultados por desarrollo y servicio al cliente.
3 2 2 3 3
ACT18 Servicio al cliente
Línea base producto para despliegue
Servidor Archivos
Hardware Servidor destinado para el almacenamiento de compilados y línea base de producto para entrega a pruebas. 2 2 3 2 2
ACT19 Servicio al cliente
Base de datos - Ambiente de Demos
Estructura de la base de datos
Información Estructura de tablas que requiere el sistema para su funcionamiento, esto puede incluir lógica de negocio a través de Vistas y Stored Procedures que hacen parte del ambiente usado para presentación de producto a clientes y posibles compradores de la solución conteniendo información cercana a la real
2 2 3 3 3
Código Proceso Recurso Activo Tipo Activo Descripción Confidencialidad Integridad Disponibilidad
Valor Corporativo
Valor Final Estimado
ACT20 Servicio al cliente
Servidores - Ambientes de Demos
Motor de la base de datos
Software Software encargado de almacenar, procesar, y proteger la información contenida en datos, proporcionando acceso controlado y procesamiento de transacciones de consulta y actualización de información.
2 3 3 2 2
ACT21 Infraestructura Tecnológica
Ofimática Ofimática en Nube
Servicio Servicio usado para documentación de información relacionada con los procesos de la organización y otros oficios se encuentra contratada en la nube.
2 2 3 3 3
ACT22 Infraestructura Tecnológica
Ofimática Correo en Nube
Servicio Servicios de comunicación para mensajería que es usado para información de relevancia para el negocio, se encuentra contratado en la nube
3 2 2 3 3
ACT23 Infraestructura Tecnológica
Infraestructura Servidores Hardware Hardware encargado de administrar herramientas de software que suplen procesos de negocio y atienden requerimientos de los clientes en una organización, estos pueden corresponder a diferentes misiones según sea el uso y la prioridad de funcionamiento de los mismos
2 2 3 2 2
ACT24 Infraestructura Tecnológica
Infraestructura Redes Hardware Elementos que permiten la conectividad de equipos y software para comunicación interna y funcionamiento de herramientas usadas en los procesos de la casa de software
2 2 2 2 2
ACT25 Infraestructura Tecnológica
Infraestructura VPN Servicio Una VPN (Virtual Private Network) es una tecnología de red que se utiliza para conectar una o más computadoras a una red privada utilizando Internet.
3 2 2 2 2
Fuente: Elaboración del autor
Anexo G. Valoración de riesgos identificados hacia los activos
Valor probabilidad Nivel probabilidad Valor Impacto Nivel Impacto Valor Riesgo Nivel Riesgo
5 Casi seguro 5 Extremo 5 Extremo
4 Probable 4 Alto 4 Alto
3 Posible 3 Medio 3 Medio
2 Improbable 2 Moderado 2 Moderado
1 Raro 1 Bajo 1 Bajo
Código Riesgo
Nombre del Activo
Descripción Activo
Tipo Activo Amenaza Vulnerabilidades Redacción del Riesgo
Probabilidad de
Ocurrencia
Impacto Impacto Total
Nivel de Riesgo
Inherente Reputacional
Información Legal
Financiero
ACT1 Información almacenada en plataforma centralizada
Información
Repositorio de consulta y actualización de documentos donde se almacena la documentación enviada por desarrollo para realizar proceso de pruebas al producto, de igual forma también se encuentra el script de funcionamiento del desarrollo a probar.
Daño por agua
Almacenamiento sin protección
Posible daño del hardware de almacenamiento por humedad, debido a la falta de mantenimiento del aire acondicionado, afectando la integralidad, secuencialidad, disponibilidad y oportunidad de la plataforma almacenada
3 3 4 3 4 4 Al Alto
Código Riesgo
Nombre del Activo
Descripción Activo
Tipo Activo Amenaza Vulnerabilidades Redacción del
Riesgo
Probabilidad
de Ocurrencia
Impacto
Impacto Total
Nivel de Riesgo Inherente
Reputacional Información Legal
Financiero
ACT1
Información almacenada en plataforma centralizada
Información
Repositorio de consulta y actualización de documentos donde se almacena la documentación enviada por desarrollo para realizar proceso de pruebas al producto, de igual forma también se encuentra el script de funcionamiento del desarrollo a probar.
Falla del equipo A
Susceptibilidad a las variaciones de voltaje
Posible daño del servidor con misión plataforma por caídas constantes de fluido eléctrico Afectando al integridad de la información y la disponibilidad de los mismos
2 3 4 3 4 4 Al Alto
ACT2 Versiones de código
Información
Repositorio donde se almacena las versiones del desarrollo y piezas de código.
Corrupción de los datos
Descarga y uso no controlados de software
Posible corrupción de los datos por descarga y uso no controlados de software afectando la integridad y la confidencialidad del código, ocasionando reprocesos en el desarrollo de piezas de código y generación de código basura.
3 3 4 2 3 3 Me
Medio
Código Riesgo
Nombre del Activo
Descripción Activo
Tipo Activo Amenaza Vulnerabilidades Redacción del
Riesgo
Probabilidad de
Ocurrencia
Impacto
Impacto Total
Nivel de Riesgo
Inherente Reputacional
Información
Legal
Financiero
ACT3 Información de hallazgo
Sistema de Información
Sistema donde se consignan los hallazgos de pruebas del producto, estos son consultados por desarrollo y servicio al cliente.
Saturación del sistema de información A, D
Habilitación de servicios innecesarios
Posible saturación del sistema de información por habilitación de servicios innecesarios afectando la integridad y la disponibilidad y oportunidad de respuesta del sistema de información por consulta de información no requerida
2 2 4 3 2 3 Me Medio
ACT8 Arquitectura de la aplicación
Información
Modelo de elaboración y funcionamiento correspondiente con la integración de componentes de software y desarrollo propuesto.
Divulgación Copia no controlada
Posible pérdida de confidencialidad de la información de vida a la emisión de copias no controladas que puede ocasionar presentación dé propiedad intelectual y fugas de información.
3 4 3 4 5 4 Al Alto
Código Riesgo
Nombre del Activo
Descripción Activo
Tipo Activo Amenaza Vulnerabilidades Redacción del
Riesgo
Probabilidad de
Ocurrencia
Impacto
Impacto Total
Nivel de Riesgo
Inherente Reputacional Información
Legal
Financiero
ACT10 Versiones de código
Sistema de Información
Repositorio donde se almacena las versiones del desarrollo y piezas de código.
Abuso de derechos
Ausencia de control de cambios eficaz
Posible abuso de derechos por ausencia de control de cambios eficaz en las versiones de código provocando pérdida de la integridad de la pieza desarrollada.
3 4 4 3 4 4 Al Alto
ACT19 Estructura de la base de datos
Información
Estructura de tablas que requiere el sistema para su funcionamiento, esto puede incluir lógica de negocio a través de Vistas y Stored Procedures que hacen parte del ambiente al que se le realiza pruebas funcionales y de estabilidad.
Corrupción de los datos
Ausencia de copias de respaldo
Posible pérdida de integridad y capacidad de recuperación por ausencia de copias de respaldo de la información y estructura de la base de datos del ambiente de demostración, ocasionando afectación en las funciones comerciales y de preventa con repercusiones financieras y de reputación como producto.
4 5 4 3 4 4 Al Alto
Código Riesgo
Nombre del
Activo
Descripción Activo
Tipo Activo Amenaza Vulnerabilidades Redacción del Riesgo Probabilidad
de Ocurrencia
Impacto
Impacto Total
Nivel de Riesgo
Inherente Reputacional
Información Legal
Financiero
ACT21 Ofimática en Nube
Servicio
Servicio usado para documentación de información relacionada con los procesos de la organización y otros oficios se encuentra contratada en la nube.
Uso no autorizado del equipo
Uso incorrecto de software y hardware
Se afecta la disponibilidad, integridad y confidencialidad del programa Office de los usuarios administrativos, debido a que el office en los equipos de cartera fue descargado de forma fraudulenta, por los bajos controles en tecnología y descarga de la compañía, afectando el uso del hardware y los equipos del área de cartera, deteniendo la recuperación de las cuentas de los servicios domiciliarios.
3 4 3 5 4 4 Al Alto
ACT22 Correo en Nube
Servicio
Servicios de comunicación para mensajería que es usado para información de relevancia para el negocio, se encuentra contratado en la nube
Divulgación Tráfico sensible sin protección
Perdida de la confidencialidad de la información por posible tráfico de información sensible provocado por envío de información sin encriptación desde el servidor de correo de la organización
3 4 4 4 3 4 Al Alto
Código Riesgo
Nombre del Activo
Descripción Activo
Tipo Activo Amenaza Vulnerabilidades Redacción del
Riesgo
Probabilidad de
Ocurrencia
Impacto
Impacto Total
Nivel de Riesgo Inherente
Reputacional Información
Legal
Financiero
ACT23 Servidores Hardware
Hardware encargado de administrar herramientas de software que suplen procesos de negocio y atienden requerimientos de los clientes en una organización, estos pueden corresponder a diferentes misiones según sea el uso y la prioridad de funcionamiento de los mismos
Destrucción o daño del equipo o los medios
Ausencia de esquemas de reemplazo
Perdida de disponibilidad por destrucción o daño del equipo a falta de un esquema de reemplazo del mismo provocando apagado de recursos de servidor ligados a la afectación de almacenamiento y host de virtualización
5 4 4 2 4 4 Ex Extremo
Fuente: Elaboración del autor