Aguirre David Sistema Gestion Seguridad Informacion Servicios Postales Anexos

PONTIFICIA UNIVERSIDAD CATLICA DEL PER
FACULTAD DE CIENCIAS E INGENIERA
ANEXOS
Tesis para optar el Ttulo de Ingeniero Informtico, que presenta el bachiller:
David Arturo Aguirre Mollehuanca
ASESOR: Moiss Antonio Villena Aguilar
Lima, octubre de 2014
ndice
ndice ............................................................................................................................ 3
1.
Anexo 1: Poltica de Seguridad de Informacin ................................................. 4
2.
Anexo 2: Alcance del SGSI ............................................................................... 6
3.
Anexo 3: Objetivos del SGSI ............................................................................. 7
4.
Anexo 4: Modelo de Caso de Negocio Resumen Ejecutivo ............................ 8
5.
Anexo 5: Metodologa de Valoracin de Activos .............................................. 10
6.
Metodologa de Anlisis de Riesgos ................................................................ 12
7.
Anexo 7: Inventario y Valoracin de Activos .................................................... 17
8.
Anexo 8 Lista de Ejemplos de Vulnerabilidades y Amenazas ....................... 29
9.
Anexo 9 Matriz de Riesgos ........................................................................... 31
10.
Anexo 10 Declaracin de Aplicabilidad ......................................................... 39
11.
Anexo 11 Proceso de Recepcin - Sub Proceso de Admisin ...................... 49
12.
Anexo 12 Proceso de Recepcin - Sub Proceso de Habilitado .................... 50
13.
Anexo 13 Proceso de Clasificacin .............................................................. 51
14.
Anexo 14 Proceso de Clasificacin - Sub Proceso de Pre Clasificacin ....... 52
15.
Anexo 15 Proceso de Control de Cargos ..................................................... 53
16.
Anexo 16 Proceso de Control de Cargos Sub Proceso de Emisin de

Reporte de Facturacin ................................................................................... 54
17.
Anexo 17 Proceso de Digitalizacin ............................................................. 55
18.
Anexo 18 Proceso de Digitalizacin Sub Proceso de Elaboracin de

Reportes y CDs .............................................................................................. 56
1. Anexo 1: Poltica de Seguridad de Informacin
2. Anexo 2: Alcance del SGSI
3. Anexo 3: Objetivos del SGSI
4. Anexo 4: Modelo de Caso de Negocio Resumen Ejecutivo
5. Anexo 5: Metodologa de Valoracin de Activos
10
11
6. Metodologa de Anlisis de Riesgos
12
13
14
15
16
7. Anexo 7: Inventario y Valoracin de Activos

Anexo 7 - Inventario Total y Valoracin de Activos
Activo de Informacin
Orden de Servicio
Recepcin
Habilitado
Habilitar envos para

envos nacionales o
locales
Orden de Servicio
Recepcin
Admisin
Recoger Envos
Guia de recepcin
Recepcin
Recepcin
Admisin
Recibe envos con su gua
Documento perteneciente al rea comercial, en ella se tiene

cada uno de los pedidos realizados por los cliente.
Entre los datos que se tienen almacenados se tiene:
- Nombre del cliente
- Inicio y termino
-Plazos de distribucin
- Tipo (nacional o local)
Guia de recepcin
Guia de recepcin
Documento que viene en forma de talonario, en el se

guarda, por numero correlativo, el envo que se esta
recibiendo de los clientes.
Se trabaja con 3 copias, una es para los postrenes, otra para
los clientes y una ltima para el rea Extrapostal
Lgica
Promedio
Recibir una copia del

contrato
Fsica
Integridad
Admisin
Descripcin del Activo de Informacin
Disponibilidad
Recepcin
Nombre del Activo

de Informacin
Confidencialidad
Actividad
Area comercial
Files de
almacenamiento
---
---
2,0
---
rea Comercial
Files de
almacenamiento
---
---
2,0
---
---
Supervisor de
Extra Postales
Almacenados en un file
de guias de recpcin
---
---
1,3
Primario
---
Postrn
Cliente
Supervisor de
Extra Postales
de guias de recpcin
---
---
1,3
Primario
---
---
Supervisor de
Extra Postales
de guias de recpcin
---
---
1,3
de guias de recpcin
---
---
1,3
Tipo de
Activo
Proveedor de la
Entrada
Receptor de la
Salida
Primario
Gerencia Postal
---
Primario
---
Primario
Otros
Sub Proceso
Valoracin
Papel
Proceso
Formatos
Ubicacin de los Activos de Informacin

Propietario del
Activo de
Informacin
Verbal
Id
Activo
Interaccin con otras reas
Electrnico
Proceso
Clasificacin
Actual del
Activo de
Informacin
Admisin
Verificar Informacin
Guia de recepcin
Primario
---
---
Supervisor de
Extra Postales
Guia de recepcin
Primario
---
---
Supervisor de
Extra Postales
de guias de recpcin
---
---
1,3
Recepcin
Habilitado
Recepcin y cierre de gua

de recepcin y salida
Recepcin
Admisin
Entrega Envos al Area de

Extra Postales
Recepcin
Admisin
Recoger Envos
Envios
Primario
Clientes
---
Cliente
Ubicada dentro del rea
---
---
2,0
Envios
Primario
Clientes
---
Cliente
---
---
2,0
Recepcin
Admisin
Entrega Envos al Area de

Extra Postales
Recepcin
Admisin
Contar Envos Fsicos
Envios
Primario
Clientes
---
Cliente
---
---
2,0
Recepcin
Admisin
Verificar Informacin
Envios
Primario
Clientes
---
Cliente
---
---
2,0
Recepcin
Admisin
Ordenar envos para

habilitado
Envios
Primario
---
Habilitado
Cliente
---
---
2,0
Recepcin
Habilitado
Etiquetado de cdigo de
barras
Envios
Primario
---
---
Cliente
---
---
2,0
Habilitado
Habilitar envos para

envos nacionales o
locales
Envios
Primario
---
---
Cliente
---
---
2,0
Envios
Primario
---
Despachos
Nacionales
Cliente
---
---
2,0
Envios
Primario
---
Departamento de
Clasificacin
Cliente
---
---
2,0
---
Cliente
---
---
1,7
---
Cliente
---
---
1,7
---
---
Cliente
---
---
1,7
Primario
---
---
Cliente
---
---
1,7
Primario
Adminitracin
postal
---
Cliente
---
---
1,7
Recepcin
Recepcin
Habilitado
Enviar paquetes a
despacho nacional
Recepcin
Habilitado
Enviar paquetes al rea de

clasificacin
Clasificacin
Clasificacin
Clasificacin
Clasificacin
Clasificacin
Recepcionar envos con

Clasificacin
gua de salida
Recepcionar envos con la
Clasificacin
nueva gua de salida
Preparar envos para pre
Clasificacin
clasificacin
Separar grupos de envos
Pre Clasificacin por distritos y/o
administraciones
Seleccionar grupos de
Pre Clasificacin envos por cada guia de
salida
Cada uno de los envos que el cliente hace entrega para que
lleguen a una serie de desinatarios
Envios
Primario
Envios
Primario
Envios
Envios
Envios
Cada uno de los envos entregados por los clientes que

deben ser entregados a sus destinatarios
Primario
Extra Postales
Extra Postales
17
Clasificacin
Clasificacin
Clasificacin
Clasificacin
Entregar grupos de envos

Pre Clasificacin
a clasificadores finales
Clasificacin
Devolver los envios mal

Pre Clasificacin asignados para su correcta
pre clasificacin
Clasificacin
Clasificacin
Clasificacin
Clasificacin
Clasificacin
Pre Clasificacin
Clasificacin
Pre Clasificacin
Clasificacin
Pre Clasificacin
Sectorizar envos de
acuerdo a la
administracin
correpondiente
Separar y remitir los
envos a cada
administracin por cliente
y gua
Realizar conteo de envos
de la gua registrada
Solicitar revisar y resolver
inconsistencia
Examinar y corregir la
inconsistencia informada
Recibir respuesta por
parte del operador
extrapostal
Promedio
Distribuir los envos segn

el cuadro de
administracin
correpondiente
Contar y comparar los
Pre Clasificacin envos recibidos con las
guias de salida
Devolver a operador
Clasificacin
envos y gua de salida
Devolver a operador
Pre Clasificacin
Integridad
Pre Clasificacin
Lgica
Disponibilidad
Clasificacin
Fsica
Confidencialidad
Actividad
Cliente
---
---
1,7
Cliente
---
---
1,7
Cliente
---
---
1,7
Cliente
---
---
1,7
Cliente
---
---
1,7
Cliente
---
---
1,7
Tipo de
Activo
Proveedor de la
Entrada
Receptor de la
Salida
Propietario del
Activo de
Informacin
Envios
Primario
---
---
Envios
Primario
---
---
Nombre del Activo

de Informacin
Extra Postales
Valoracin
Otros
Sub Proceso
Formatos
Verbal
Proceso
Papel
Id
Activo
Electrnico
Proceso
Clasificacin
Actual del
Activo de
Informacin
Envios
Primario
---
Envios
Primario
---
Envios
Primario
---
Envios
Primario
---
Envios
Primario
---
---
Cliente
---
---
1,7
Envios
Primario
---
---
Cliente
---
---
1,7
Envios
Primario
---
---
Cliente
---
---
1,7
Envios
Primario
---
Cliente
---
---
1,7
Envios
Primario
Clasificacin
Cliente
---
---
1,7
---
Cliente
---
---
1,7
---
Supervisor de
Extra Postales
---
---
--
2,5
Extra Postales
Extra Postales
---
Extra Postales
Extra Postales
Clasificacin
Clasificacin
Pre Clasificacin
Envios
Primario
Recepcin
Admisin
Generar gua de admisin
Computadora de
Escritorio
Soporte
Computadora de
Escritorio
Soporte
---
---
Supervisor de
Extra Postales
---
---
--
2,5
Computadora de
Escritorio
Soporte
---
---
Supervisor de
Extra Postales
---
---
--
2,5
Computadora de
Escritorio
Soporte
---
---
Supervisor
---
---
--
3,0
Computadora de
Escritorio
Soporte
---
---
Supervisor
---
---
--
3,0
Soporte
---
---
Supervisor
---
---
--
3,0
Computadora de
Escritorio
Soporte
---
---
Supervisor
---
---
--
3,0
Recepcin
Habilitado
Importar la Base de Datos

de los clientes
Recepcin
Habilitado
Digitar los Envos
Clasificacin
Clasificacin
Clasificacin
Realizar consulta de
Pre Clasificacin envos registrados en el
sistema
Registrar cada grupo en el
sistema segn la
Pre Clasificacin
administracin
correspondiente
Eliminar los registros de
Pre Clasificacin los envos por cada guia
procesada
Actualizar y/o corregir
registros la inconsistencia
Pre Clasificacin
registrada en cada
administracin postal
Computadora de
Escritorio
Computadoras utilizadas por el personal para realizar

labores como el importado de las bases de datos, impresin
de etiquetas, etc.

de etiquetas, etc.
---
Clasificacin
Clasificacin
Clasificacin
Firmar guias de salida

conformes e ingresar al
datos al sistema
Computadora de
Escritorio
Soporte
---
---
Supervisor
---
---
--
3,0
Clasificacin
Clasificacin
Enviar copias a otras reas
Computadora de
Escritorio
Soporte
---
---
Supervisor
---
---
--
3,0
Digitar cargos y rezagos en

Control de Cargos Control de cargos
el sistema
Computadora de
Escritorio
---
---
--
3,0
Elaborar y remitir el
Control de Cargos Control de cargos reporte de cargos
pendientes
Computadora de
Escritorio
---
---
--
3,0

de etiquetas, envos de correos, etc.
Soporte
---
---
Soporte
---
---
Supervisor del
rea de Control
de Cargos
Supervisor del
rea de Control
de Cargos
18
Remitir reportes de
Control de Cargos Control de cargos facturacin fsicos o
digitales
Digitalizacin
Digitalizacin
Digitalizacin
Digitalizacin
Digitalizacin
Digitalizacin
Digitalizacin
Elaboracin de
Reportes y CD's
Digitalizacin
Elaboracin de
Reportes y CD's
Digitalizacin
Digitalizacin
Digitalizacin
Digitalizacin
Digitalizacin
Elaboracin de
Reportes y CD's
Elaboracin de
Reportes y CD's
Elaboracin de
Reportes y CD's
Digitar cargos y rezagos

por fecha y por motivo
Escanear y enlazar cargos y
rezagos por cdigos de
barras
Transferir imgenes
escaneadas a carpetas del
servidor
Elaborar base de datos y
remitir informacin va
email al cliente
Generar el backup por
cliente detallando los
meses de los clientes
digitalizados
Generar reporte diario
para la devolucin de
cargos
Realizar consolidado SAT
Elaborar cuadro de
reporte
Obtener imgenes y
renombrarlas segn el
nmero de gua
Computadora de
Escritorio
Computadora de
Escritorio
Computadora de
Escritorio
Computadora de
Escritorio
SIM 2.0
SIM 2.0
SIM 2.0
Recepcin
Recepcin
Admisin
Ordenar envos para

habilitado
Habilitado
barras
Modulo de un sistema que srve para la atencin del cliente

SUNARP
Sistema Integrado de Mensajeria, sistema utilizado por los

operadores postales para la realizacin de su trabajo
Sistema Integrado de Mensajeria, utilizado por los

operadores postales para el cumplimiento de sus labores
SIM 2.0
Digitalizacin

de etiquetas, etc.
Computadora de
Escritorio
Transferir imgenes
servidor
Cierre de guas de
admisin
Computadora de
Escritorio
SIM 2.0
---
--
3,0
---
Encargado del
rea

de digitalizacin
---
---
--
3,0
---
---
Encargado del
rea

de digitalizacin
---
---
--
3,0
Soporte
---
---
Encargado del
rea

de digitalizacin
---
---
--
3,0
Soporte
---
---
Encargado del
rea

de digitalizacin
---
---
--
3,0
Soporte
---
---
Encargado del
rea

de digitalizacin
---
---
--
3,0
Encargado del
rea
Encargado del
rea

de digitalizacin
de digitalizacin
---
---
--
3,0
---
---
--
3,0
Encargado del
rea

de digitalizacin
---
---
--
3,0
---
Aplicacin
---
2,7
---
Aplicacin
---
2,7
Soporte

Admisin
---
Computadora de
Escritorio
Digitalizacin
Habilitado

de digitalizacin
---
Digitalizacin
Recepcin
Encargado del
rea
Soporte
Recepcin
3,0
Computadora de
Escritorio
Digitalizacin
---
Digitalizacin
---
Digitalizacin
--
Soporte

cargos
---
Computadora de
Escritorio
SIM 2.0
---
SIM 2.0
---
---
SIM 2.0
Soporte
Modulo SUNARP
Contar cargos y rezagos e

ingresar datos al sistema
el sistema
Elaboracin de
Digitalizacin
Reportes y CD's
3,0
Computadora de
Escritorio
Verificacin del Sistema

Segn Guia de Salida
---
Habilitado
---
Admisin
Habilitado
--
Soporte
Admisin
Recepcin
---
Computadora de
Escritorio
Recepcin
Recepcin
Receptor de la
Salida
Recepcin
---
Proveedor de la
Entrada
6
6
Tipo de
Activo
barras
Promedio
Lgica
Integridad
Elaborar gua o reporte de

devolucin
Fsica
Disponibilidad
Nombre del Activo

de Informacin
Confidencialidad
Actividad
SIM 2.0
Sistema utilizado por los operadores postales del rea de

control de cargos para ingresar el numero de guia, la fecha
del cargo, motivo, entregado o rezagado.
En el caso del ministerio de produccin se especifica quien
recibi el cargo y numero DNI.
Cuaderno de guia de
Cuaderno donde se realizan las guias de admisin, para
admisin
facilitar el trabajo se inicia una nueva nmeracin todos los
Cuaderno de guia de aos con un nmero que termine en 1 (1001,5001,10001, etc)
admisin
Cuaderno de control
Documento en el cual se queda registrado cada uno de los
de operadores
envos que son entregados para el habilitado
postales
Se poseen dos maquinas que se encargan de imprimir
Etiquetadoras
etiquetas para adjuntar a los envos
Valoracin
Soporte
---
---
Soporte
---
---
Soporte
---
---
Soporte
---
---
Soporte
---
---
Propietario del
Activo de
Informacin
Supervisor del
rea de Control
de Cargos
Supervisor del
rea de Control
de Cargos
Supervisor de
Extra Postales
Supervisor de
Extra Postales
Otros
Sub Proceso
Formatos
Verbal
Proceso
Papel
Id
Activo
Electrnico
Proceso
Clasificacin
Actual del
Activo de
Informacin
Soporte
---
---
Supervisor de
Extra Postales
---
Aplicacin
---
2,7
Soporte
---
---
Supervisor de
Extra Postales
---
Aplicacin
---
2,7
Soporte
---
---
Operador Postal
---
Aplicacin
---
2,3
Soporte
---
---
Operador Postal
---
Aplicacin
---
2,3
Soporte
---
---
Encargado del
rea
---
Aplicacin
---
2,7
---
Aplicacin
---
2,7
Soporte
---
---
Encargado del
rea
Soporte
---
---
Encargado del
rea
---
Aplicacin
---
2,7
Soporte
---
---
Encargado del
rea
---
Aplicacin
---
2,7
Primario
---
---
Supervisor de
Extra Postales
---
---
1,3
Primario
---
---
Supervisor de
Extra Postales
---
---
1,3
Primario
---
---
Operador Postal
Archivado en el rea
---
---
1,3
---
Supervisor de
Extra Postales
---
---
--
--
3,0
Soporte
---
19
Digitar los Envos
11
Recepcin
Habilitado
Imprimir formato de
cargos
Impresoras comunes
11
Recepcin
Habilitado
Imprimir y cortar cargos
Impresoras comunes
Formatos de cargos utilizados por los trabajadores cuando

Formatos de cargos los clientes no tienen una BBDD, usualmente se encuentra
dentro de los contratos con los clientes
11
11
Remitir reportes de
Emitir Reporte de
Control de Cargos
facturacin fsicos o
Facturacin
digitales
12
Recepcin
Recepcin
Habilitado
Habilitado
Proveedor de la
Entrada
Receptor de la
Salida
Primario
Gerencia
Comercial
---
Soporte
---
---
Soporte
---
---
Soporte
---
---
Soporte
---
---
Soporte
---
---
Soporte
---
---
Herramientas utilizadas para imprimir en el rea

Impresoras comunes
devolucin
12
Tipo de
Activo
Herramientas utilizadas para imprimir en el rea

Impresoras comunes
Imprimir formato de
cargos
Carpeta compartida
EXTRAPOSTALES

de los clientes
Carpeta compartida
EXTRAPOSTALES
Fsica
Lgica
Promedio
Habilitado
Integridad
Recepcin
Nombre del Activo

de Informacin
Disponibilidad
10
Actividad
---
Excel guardado en la
computadora del
supervisor
---
2,3
---
---
---
--
--
3,0
---
---
---
--
--
3,0
---
---
---
--
--
3,0
---
---
---
--
--
3,0
Subgerencia de TI
---
Ubicada en el Servidor
---
2,3
Subgerencia de TI
---
Ubicada en el Servidor
---
2,3
Almacenado en la
misma computadora del
supervisor (archivados)
----
2,3
---
2,3
---
2,3
---
2,3
---
--
--
3,0
Propietario del
Activo de
Informacin
Supervisor de
Extra Postales
Supervisor de
Extra Postales
Supervisor de
Extra Postales
Supervisor del
rea de Control
de Cargos
Supervisor del
rea de Control
de Cargos
Recepcin
Habilitado
Importar la Base de Datos Backup de los correos Backup generado tras archivar los correos recibidos por los
de los clientes
recibidos
cliente con las bases de datos recibidas
Soporte
---
---
Supervisor de
Extra Postales
---
14
Recepcin
Habilitado

de los clientes
Primario
Clientes
---
Supervisor de
Extra Postales
----
15
Recepcin
Habilitado
16
Recepcin
Habilitado

de los clientes
17
Recepcin
Habilitado
18
Recepcin
Habilitado
18
Recepcin
Habilitado
18
Recepcin
Habilitado
Clasificacin
18
Clasificacin
Clasificacin
18
Clasificacin
Clasificacin
18
Clasificacin
Clasificacin
18
Clasificacin
Clasificacin
18
Clasificacin
Pre Clasificacin
18
Clasificacin
Pre Clasificacin
18
Clasificacin
Pre Clasificacin
18
Clasificacin
Pre Clasificacin
18
Clasificacin
Pre Clasificacin
Correos enviados por los clientes que poseen las bases de

datos con las que trabaja el personal de SERPOST
Base de datos de los clientes dond se muestra quienes

BBDD de los clientes
deben ser los destinatarios y sus direcciones
Base original de
clientes por ao
Impresora High
Speed
Base de datos de los envios de los clientes acumulados hasta

el momento
Utilizada para imprimir etiquetas High Peed, usado en caso
se tengan cantidades masivas (ms de 3000 etiquetas)
Elaborar la guia de salida
Guia de Salida (SEL)

Documento pre impreso que se realiza a mano. Contiene
Enviar paquetes a
Guia de Salida (SEL) datos como la fecha, el cliente, el numero de guia de
despacho nacional
admision, cantidad de envos.
Enviar paquetes al rea de
clasificacin
Realizar conteo de envos

Pre Clasificacin
de la gua registrada
18
Correos de los
clientes
Recepcionar envos con

gua de salida
Solicitar correcin de
datos
Corregir datos de la gua
de salida
Recepcionar envos con la
nueva gua de salida
Separar grupos de envos
por distritos y/o
administraciones
envos registrados en el
sistema
Seleccionar grupos de
envos por cada guia de
salida
Distribuir los envos segn
el cuadro de
administracin
correpondiente
Contar y comparar los
envos recibidos con las
guias de salida
Carpeta compartida por todo el rea de extrapostales para

compartir informacin que crean necesaria
13

de los clientes
Clasificacin
Actual del
Activo de
Informacin
Confidencialidad
Sub Proceso
Valoracin
Otros
Proceso
Formatos
Verbal
Id
Activo
Papel
Electrnico
Proceso
Primario
Clientes
---
Supervisor de
Extra Postales
Primario
---
---
Supervisor de
Extra Postales
---
---
Supervisor de
Extra Postales
Despachos
Nacionales
Departamento de
Clasificacin
Supervisor de
Extra Postales
Supervisor de
Extra Postales
Supervisor de
Extra Postales
Files de
almacenamiento
Files de
almacenamiento
Files de
almacenamiento
Soporte
---
Primario
---
Primario
---
Primario
---
Primario
Extra Postales
---
Extra Postales
Primario
Extra Postales
---
Extra Postales
Primario
---
Extra Postales
Primario
Extra Postales
Primario
---
---
---
1,7
---
---
1,7
---
---
1,7
---
---
2,7
---
---
2,7
Extra Postales
---
---
2,7
---
Extra Postales
---
---
2,7
Extra Postales
---
Extra Postales
---
---
2,7
Primario
---
---
Extra Postales
---
---
2,7
Primario
---
---
Extra Postales
---
---
2,7
Primario
---
---
Extra Postales
---
---
2,7
Primario
---
---
Extra Postales
---
---
2,7
Primario
---
---
Extra Postales
---
---
2,7
Documento pre impreso que se realiza a mano. Contiene

datos como la fecha, el cliente, el numero de guia de
admision, cantidad de envos.
---
Alamcenada en los
correos
Almacenado en la
supervisor
Almacenado en la
supervisor
20
Integridad
Disponibilidad
Promedio
Extra Postales
---
---
2,7
Extra Postales
Extra Postales
---
---
2,7
Primario
---
Extra Postales
Extra Postales
---
---
2,7
Primario
Clasificacin
Clasificacin
Extra Postales
---
---
2,7
Primario
Extra Postales
---
Extra Postales
---
---
2,7
Primario
---
---
Extra Postales
---
---
2,7
Primario
---
---
Extra Postales
---
---
2,7
Primario
---
Extra Postales
Extra Postales
---
---
2,7
Primario
---
Extra Postales
Extra Postales
---
---
2,7
Guia de Salida con

Conformidad de
Clasificacin
Primario
---
---
Supervisor de
Extra Postales
Files de
almacenamiento
---
---
1,7
Primario
Clasificacin
Final
Despacho
Nacional
---
Supervisor de
Extra Postales
Files de
almacenamiento
---
---
1,7
Primario
---
---
Supervisor de
Extra Postales
Files de
almacenamiento
---
---
1,7
18
Clasificacin
18
Clasificacin
Pre Clasificacin
18
Clasificacin
Recibir respuesta por

Pre Clasificacin parte del operador
extrapostal
18
Clasificacin
Pre Clasificacin
18
Clasificacin
18
Clasificacin
18
Clasificacin
Entregar grupos de envos

a clasificadores finales
Devolver los envios mal
Pre Clasificacin asignados para su correcta
pre clasificacin
Rectificar las guias de
salida con la correcta
Pre Clasificacin
cantidad de envos por
Sectorizar envos de
acuerdo a la
Clasificacin
administracin
correpondiente
Habilitado
19
Recepcin
Habilitado
19
Recepcin
Habilitado
Clasificacin
Clasificacin
19
Clasificacin
Clasificacin
20
Recepcin
Habilitado
20
20
Examinar y corregir la
inconsistencia informada

Segn Guia de Salida
Recepcin de
confirmacin de guia
Revisin y cierre de gua
de recepcin y guia de
salida
datos al sistema
Segn Guia de Salida

devolucin
sistema segn la
Clasificacin
Pre Clasificacin
administracin
correspondiente
barras
Guia de Salida con

Conformidad de
Clasificacin
Guia de Salida con
Conformidad de
Clasificacin
Guia de Salida con
Conformidad de
Clasificacin
Guia de Salida con
Conformidad de
Clasificacin
Una vez que el rea de clasificacin realiza sus procesos

devuelve la guia de salida SEL con su conformidad
Tipo de
Activo
Proveedor de la
Entrada
Receptor de la
Salida
Primario
---
---
Extra Postales
Primario
---
Extra Postales
Control de Cargos
Extra Postales
Supervisor de
Extra Postales
Una vez que el rea de clasificacin realiza sus procesos

devuelve la guia de salida SEL con su conformidad
Fsica
Lgica
Almacenado en la base
Ubicada dentro del rea de datos del sistema
SOP
Almacenado en la base
Ubicada dentro del rea de datos del sistema
SOP
Otros
Extra Postales
---
Devolver a operador
Devolver a operador
Solicitar revisar y resolver
Pre Clasificacin
inconsistencia
Nombre del Activo

de Informacin
Verbal
---
Primario
Clasificacin
Actividad
Papel
Primario
Clasificacin
18
Sub Proceso
Propietario del
Activo de
Informacin
Electrnico
18
19
Valoracin
Clasificacin
Proceso
Recepcin
Formatos
Pre Clasificacin
Id
Activo
19
Confidencialidad
Proceso
Clasificacin
Actual del
Activo de
Informacin
---
2,7
---
2,7
---
--
--
1,0
---
2,3
Pistola lectora de
cdigo de barras
Pistola utilizada para agilizar la comprobacin de las guias en

fsico mediante el pistoleado y comprobacin con le sistema
Soporte
---
---
Pistola lectora de
cdigo de barras
Pistola utilizada para agilizarel ingreso de guas fsicas al

sistema
Soporte
---
---
Pistola lectora de
cdigo de barras
Pistola utilizada para agilizar la comprobacin de las guias en

fsico mediante el pistoleado y comprobacin con el sistema
Soporte
---
---
Supervisor
---
---
--
--
3,0
Pistola lectora de
cdigo de barras
Solo se utiliza en caso de que los cargos tengan cdigo de

barra, en caso de contrario se debe digitar el cargo de
manera manual , como en el caso del cliente "Ministerio de
Justicia"
Soporte
---
---
Encargado del
rea

de digitalizacin
---
---
--
--
3,0
Files de
almacenamiento
---
---
1,7
---
Operador Postal Ubicada dentro del rea
---
x
x
20
Digitalizacin
Digitalizacin
21
Recepcin
Habilitado

Segn Guia de Salida
Reporte de guia de
Se imprimen 4 copias de un reporte de guias de salida.
salida impreso
Primario
---
---
Supervisor de
Extra Postales
21
Recepcin
Habilitado
Enviar guia de admisin

para aprobacin
Reporte de guia de
salida impreso
Primario
---
Cliente
Supervisor de
Extra Postales
---
---
---
1,7
Habilitado
Recibir aprobacin del

cliente
Reporte de guia de Se envan 4 copias al cliente, una queda para ellos, las otras
salida impreso
tres regresan para las reas interesadas
Cliente
---
Supervisor de
Extra Postales
Files de
almacenamiento
---
---
1,7
Habilitado
Enviar guias de admisin a

otras reas
Reporte de guia de
salida impreso
---
Facturacin
Control de Cargos
Supervisor de
Extra Postales
Files de
almacenamiento
---
---
1,7
21
21
Recepcin
Recepcin
Primario
Primario
21
23
Clasificacin
Clasificacin
datos
24
Clasificacin
Pre Clasificacin
24
Clasificacin
24
Clasificacin
24
Clasificacin
24
Clasificacin
24
Clasificacin
25
Clasificacin
26
Clasificacin
26
27
27
28
Clasificacin
Clasificacin
Clasificacin
Clasificacin

sistema segn la
administracin
correspondiente
sistema
Eliminar los registros de
Pre Clasificacin los envos por cada guia
procesada
Actualizar y/o corregir
registros la inconsistencia
Pre Clasificacin
registrada en cada
Clasificacin
datos al sistema
Clasificacin
sistema
Separar y remitir los
envos a cada
Clasificacin
administracin por cliente
y gua
Confeccionar despachos y
Clasificacin
remitir envios para salida
final
Clasificacin
final
Promedio
datos
Integridad
Clasificacin
Lgica
Disponibilidad
Clasificacin
Fsica
Confidencialidad
22
Actividad
Valoracin
Supervisor
Administraciones
postales
---
---
2,7
---
Supervisor
Almacenado dentro del

departamento de
clasificacin
---
---
2,3
---
---
Supervisor
---
Aplicacin
---
2,7
Soporte
---
---
Supervisor
---
Aplicacin
---
2,7
Soporte
---
---
Supervisor
---
Aplicacin
---
2,7
SOP Empresarial
Soporte
---
---
Supervisor
---
Aplicacin
---
2,7
SOP Empresarial
Soporte
---
---
Supervisor
---
Aplicacin
---
2,7
SOP Empresarial
Soporte
---
---
Supervisor
---
Aplicacin
---
2,7
Reporte ingreso de Reporte realizado en el SOP para conocer cuantos envios

envios
ingresaron en el sistema. Por lo general no se imprime
Primario
---
---
Clasificador
---
Reporte del SOP solo

mostrado en pantalla
---
2,7
Block de control de
envos SEL
Primario
---
---
Clasificador
---
---
1,7
Primario
---
---
Clasificador
---
---
1,7
Primario
---
Adminitracin
postal
Clasificador
Administraciones
postales
---
---
1,7
Primario
---
Adminitracin
postal
Clasificador
Administraciones
postales
---
---
1,7
Primario
---
Adminitracin
postal
Clasificador
Administraciones
postales
---
---
1,7
Primario
---
Adminitracin
postal
Clasificador
Administraciones
postales
---
---
1,7
Tipo de
Activo
Proveedor de la
Entrada
Receptor de la
Salida
Primario
---
Adm Postales
Primario
---
SOP Empresarial
Soporte
SOP Empresarial
Nombre del Activo

de Informacin
Boletin de
verificacin de
clasificacin
Solo se entregan a las administraciones postales que

presentaran alguna observacin o incidencia. Se envan por
medios oficiales para que conozcan que hubo un error a la
hora de confeccionar sus despachos
File de boletines de
Archivador donde se guardan los boletines de verificacin
verificacin de
una vez se remitieron a las administraciones postales
clasificacin
SOP Empresarial
Block de control de
envos SEL
Sistema Operativo Postal, aplicacin utilizada por los

operadores postales del rea de clasificacin para el
desarrollo de su trabajo
Evacuar carga en vehculos

Guia general de sacas
para distribucin
Clasificacin
final
Sacas
Sacas
Clasificacin
Actual del
Activo de
Informacin
Todo los envos a administracin, guias cantidades

desglozados por sectores
Guia general de sacas
Clasificacin
Otros
Sub Proceso
Verbal
Proceso
Formatos

Propietario del
Activo de
Informacin
Electrnico
Id
Activo
Papel
Proceso
Guia general de sacas es el consolidado de todo lo que se

est sacando. Una copia se queda en clasificacin
Paquetes de envos listos para ser enviados a las distintos

centros de distribucin
28
Clasificacin
Clasificacin

para distribucin
29
Clasificacin
Clasificacin
Evacuar carga en vehculos Cuaderno de control

Especifica la cantidad de sacas por centro de distribucin
para distribucin
de despachos
Primario
Adminitracin
postal
Adminitracin
postal
Clasificador
---
---
2,7
30
Clasificacin
Clasificacin

para distribucin
Se archivan las guias de salidad
Primario
---
Callao (Luego de 2
aos)
Operador de
sistema postal
---
---
2,7
Cuaderno donde se coloca el numero de guia que se le

entrega al rea segn la fecha
Primario
Extrapostales
Extrapostales
Operador de
sistema postal
---
---
2,7
---
---
2,7
31
Clasificacin
Clasificacin
File de guias de
salidas
Cuaderno de control
Enviar copias a otras reas de guias de salida
para extrapostales
cuaderno de control
de guias de salidas
Primario
Control de
Cargos
Control de Cargos
Operador de
sistema postal
33
Recepcionar despachos de Despacho de cargos y

cargos y rezagos
rezagos
Primario
Administracion
Postal
---
Clientes
---
---
1,7
33
Verificar y distribuir
despachos al personal
Despacho de cargos y Todos los paquetes de cargos que llegan al rea de control
rezagos
de cargos
Primario
---
---
Clientes
---
---
1,7
33
Despacho de cargos y
rezagos
Primario
---
---
Clientes
---
---
1,7
32
Clasificacin
Clasificacin
Verificar cantidades de
cargos y rezagos
Cuaderno donde se coloca el numero de guia que se le

entrega al rea segn la fecha
22
34
34
34
34
Efectuar control de calidad

segn directiva del cliente
34
34
34
34
34
Devolver cargos y rezagos

con memorndum
Entregar cargos y rezagos a

digitalizacin
el sistema
Recepcionar cargos y
Digitalizacin
Digitalizacin
rezagos por cliente
Digitalizacin
Digitalizacin
Engrapar rezagos
Cargos
---
Clientes
---
---
2,3
---
---
2,3
---
Cargos
Primario
---
---
Clientes
---
---
1,7
Cargos
Primario
---
---
Clientes
---
---
1,7
Primario
---
---
Clientes
---
---
1,7
Primario
---
---
Clientes
---
---
1,7
Cargos
Primario
---
Administracion
Postal
Clientes
---
---
1,7
Cargos
Primario
---
Digitalizacin
Clientes
---
---
1,7
Cargos
Primario
---
---
Clientes
---
---
1,7
Cargos
Primario
Control de
cargos
---
Control de cargos
---
---
2,0
Primario
---
---
---
---
2,0
Primario
---
Control de cargos
---
---
2,0
Primario
---
---
---
---
2,0
---
---
2,0
---
---
1,7
---
---
1,7
Cargos
Cargos
Cada uno de los cargos que envidencia la entrega de algn

envo
Cargos
35
36
Verificar y distribuir
despachos al personal
37
boletin de verificacin
38

39

devolucin
40

41

41
Elaborar cuadros de
Control de Cargos Control de cargos motivo de entrega y
devolucin
41

digitalizacin
---
Lgica
---
Relacin de
despachos
35
Primario
Fsica
Primario
Verificar cantidades de
cargos y rezagos
34
Digitalizacin
Receptor de la
Salida
Cargos
Relacin de
despachos
34
Digitalizacin
Proveedor de la
Entrada
Supervisor de
Extra Postales

a control de cargos
Digitalizacin
Digitalizacin
Digitalizacin
Digitalizacin rezagos por cdigos de
barras
Recepcionar despachos de
cargos y rezagos
34
Cada uno de los cargos que servirn para evidenciar la

entrega de los envos
Tipo de
Activo
Promedio
Imprimir formato de
Recepcin
Habilitado
cargos
Entregar cargos y rezagos
Control de Cargos Control de cargos al responsable de cada
cliente
Clasificar cargos y rezagos
Control de Cargos Control de cargos por cliente y guia de
admisin
Clasificacin
Actual del
Activo de
Informacin
Integridad
Valoracin
Otros
Habilitado
Nombre del Activo

de Informacin
Propietario del
Activo de
Informacin
Verbal
Recepcin
Actividad
Formatos
Disponibilidad
34
Sub Proceso
Confidencialidad
34
Proceso
Papel
Id
Activo
Electrnico
Proceso
Cargos
Cada uno de los cargos que son enviados por el rea de

control de cargos pasra su digitalizacin
Cargos
Cargos
Primario
Una lista que indica la cantidad de despachos que han

ingresado al rea
Cuaderno de control
de ingreso a control Cuaderno de control de ingreso al rea
de cargos
Boletin donde se indica a las distintas administraciones
Boletin de
postales que la cantidad de envios y/o rezagos que ha
verificacin de
llegado al rea de control de cargos es distinta de la cantidad
control de cargos
que figura en la relacin de despachos
Control de cargos por Control de cada uno de los operadores postales sobre la
despachos
cantidad de cargos y/o rezagos que ha recibido cada uno
Modulo de Reporte de Devolucin de Cargos, en el se
SIM 2.0 - Mdulo de
ingresan cada uno de los reportes o guias realizados
Devoluciones
manualmente
Directivas de cada uno de los clientes en las que se indican
Directivas de
como deben haberse realizado las entregas de los envos y,
distribucin de
en caso haya sucedido, como deben haberse colocado los
clientes
motivos de devolucin
Reporte de control
de calidad de cargos
y rezagos
Reporte de control Reporte de control de calidad de cada uno de los cargos y
de calidad de cargos rezagos recibidos segn las directivas de dsitribucin
especificadas para cada cliente
y rezagos
Reporte de control
de calidad de cargos
y rezagos
---
---
Almacenada dentro del

rea
Control de cargos
rea
Control de cargos
rea
Control de cargos
rea
Control de cargos
rea
Administracin
Postal
Administracin
Postal (Provincias Ubicada dentro del rea
o Lima)
Primario
---
---
Primario
Administracion
Postal
---
Primario
Operador Postal
---
---
---
2,0
Primario
---
Administracion
Postal
---
---
2,0
Primario
---
---
---
---
2,0
Soporte
---
---
Operador Postal
---
Aplicacin
---
2,3
Primario
Extrapostales
---
Supervisor
Extrapostales
---
---
2,0
Primario
---
---
---
---
2,0
Primario
---
---
---
---
2,0
Primario
---
Digitalizacion
---
---
2,0
23
Fsica
Lgica
Promedio
Digitalizacin

rea
---
---
2,0
Administracion
Postal
---
---
2,0
Cliente
---
---
---
2,3
Operador Postal
---
Almacenado en los
correos de los
operadores postales
---
2,0
Supervisor del
rea de Control
de Cargos
---
Almacenado en la
computadora del
supervisor
---
2,0
Operador Postal
Archivadores ubicados
dentro del rea
---
---
2,0
dentro del rea
---
---
2,0
---
---
2,0
---
---
2,0
---
---
2,0
---
---
2,0
---
2,0
Tipo de
Activo
Proveedor de la
Entrada
Receptor de la
Salida
Primario
---
Control de cargos
Primario
---
Primario
44
pendientes
Reporte de cargos
Reporte de la cantidad de cargos que han sido enviados a las
pendientes locales y
distintas administraciones postales y que an no han vuelto
nacionales
Primario
---
Administracion
Postal (Locales y
Nacionales)
Gerencia Postal y
Sub Gerencias
Inspectoria
45
pendientes
Consolidado de
reportes de cargos Consolidado de los reportes de cargos pendientes locales y
pendientes locales y nacionales enviados
nacionales
Primario
---
---
46
46
46
46
46
Control de Cargos
Emitir Reporte de
Facturacin
46
Control de Cargos
Emitir Reporte de
Facturacin
46
Control de Cargos
Emitir Reporte de
Facturacin

devolucin
Registrar gua o reporte de
devolucin en cuaderno
de control
Entregar guas o reportes
de devolucin
de devolucin al cliente
Recibir las guas o reportes
de devolucin
Verificar la firmas en las
guas o reportes de
devolucin segn el
cuaderno de control
Archivar y ordenar guas o
reportes de devolucin y
hojas de control
devolucin
47
47
Registrar gua o reporte de

Control de Cargos Control de cargos devolucin en cuaderno
de control
47
47
47
Control de Cargos
47
Control de Cargos
47
Control de Cargos
48
Control de Cargos
48
Control de Cargos
Guia de Devolucin
Primario
Clasificacin
Actual del
Activo de
Informacin
Integridad
Se detalla las cantidades entregadas por control de cargo y

Cuadrar cargos y rezagos
Reporte de control
las cantidades que se han digitalizado, entre los datos que
con la gua de admisin en de calidad de cargos
posee se encuentran el nmero de guia, la fecha que fue
hoja de control de calidad
y rezagos
admitida y la cantidad admitida.
Memorandun de Memorandun de devolucin de cargos y/o rezagos que no
devolucin de cargos han pasado el control de calidad segn las directivas del
con memorndum
y/o rezagos
cliente
Descargar en el listado de
Lista entregada por los clientes en la que se realiza, de forma
Lista de entrega del
Control de Cargos Control de cargos entrega de los clientes los
manual, una revisin de aquellos envios entregados o
cliente
cargos y rezagos
devueltos (rezagos)
Digitalizacin
Valoracin
---
---
Control de cargos
Otros
Propietario del
Activo de
Informacin
Verbal
Nombre del Activo

de Informacin
Formatos
Disponibilidad
43
Actividad
Confidencialidad
42
Sub Proceso
Papel
41
Proceso
Electrnico
Proceso
Id
Activo
Guia de Devolucin
Primario
---
---
Operador Postal
Guia de Devolucin
Primario
---
Postrn
Operador Postal
Guia de Devolucin
Primario
---
Cliente
Postrn
Primario
Cliente
---
Postrn
Guia de Devolucin
Primario
Postrn
---
Operador Postal
dentro del rea
Guia de Devolucin
Primario
---
---
Operador Postal
dentro del rea
---
dentro del rea
Almacenado en la
computadora del
operador postal
---
2,0
---
2,0
---
2,0
---
2,0
---
2,0
Guia de Devolucin
Guia donde se indica la cantidad de rezagos que se

devolveran al cliente por cada gua de admisin
Reporte de
Devolucin
Primario
---
---
Operador Postal
dentro del rea
dentro del rea
dentro del rea
Reporte de
Devolucin
Primario
---
---
Operador Postal
dentro del rea
Almacenado en la
computadora del
operador postal

de devolucin
Reporte de
Devolucin
Primario
---
Postrn
Operador Postal
dentro del rea
Almacenado en la
computadora del
operador postal

Reporte de
Devolucin
Primario
---
Cliente
Postrn
dentro del rea
Primario
Cliente
---
Postrn
dentro del rea
Primario
Postrn
---
Operador Postal
dentro del rea
Almacenado en la
computadora del
operador postal
---
2,0
dentro del rea
Almacenado en la
computadora del
operador postal
---
2,0
Emitir Reporte de Recibir las guas o reportes

Facturacin
de devolucin
Impresin de lo ingresado en el modulo de devoluciones del

sistema SIM
Reporte de
Devolucin

Emitir Reporte de guas o reportes de
Reporte de
Facturacin
devolucin segn el
Devolucin
cuaderno de control
Archivar y ordenar guas o
Emitir Reporte de
Reporte de
reportes de devolucin y
Facturacin
Devolucin
hojas de control
Registrar gua o reporte de Cuaderno de control
Control de cargos devolucin en cuaderno
de reportes y guas
En el se anota cada uno de los numeros de reportes o guias
de control
de devolucin
Cuaderno de control de devoluciones que los operadores postales han realizado
Control de cargos
de reportes y guas
de devolucin
de devolucin
Almacenado en la
computadora del
operador postal
Almacenado en la
computadora del
operador postal
Primario
---
---
Operador Postal
Primario
---
---
---
---
2,0
Primario
---
---
---
---
2,0
24
51
52
53
Cuaderno de Control
de Postren
Cuaderno de Control
de Postren
Informe de Reportes
Emitir Reporte de Informar del caso al
Control de Cargos
y Guas de
Facturacin
supervisor del rea
Devolucin Faltantes
Memorndum de
Enviar memorndum al
reclamo de
Emitir Reporte de postrn para que
Control de Cargos
devolucin de
Facturacin
devuelva los reportes o
reporte o gua de
guas de devolucin
devolucin
Enviar nota informativa al Nota Informativa de
Emitir Reporte de cliente, solicitando
entrega de guias o
Control de Cargos
Facturacin
entrega de los reportes o
reportes de
guas de devolucin
devolucin
Control de Cargos
Remitir reportes de
Emitir Reporte de
facturacin fsicos o
Facturacin
digitales
Cuaderno de control de cada uno de los postrenes en el que

tienen anotados cada uno de los nmeros de gua o reportes
que los operadores postales es han entregado
Proveedor de la
Entrada
Receptor de la
Salida
Primario
---
---
Primario
---
---
Postren
Primario
---
---
Postren
Lgica
Promedio
50
Cuaderno de control
de reportes y guas
de devolucin
Tipo de
Activo
Integridad
49
Disponibilidad
49

Emitir Reporte de guas o reportes de
Facturacin
devolucin segn el
cuaderno de control
Emitir Reporte de Recibir las guas o reportes
Control de Cargos
Facturacin
de devolucin
Nombre del Activo

de Informacin
Confidencialidad
Control de Cargos
Actividad
---
---
2,0
---
---
2,0
---
---
2,0
---
---
2,0
Fsica
Emitir Reporte de Revisar y modificar

Facturacin
reporte de facturacin
Control de Cargos
54
Emitir Reporte de Recepcin de reporte de

Control de Cargos
Facturacin
facturacin
55
55
55
Entregar cargos y
Control de Cargos Control de cargos despachos al responsable
de cada cliente
Clasificar cargos y rezagos
Control de Cargos Control de cargos por cliente y guia de
admisin
Primario
---
---
Operador Postal
dentro del rea
Memorndum en el cual se le exige al postrn que devuelva

el reporte o gua entregada por el operador postal para su
envo a los clientes para su aprobacin
Primario
---
Postren
Supervisor del
rea de Control
de Cargos
dentro del rea
Almacenado en la
computadora del
supervisor
---
2,0
Nota Informativa solicitando a los clientes la entrega de los

cargos de reportes de devolucion pendientes
Primario
---
Clientes
Supervisor del
rea de Control
de Cargos
dentro del rea
Almacenado en la
computadora del
supervisor
---
2,0
Primario
---
Cliente
Operador Postal
dentro del rea
---
2,0
Primario
Cliente
---
Operador Postal
dentro del rea
---
2,0
Primario
Cleinte
Facturacion
Supervisor del
rea de Control
de Cargos
dentro del rea
---
---
2,0
Rezagos
Primario
---
---
Clientes
---
---
1,7
Rezagos
Primario
---
---
Clientes
---
---
1,7
Primario
---
---
Clientes
---
---
1,7
Primario
---
---
Clientes
---
---
1,7
Clientes
---
---
1,7
Clientes
---
---
1,7
---
---
1,7
---
---
2,0
---
---
2,0
---
---
2,0
---
---
2,0
---
---
--
1,5
---
---
--
1,5
Reporte de
Facturacin de
Control de Cargos
Reporte de
Facturacin de
Control de Cargos
Reporte de
Facturacin de
Control de Cargos Reportes de facturacin con los datos de los servicios
con visto bueno del brindados a los clientes con su visto bueno
cliente (Hoja de
coordinacin)

Rezagos

Rezagos
55

con memorndum
Rezagos
Primario
---
Administracion
Postal
55

digitalizacin
Rezagos
Primario
---
Digitalizacin
55

el sistema
Rezagos
Primario
---
---
Clientes
55
Digitalizacin
Digitalizacin
rezagos por cliente
Rezagos
Primario
Control de
cargos
---
Control de cargos
55
Digitalizacin
Digitalizacin
Engrapar rezagos
Rezagos
Primario
---
---
Control de cargos
55
Digitalizacin
Digitalizacin
Primario
---
Control de cargos
Control de cargos
55
Digitalizacin
Digitalizacin
Rezagos
Primario
---
---
Control de cargos
56
Digitalizacin
Digitalizacin
Guia de admisin
Primario
Control de
cargos
---
Control de cargos
Primario
---
---
Control de cargos
56
Digitalizacin
Digitalizacin
Cuadrar cargos y rezagos

con la gua de admisin en
hoja de control de calidad
Almacenado en la
computadora del
supervisor
Almacenado en los
correos del supervisor
Almacenado en la
computadora del
supervisor
Almacenado en los
correos del supervisor
Documentos no entregados a los clientes, no son

escaneados, solo se escanea sus cargos
55

a control de cargos
rezagos por cliente
Clasificacin
Actual del
Activo de
Informacin
Informe de Reportes y guias de devolucion no devueltas por

el postren pasados el plazo mximo de 48 horas
Reportes de facturacin con los datos de los servicios

brindados a los clientes
53
Valoracin
Otros
48
Sub Proceso
Formatos

Propietario del
Activo de
Informacin
Verbal
Proceso
Papel
Id
Activo
Electrnico
Proceso
Rezagos
Guia de admisin
Documentos no entregados a los clientes, no son

escaneados, solo se escanea sus cargos
Contiene datos como el numero de guia, formato fsico que

procede del rea de control de cargos

rea
rea
rea
rea
rea
rea
25
Recepcin
Admisin
Guia de admisin
56
Recepcin
Habilitado
57
Digitalizacin
Digitalizacin
58
Digitalizacin
Digitalizacin
59
Digitalizacin
Digitalizacin
59
Digitalizacin
Digitalizacin
59
Digitalizacin
Elaboracin de
Reportes y CD's
59
Digitalizacin
Elaboracin de
Reportes y CD's
Digitalizacin
Elaboracin de
Reportes y CD's
Digitalizacin
Elaboracin de
Reportes y CD's
59
59
60
Digitalizacin
Digitalizacin
Cierre de guas de
admisin
barras
barras
barras
Transferir imgenes
servidor
digitalizados
Obtener imgenes y
renombrarlas segn el
nmero de gua
Verificar que la
informacin sea correcta
Grabar imgenes y cuadro
de reportes o reporte de
devolucin de imgenes
barras
Transferir imgenes
servidor
Guia de admisin
Escaner
CANONFILE
---
Supervisor de
Extra Postales
Supervisor de
Extra Postales
---
x
x
Primario
---
Control de cargos
---
Herramienta utilizada para escanear cada uno de los cargos

que llegan al area
Soporte
---
---
Encargado del
rea

de digitalizacin
---
Software utilizado para el escaneo de imgenes
Soporte
---
---
Encargado del
rea
---
Aplicacin
---
1,3
---
1,3
---
--
--
3,0
---
--
--
3,0
---
2,3
---
Encargado del
rea
---
Cargos digitalizados
Primario
---
Clientes
Encargado del
rea
---
Almacenada en el
servidor web
---
2,3
Primario
---
Clientes
Encargado del
rea
---
Almacenada en el
servidor web
---
2,3
Primario
---
---
Encargado del
rea
---
---
---
2,3
---
Encargado del
rea
---
---
---
2,3
---
---
---
2,3
Versin digital de los cargos entregados por el rea de

control de cargos, se debe relacionar la imagen con el cargo
fsico mediante la lectura de codigo de barras (escaneado) o
el numero de cargo (manual)
Primario
Particin del disco
(D:\)
Unidad donde se guardan cada una de las imgenes

escaneadas.
Un reporte de la cantidad de guias admitidas en el mes.
Carpeta donde se guardan los archivos escaneados para
mostrarlo en la web, se encuentra ubicado en el rea de TI,
dentro del CCPL. Se llama TELPERION
Servidor de
imgenes para
digitalizacin
Proceso para la
elaboracin de
Los procesos para la creacin de CD con las imgenes
devoluciones de
digitalizadas a solicitud del cliente
imgenes al cliente
mediante CD's
Digitalizacin
Digitalizacin
63
Digitalizacin
Elaboracin de
Reportes y CD's
Consolidado SAT
63
Digitalizacin
Elaboracin de
Reportes y CD's
Elaborar cuadro de
reporte
Consolidado SAT
64
Digitalizacin
Elaboracin de
Reportes y CD's
Elaborar cuadro de
reporte
64
Digitalizacin
Elaboracin de
Reportes y CD's

64
Digitalizacin
Elaboracin de
Reportes y CD's
Almacenar datos para

reporte para refacturacin
por cliente
Generar reporte de
---
Lgica
---
62
Elaboracin de
Reportes y CD's
Primario
Fsica
Primario
Digitalizacin
Digitalizacin
Receptor de la
Salida
Digitalizacin
65
Proveedor de la
Entrada
Almacenada en la
computadora de la
encargada del rea
61
Proceso de elaboracin
del CD
Contiene datos como el numero de guia, formato fsico que

se genera una vez se recibe un envo
Tipo de
Activo
Promedio
56
Disponibilidad
Nombre del Activo

de Informacin
Clasificacin
Actual del
Activo de
Informacin
Confidencialid
ad
Integridad
Actividad
Valoracin
Otros
Sub Proceso
Formatos

Propietario del
Activo de
Informacin
Verbal
Proceso
Papel
Electrnico
Proceso
Id
Activo
Reporte de
Devolucin de
imgenes diarias
para el SAT
Reporte de
Devolucin de
imgenes diarias
para el SAT
Reporte de
Devolucin de
imgenes diarias
para el SAT
Reporte de
Devolucin
Reporte de actualizacin diaria donde se coloca datos como

numero de guia SAT y admisin, fecha, plazo de entrega,
cantidad admitida, tipo de documento. Tiene informacin de
todo el ao
Extracto del consolidado SAT con las guias correspondientes

a la fecha de vencimiento del dia y actualizacin detellando
las cantidades de informacin que se devuelve.
Reporte de actualizacin de datos para otros clientes

empresariales detallando cargos y rezagos.
---
Primario
---
Clientes
Encargado del
rea
Soporte
---
---
Operadores
Postales
---
Dentro de cada estacin

de trabajo
---
2,7
Ubicada en el
datacenter de la
empresa
---
---
2,7
---
2,0
Soporte
---
---
Departamento de
TI
Primario
---
---
Encargado del
rea
---
---
Primario
---
---
Encargado del
rea
---
Almacenada en la
computadora de la
encargada del rea
---
2,3
Primario
---
---
Encargado del
rea
---
Almacenada en la
computadora de la
encargada del rea
---
2,3
Primario
---
---
---
Almacenada en la
computadora de la
encargada del rea
---
2,3
Primario
---
Cliente
Encargado del
rea
---
---
---
2,3
Primario
---
Cliente
Encargado del
rea
---
---
---
2,3
---
Almacenada en la
computadora de la
encargada del rea.
En un Backup
almacenado por el
personal del
departamento de TI
---
2,3
Primario
---
---
Encargado del
rea
26
Digitalizacin

Reporte de
Devolucin
Primario
---
65
Digitalizacin
Elaboracin de
Reportes y CD's
Almacenar datos para

reporte para refacturacin
por cliente
Reporte de
Devolucin
Primario
66
Digitalizacin
Digitalizacin
67
Digitalizacin
Elaboracin de
Reportes y CD's
68
Digitalizacin
Elaboracin de
Reportes y CD's
69
Digitalizacin
Elaboracin de
Reportes y CD's
70
Digitalizacin
Digitalizacin
70
70
71
Digitalizacin
Digitalizacin
Digitalizacin
Elaboracin de
Reportes y CD's
Elaboracin de
Reportes y CD's
Elaboracin de
Reportes y CD's
Proveedor de la
Entrada
Receptor de la
Salida
Fsica
Cliente
Encargado del
rea
---
---
Cliente
Encargado del
rea
---
Lgica
Almacenada en la
computadora de la
encargada del rea.
En un Backup
almacenado por el
personal del
departamento de TI
Almacenada en la
computadora de la
encargada del rea.
En un Backup
almacenado por el
personal del
departamento de TI
Almacenada en la
computadora de la
encargada del rea.
En un Backup
almacenado por el
personal del
departamento de TI
Almacenada en la
computadora de la
encargada del rea.

cargos
Excel que contiene, en cada hoja, las guias digitadas que

Reporte diario para
fueron trabajadas con los campos solicitados por el cliente.
devolucin de cargos
Solo para el cliente INDECOPI
Primario
---
Control de cargos
Control de cargos
---
Verificar que la
informacin sea correcta
Reporte de Guias de Reporte de guias de admisin de los cargos admitidos en el

Admisin
mes para la generacin de back ups
Primario
---
---
Encargado del
rea
---
CD con las imgenes y la BD solicitada por el cliente
Soporte
---
Cliente
Encargado del
rea
---
---
Se detalla las guias que se vencen en el dia y se le adjunta el

reporte impreso que se ha incluido en el CD
Primario
---
Cliente
Encargado del
rea
---
---
Primario
---
---
Encargado del
rea

rea
Primario
---
Facturacin.
Encargado del
rea

rea

Generar reporte mensual
por cliente para
prefacturacin
Enviar a Facturacin para
conformidad
Enviar reporte fsico
buscando aprobacin
Entregar a Facturacin
reporte sellado
71
Digitalizacin
Elaboracin de
Reportes y CD's
Enviar reporte fsico

buscando aprobacin
72
Digitalizacin
Elaboracin de
Reportes y CD's
Elaborar base de datos y

remitir informacin va
email al cliente
73
Digitalizacin
Elaboracin de
Reportes y CD's

digitalizados
74
Recepcin
Habilitado
Todo el proceso
74
Clasificacin
Clasificacin
Todo el proceso
74
Tipo de
Activo
Control de Cargos Control de cargos Todo el proceso
75
Recepcin
Habilitado
Todo el proceso
76
Clasificacin
Clasificacin
Todo el proceso
77
Clasificacin
Clasificacin
Todo el proceso
CD
Guia de devolucin
de imgenes
mediante CD's
Reporte de
Facturacin de
digitalizacin
Reporte de
Facturacin de
digitalizacin
Reporte de
Facturacin de
digitalizacin
Reporte de
facturacin de
digitalizacin con
visto bueno
Reporte de
facturacin de
digitalizacin con
visto bueno
Listado de guas
digitalizadas
trabajadas por
cliente
CD con backup
Puede ser enviado en formato digital (SAT) o fsico con los

datos de la guia de admisin generada por mes para la
facturacin.
Primario
---
Cliente
Jefe del Dep.
Encargado del
rea
Almacenada en la
computadora de la
encargada del rea
Almacenada en la
computadora de la
encargada del rea
---
2,3
---
2,3
---
2,3
---
2,3
---
2,7
---
2,3
---
1,7
---
1,7

rea
Almacenada en la
computadora de la
encargada del rea
---
1,7
---
1,7
---
1,7
---
2,3
---
2,3
Primario
---
Facturacin
Facturacin

rea
Almacenada en la
computadora de la
encargada del rea
Primario
Cliente
Jefe del Dep.
---
Facturacin

rea
Almacenada en la
computadora de la
encargada del rea
Listado con la informacin de todas las guas digitalizadas en

el rea, este documento solo se enva una vez se haya
acabado con la disribucin total de loes envos de una gua
Primario
---
Cliente
Encargado del
rea
Cd que contiene la informacin de cada uno de los clientes

atendidos una vez se completa los envos de una gua, en el
se detalla la cantidad atendida por mes
Primario
---
Personal
---
Personal
---
Personal
Personal
Reporte de facturacin con el visto bueno del jefe inmediato

y, en caso haya sido solicitado, del cliente
Persona encargada de apoyar en el proceso de atencin a

Operadores Postales
clientes empresariales
Operador Postal
Operadores postales
Supervisor del rea Persona encargada de supervisar y velar por la correcta
de Extra Postales operatividad del proceso
Persona encargada de clasificar los envos por clientes,
Clasificador
administraciones postales y sectores.
Supervisor del
Persona encargada de supervisar y velar por la correcta
departamento de
operatividad del proceso
clasificacin
Promedio
65
Elaboracin de
Reportes y CD's
Integridad
Nombre del Activo

de Informacin
Disponibilidad
Actividad
Confidencialidad
Sub Proceso
Valoracin
Clasificacin
Actual del
Activo de
Informacin
Otros
Proceso
Formatos

Propietario del
Activo de
Informacin
Verbal
Papel
Id
Activo
Electrnico
Proceso
Almacenada en la
computadora de la
encargada del rea
Encargado del
rea

rea
---
---
---
---
---
2,0
---
---
---
---
---
2,0
---
---
---
---
---
---
2,0
---
---
---
---
---
---
2,3
Personal
---
---
---
---
---
---
2,0
Personal
---
---
---
---
---
---
2,0
27
Digitalizacin
Todo el proceso
80
Digitalizacin
Digitalizacin
Todo el proceso
81
Digitalizacin
Digitalizacin
Todo el proceso
82
83
Todos los
Procesos
Todos los
Procesos
---
---
---
---
84
Todos los
Procesos
---
---
85
Todos los
Procesos
---
---
86
Todos los
Procesos
---
---
87
Todos los
Procesos
---
---
88
Todos los
Procesos
---
---
Servidor de archivos
89
Todos los
Procesos
---
---
Backup del servidor Backup, almacenado en cintas, de la informacin guardada

de Archivos
en el servidor NIIMRODEL.
Servidor utilizado por las distintas reas operativas y

administrativas para compartir archivos. Llamado NIMRODEL
3 UPS utilizado para mantener la operatividad de los

distintos servidores y base de datos del datacenter, tiempo
mximo de uso de 30 minutos.
Servidor de aplicaciones que sirve para el control de
versiones de los diversos aplicativos manejados en la
empresa
90
Todos los
Procesos
---
---
UPS Power Ware
91
Todos los
Procesos
---
---
Servidor de
Aplicaciones
92
Todos los
Procesos
---
---
Cableado estructural
---
Grupo Electrogeno utilizado para hacer funcionar cada uno

Gruppo Electrogeno de los equipos del datacenter en caso la carga de los UPS no
sea suficiente
93
Todos los
Procesos
---
Red de cableado Cat5e en toda la empresa realizado por el

personal del rea segn sus necesidades
Lgica
Promedio
Digitalizacin
Supervisor del rea Persona encargada de velar por el correcto funcionamiento

de Control de Cargos de los procesos del rea, es apoyada por otro supervisor
Persona encargada de supervisar la operatividad del rea y
Encargada del rea
realizar los procesos relacionados a la facturacin, siempre y
de Digitalizacin
cuando, le competan al rea
Personas encargadas de suplantar al encargado del rea en
Co-coordinadores del
caso no se encuentre presente, solo ven el proceso de
rea de digitalizacin
quemados de CD y envos de correos
Personal de
Personas encargadas de digitalizar cada uno de los cargos
digitalizacin
que llevan del rea de control de cargos
Local en el cual se realizan cada uno de los procesos
Local del CCPL
descritos anteriormente
Sistema de Camaras Camaras que graban lo sucedido en las reas de Extra
de Seguridad
Postales, Control de Cargos, Clasificacin y TI
Centro de
Lugar fsico en el que se almacenan los servidores y las base
Procesamiento de
de datos
Datos
Base de datos ubicada en el rea de TI en el CCPL, contiene
Base de datos de
informacin utilizada como ambiente de prueba.
desarrollo
Llamada MISTI2
Base datos ubicada en el rea de TI en el CCPL, contiene
Base de datos en
informacin utilizada por los usuarios para su trabajo diario.
produccion
Se llaman ANDURIL01 y ANDURIL02
Base de datos de Base de datos ubicada en IBM, contiene el respaldo de las
contingencia
bases de datos de produccin, llamada SRP STB.
Fsica
Integridad
79
Disponibilidad
Control de Cargos Control de cargos Todo el proceso
Nombre del Activo

de Informacin
Valoracin
---
---
---
---
2,0
---
---
---
---
---
2,3
---
---
---
---
---
---
2,0
Personal
---
---
---
---
---
---
2,0
Soporte
---
---
---
---
---
---
--
--
3,0
Soporte
---
---
---
---
---
---
--
--
3,0
Soporte
---
---
---
---
---
---
--
--
4,0
Soporte
---
---
---
---
---
--
--
2,0
Soporte
---
---
---
---
---
--
--
4,0
Soporte
---
---
---
---
---
--
--
4,0
Soporte
---
---
---
---
---
--
--
4,0
Soporte
---
---
---
---
---
--
--
4,0
Soporte
---
---
---
---
---
--
--
4,0
Soporte
---
---
---
---
---
--
--
4,0
Soporte
---
---
---
---
---
--
--
3,0
Soporte
---
---
---
---
---
--
--
4,0
Tipo de
Activo
Proveedor de la
Entrada
Receptor de la
Salida
Personal
---
---
Personal
---
Personal
Ubicada en el
datacenter de la
empresa
Ubicada en el
datacenter de la
empresa
Ubicada en el
datacenter de IBM
Ubicada en el
datacenter de la
empresa
Almacenada en cintas
en el datacenter de la
empresa
Ubicada en el
datacenter de la
empresa
Ubicada en el
datacenter de la
empresa
Ubicada en el
datacenter de la
empresa
Ubicada en el
datacenter de la
empresa
Otros
Actividad
Propietario del
Activo de
Informacin
Verbal
Sub Proceso
Formatos
Confidencialidad
78
Proceso
Papel
Id
Activo
Electrnico
Proceso
Clasificacin
Actual del
Activo de
Informacin
28
8. Anexo 8 Lista de Ejemplos de Vulnerabilidades y

Amenazas
Lista de Ejemplos de Vulnerabilidades y Amenazas
Tipo
Hardware
Software
Red
Personal
Ejemplos de Vulnerabilidades
Mantenimiento insuficiente/instalacin fallidade los medios
de almacenamiento
Falta de esquemas de reemplazo peridico.
Susceptibilidad a la humedad, el polvo y lasuciedad.
Sensibilidad a la radiacin electromagntica
Falta de control de cambio con configuracineficiente
Susceptibilidad a las variaciones de tensin
Susceptibilidad a las variaciones detemperatura
Almacenamiento sin proteccin
Falta de cuidado en la disposicin final
Copia no controlada
Falta o insuficiencia de la prueba del software
Defectos bien conocidos en el software
Falta de "terminacin de la sesin" cuando seabandona la
estacin de trabajo
Disposicin o reutilizacin de los medios dealmacenamiento
sin borrado adecuado
Falta de pruebas de auditora
Distribucin errada de los derechos deacceso
Software de distribucin amplia
Utilizacin de los programas de aplicacin alos datos errados en
trminos de tiempo
Interfase de usuario complicada
Falta de documentacin
Configuracin incorrecta de parmetros
Fechas incorrectas
Falta de mecanismos de identificacin yautentificacin, como
la autentificacin deusuario
Tablas de contraseas sin proteccin
Gestin deficiente de las contraseas
Habilitacin de servicios innecesarios
Software nuevo o inmaduro
Especificaciones incompletas o no claraspara los
desarrolladores
Falta de control eficaz del cambio
Descarga y uso no controlados de software
Falta de copias de respaldo
Falta de proteccin fsica de las puertas yventanas de la
edificacin
Falla en la produccin de informes de gestin
Falta de prueba del envo o la recepcin demensajes
Lneas de comunicacin sin proteccin
Trfico sensible sin proteccin
Conexin deficiente de los cables.
Punto nico de falla
Falta de identificacin y autentificacin deemisor y receptor
Arquitectura insegura de la red
Transferencia de contraseas autorizadas
Gestin inadecuada de la red (capacidad derecuperacin del
enrutamiento)
Conexiones de red pblica sin proteccin
Ausencia del personal
Procedimientos inadecuados de contratacin
Entrenamiento insuficiente en seguridad
Uso incorrecto de software y hardware
Falta de conciencia acerca de la seguridad
Falta de mecanismos de monitoreo
Trabajo no supervisado del personal externoo de limpieza
Falta de polticas para el uso correcto de losmedios de
telecomunicaciones y mensajera
Ejemplos de Amenazas
Incumplimiento en el mantenimiento delsistema de
informacin
Destruccin del equipo o los medios.
Polvo, corrosin, congelamiento
Radiacin electromagntica
Error en el uso
Prdida del suministro de energa
Fenmenos meteorolgicos
Hurto de medios o documentos
Abuso de los derechos
Corrupcin de datos
Corrupcin de datos
Error en el uso
Error en el uso
Error en el uso
Error en el uso
Falsificacin de derechos
Procesamiento ilegal de datos
Mal funcionamiento del software
Manipulacin con software
Manipulacin con software
Uso no autorizado del equipo
Negacin de acciones
Escucha de la comunicacin
Escucha de la comunicacin
Falla del equipo de telecomunicaciones
Falla del equipo de telecomunicaciones
Espionaje remoto
Espionaje remoto
Saturacin del sistema de informacin
Incumplimiento en la disponibilidad delpersonal
Destruccin de equipos o medios
Error en el uso
Error en el uso
Error en el uso
Procesamiento ilegal de los datos
29
Lugar
Uso inadecuado o descuidado del control deacceso fsico a las

edificaciones y los recintos
Ubicacin en un rea susceptible deinundacin
Red energtica inestable
Falta de proteccin fsica de las puertas yventanas de la
edificacin
Falta de procedimiento formal para el registroy retiro del
registro de usuario
Falta de proceso formal para la revisin(supervisin) de los
derechos de acceso
Falta o insuficiencia de disposiciones (conrespecto a la
seguridad) en los contratos conlos clientes y/o terceras partes
Falta de procedimiento de monitoreo de losrecursos de
procesamiento informacin
Falta de auditoras (supervisiones) regulares
Falta de procedimientos de identificacin yevaluacin de
riesgos
Falta de reportes sobre fallas incluidos en losregistros de
administradores y operador
Respuesta inadecuada de mantenimiento delservicio
Falta o insuficiencia en el acuerdo a nivel deservicio
Falta de procedimiento de control de cambios
Falta de procedimiento formal para el controlde la

documentacin del SGSI
Falta de procedimiento formal para lasupervisin del registro
del SGSI
Falta de procedimiento formal para laautorizacin de la
informacin disponible alpblico
Falta de asignacin adecuada deresponsabilidades en la
seguridad de lainformacin
Falta de planes de continuidad
Organizacin Falta de polticas sobre el uso del correoelectrnico
Falta de procedimientos para la introduccindel software en los
sistemas operativos
Falta de registros en las bitcoras*(logs) deadministrador y
operario.
Falta de procedimientos para el manejo deinformacin
clasificada
Falta de responsabilidades en la seguridadde la informacin en
la descripcin de loscargos
Destruccin de equipo o medios

Inundacin
Prdida del suministro de energa
Hurto de equipo
informacin
informacin
informacin
Corrupcin de datos
Corrupcin de datos
Datos provenientes de fuentes no confiables
Negacin de acciones
Falla del equipo
Error en el uso
Error en el uso
Error en el uso
Error en el uso
Error en el uso
Falta o insuficiencia en las disposiciones (conrespecto a la

Procesamiento ilegal de datos
seguridad de la informacin) enlos contratos con los empleados
Falta de procesos disciplinarios definidos enel caso de
incidentes de seguridad de lainformacin
Falta de poltica formal sobre la utilizacin decomputadores
porttiles
Falta de control de los activos que seencuentran fuera de las
instalaciones
Falta o insuficiencia de poltica sobre limpiezade escritorio y de
pantalla
Falta de autorizacin de los recursos deprocesamiento de la
informacin
Falta de mecanismos de monitoreoestablecidos para las
brechas en la seguridad
Falta de revisiones regulares por parte de lagerencia
Falta de procedimientos para la presentacinde informes sobre
las debilidades en laseguridad
Falta de procedimientos del cumplimiento delas disposiciones
con los derechosintelectuales
Hurto de equipo
Hurto de equipo
Hurto de equipo
Uso de software falso o copiado
30
9. Anexo 9 Matriz de Riesgos

Anexo 9 - Matriz de Riesgos
Nombre del Activo de

Informacin
Integridad
Evaluacin del Riesgo
Disponibilidad
Identificacin del Riesgo
Confidencialidad
Todos
Backup de base de
datos
Se prueban los backups realizados una vez a la

semana
Errores al restaurar los backups
R2
Recepcin
Backup de los correos

recibidos
Acceso de usuarios no autorizados a sistemas o

redes
Falta de "cierre de sesin" cuando se abandona la

estacin de trabajo
R3
Recepcin

recibidos
3 Destruccin del equipo o los medios.
Falta de politicas para el respaldo de informacin
R4
Recepcin

recibidos
3 Fuego
R5
Todos
Backup de servidores
R6
Todos
Base de datos de
contingencia
4 Abuso de los privilegios
Riesgo de compromiso de informacin debido a un

Falta de auditoras (supervisiones) programadas o ingreso no autorizado a la base de datos de
inopinadas
contingencia, a causa de la falta de auditorias a la
base de datos
R7
Todos
Base de datos de
contingencia
4 Usuarios Mal intencionados
Falta de pruebas de hacking etico
R8
Todos
Base de datos en
produccion

Falta de auditoras (supervisiones) programadas o
ingreso no autorizado a la base de datos, a causa
inopinadas
de la falta de auditorias a la base de datos
R9
Todos
Base de datos en
produccion
Id
Riesgo
Proceso
R1
Amenaza
Falta de ambientes adecuados para el

almacenamiento de backups
Vulnerabilidad
Riesgo
Probabilidad
Impacto
Tratamiento del Riesgo
Nivel de Valor del

Riesgo
Riesgo
Tipo de
Tratamiento
Control Alineado a la NTP ISO/IEC

17799
Control Especfico
Tipo de
Control
Responsable
--
--
--
Jefe del Departamento

de Tecnologa
Riesgo de prdida de la integridad de la

informacin almacenada en los backups debido a
una restauracin fallida de los mismos, a causa de
la falta de pruebas de los backups
Riesgo de prdida o dao de la informacin de los
backups de los correos recibidos debido a la falta
de bloqueo de sesin al abandonar la estacin de
trabajo, a causa de la falta de capacitacin de
seguridad en el rea
Riesgo de prdida de la informacin almacenada
en la computadora debido a algn evento que
destruya el equipo, a causa de la falta de polticas
para el respaldo de informacin
Baja
Moderado
Riesgo
Bajo
Transferido
Seguir
Monitoreando
Moderada
Moderado
12
Riesgo
Alto
Mitigar
A.11.3.2 Equipo informtico de

usuario desatendido
Se debe realizar capacitaciones de seguridad de

informacin con los trabajadores de la
organizacin
Control
Preventivo
Oficial de Seguridad
de la Informacin
Moderada
Moderado
12
Riesgo
Alto
Mitigar
A.10.5.1 Recuperacin de la
informacin
Se debe obtener un resguardo de la informacin

almacenada en la computadora en un ambiente
acondicionado para ello y lejos del rea de trabajo
Control
Correctivo
Supervisor del rea de

Extra Postales
Poco personal capacitado en el uso de extintores.

Falta de mecanismos para el respaldo de
informacin
Riesgo de dao y/o deterioro de los backups de los

correos recibidos debido a un incendio, a causa de
la falta de capacitacin y sistemas contra incendios
Baja
Mayor
12
Riesgo
Alto
Mitigar
Se debe adquirir e instalar equipos contra

A.9.1.4 Proteccin contra
Control
incendios dentro de la organizacin.
de Seguridad Postal /
amenazas externas y ambientales
Preventivo /
Se debe obtener un resguardo de esta informacin
Supervisor del
Control
en formato digital para evitar la prdida de los
Departamento de
informacin
Correctivo
documentos en un incendio
Clasificacin
Almacenamiento de los backups dentro del CPD
Riesgo de dao o deterioro de los backups debido

a incidentes ocurridos en el CCPL, a causa del
almacenamiento de los backups dentro del CPD
Baja
Mayor
12
Riesgo
Alto
Transferir
Moderada
Mayor
18
Riesgo
Alto
Mitigar
Moderada
Mayor
18
Riesgo
Alto
Mitigar
Moderada
Mayor
18
Riesgo
Alto
Mitigar
Riesgo de compromiso de informacin debido a

ataques mal intencionados, causados por la falta
de mecanismos de deteccin.
Moderada
Mayor
18
Riesgo
Alto
Mitigar
Moderada
Moderado
12
Riesgo
Alto
Mitigar

Cada uno de los respaldos o backups de la

informacin almacenada en el CPD debe ser
almacenada en un lugar distinto para evitar su
perdida en caso un incendio destruya este local.
La organizacin debe producir, analizar y
almacenar los logs de auditoria el tiempo que se
A.10.10.1 Registro de auditoria
establezca necesario de tal forma que ayude a
investigaciones futuras
Se deber desarrollar un plan de anlisis de
A.10.6.1 Controles de red
vulnerabilidades que permita identificar los
A.10.6.2 Seguridad de los servicios
principales problemas en los sitemas y ayude a
de redes
elaborar procedimientos para corregirlos.
de redes
Se debe adquirir y habilitar lugares especiales
donde almacenar la informacin fsica que se tiene
A.11.3.3 Poltica de Pantalla y
dentro del rea, tales como, armarios o cajones
escritorio limpio
con cerrojos para evitar que sean accedidos por
personal no autorizado
informacin
Control
Preventivo

de Tecnologa
Control
Detectivo

de Tecnologa
Control
Detectivo

de Tecnologa
Control
Detectivo

de Tecnologa
Control
Detectivo

de Tecnologa
Control
Preventivo
de la Informacin
R10
Clasificacin
Boletin de verificacin
3
de clasificacin
3 Hurto o modificacin de medios o documentos
Falta de lugares adecuados donde guardar

documentacin importante
Trabajo no supervisado del personal externo de
limpieza
Riesgo de prdida, dao o modificacin del boletn

de verificacin de clasificacin debido a robos o
modificaciones no autorizadas, a causa de la falta
de lugares adecuados donde guardar los
documentos importante
R11
Clasificacin
Boletin de verificacin
3
de clasificacin
3 Fuego

informacin
Riesgo de dao y/o deterioro del boletin de

verificacin de clasificacin debido a un incendio,
a causa de la falta de capacitacin y sistemas contra
incendios
Baja
Mayor
12
Riesgo
Alto
Mitigar
R12
Todos
Cableado Estructural
--
--
3 No existe un rotulado del cableado estructural
Problemas con algn punto de la red
Riesgo de problemas en la infraestructura de red

debido a problemas de conexin en el cableado, a
causa de la falta de un rotulado adecuado
Moderada
Moderado
12
Riesgo
Alto
Transferir
R13
Digitalizacin
CANONFILE
2 Usuarios nuevos
Falta de documentacin para realizar el proceso
Moderada
Moderado
12
Riesgo
Alto
Mitigar
R14
Control de Cargos
Cargos

limpieza
Muy Baja
Moderado
Riesgo
Bajo
Seguir
Monitoreando
R15
Recepcin
Cargos

limpieza
Muy Baja
Menor
Riesgo
Bajo
Seguir
Monitoreando
R16
Recepcin
Cargos
3 Fuego

informacin
Riesgo de dao y/o deterioro de los cargos debido

a un incendio, a causa de la falta de capacitacin y
sistemas contra incendios
Baja
Mayor
12
Riesgo
Alto
Mitigar

Control
Preventivo /
Supervisor del
Control
Departamento de
informacin
Correctivo
Clasificacin
R17
Control de Cargos
Cargos
3 Fuego

informacin
Riesgo de dao y/o deterioro de la gua de los

cargos debido a un incendio, a causa de la falta de
capacitacin y sistemas contra incendios
Baja
Mayor
12
Riesgo
Alto
Mitigar

Control
Preventivo /
Supervisor del
Control
Departamento de
informacin
Correctivo
Control de Cargos
Riesgo de prdida o dao de la informacin

trabajada con el programa CANONFILE debido a
errores de uso del mismo, a causa del
desconocimiento de su manejo
Riesgo de prdida, dao o modificacin de los
cargos debido a robos o modificaciones no
autorizadas, a causa de la falta de lugares
adecuados donde guardar los documentos
importante
Riesgo de prdida, dao o modificacin de los
cargos impresos debido a robos o modificaciones
no autorizadas, a causa de la falta de lugares
importante

Control
Preventivo /
Supervisor del
Control
Departamento de
informacin
Correctivo
Clasificacin
A.9.2.3 Seguridad del cableado
Se deber contratar los servicios de una empresa

especializada en el rubro para identificar
Control
claramente los cables de red en la empresa y evitar
Preventivo
errores de manejo al momento de dar
mantenimiento a la red

de Tecnologa
A.10.1.1 Documentacin de
procedimientos operativos
Se deber entregar el manual de usuario del

programa CANONFILE para facilitar la capacitacin
de personal nuevo de la empresa
Control
Preventivo
Jefe de Departamento
de Sistemas de
Informacin
--
--
--
de la Informacin
--
--
--
de la Informacin
31

Informacin
Integridad
Disponibilidad
Confidencialidad
Recepcin
Carpeta compartida
EXTRAPOSTALES
R19
Recepcin
Carpeta compartida
EXTRAPOSTALES
R20
Digitalizacin
CD con backup
R21
Digitalizacin
CD con backup
R22
Tecnologas de
Informacin
R23
Id
Riesgo
Proceso
R18
Nivel de Valor del

Riesgo
Riesgo
Tipo de
Tratamiento
Probabilidad
Impacto
Falta de "cierre de la sesin" cuando se abandona

la estacin de trabajo
Riesgo de prdida o dao de la informacin de la

carpeta compartida debido a la falta de bloqueo de
sesin al abandonar la estacin de trabajo, a causa
de la falta de capacitacin de seguridad en el rea
Moderada
Menor
Riesgo
Bajo
Mitigar
3 Falla del equipo de telecomunicaciones
Perdida de conexin a la red, interna e internet,

debido a la falla del equipo
Riesgo de prdida del acceso a la informacin de la

carpeta compartida debido a una falla en los
equipos de telecomunicaciones
Moderada
Moderado
12
Riesgo
Alto
3 Desastre Natural o Provocado
Almacenamiento del backup dentro del rea
Riesgo de prdida o deterioro de los CD's con los

backups de la informacin del rea debido a un
desastre natural o provocado, a causa de su
almacenamiento dentro de la misma rea
Alta
Moderado
16

limpieza
Baja
Moderado
Centro de
Procesamiento de
Datos
--
--
4 Destruccin de equipo o medios
Proteccin fsica inapropiada para el centro de

procesamiento de datos
Baja
Tecnologas de
Informacin
Centro de
Procesamiento de
Datos
--
--
4 Fuego

informacin
Riesgo de dao o deterioro de los equipos del CPD

debido a un incendio, a causa de la falta de
R24
Tecnologas de
Informacin
Centro de
Procesamiento de
Datos
--
--
4 Prdida del suministro de energa
Desconexin de las cmaras de vigilancia
R25
Tecnologas de
Informacin
Centro de
Procesamiento de
Datos
--
--
UPS tiene una duracin mxima de 30 minutos
R26
Tecnologas de
Informacin
Centro de
Procesamiento de
Datos
--
--
4 Polvo, corrosin, congelamiento
Susceptibilidad a la humedad, el polvo y la

suciedad.
R27
Clasificacin
Computadora de
Escritorio
--

redes
R28
Digitalizacin
Computadora de
Escritorio
--

redes
R29
Control de Cargos
Computadora de
Escritorio
--
3 Demora en la entrega de accesos a los usuarios
Claves compartidas por varios usuarios para el

ingreso y uso de correo
R30
Control de Cargos
Computadora de
Escritorio
--
3 Destruccin del equipo o los medios.
Falta de politicas para el respaldo de informacin
R31
Recepcin
Computadora de
Escritorio
--
3 Error en el uso
Control de Cargos
Computadora de
Escritorio
--

redes
Vulnerabilidad
Riesgo
R32
Amenaza
Perdida de conexin a la red, interna e internet,

debido a la falla del equipo
R33
Recepcin
Computadora de
Escritorio
--
Introduccin de virus, troyanos o software

malicioso
Falta de actualizacin de antivirus
R34
Clasificacin
Computadora de
Escritorio
--

malicioso
R35
Digitalizacin
Computadora de
Escritorio
--

malicioso
Control Especfico
Tipo de
Control
Responsable

usuario desatendido

organizacin
Control
Preventivo
de la Informacin
Transferir
A.10.6.1 Controles de redes
Se debe establecer procedimientos y SLA

adecuados con los proveedores del servicio de
comunicaciones que cubran las necesidades de la
organizacin
Control
Preventivo
de Tecnologa
Riesgo
Alto
Transferir
informacin

informacin almacenada en el rea debe ser
Control
Preventivo

de Tecnologa
Riesgo
Bajo
Seguir
Monitoreando
--
de la Informacin
Catastrofico
16
Riesgo
Alto
Mitigar
Control
Preventivo

de Tecnologa
Alta
Catastrofico
32
Riesgo
Grave
Mitigar
Control
Detectivo
Control
Preventivo

de Tecnologa
Riesgo de compromiso de informacin

confidencial y activos del CPD debido a la
desconexin de camaras de seguridad, a causa de
fallas de energa elctrica
Alta
Mayor
24
Riesgo
Grave
Mitigar
Control
Preventivo
Encargado de
Seguridad Fsica de la
Empresa
Riesgo de perdida de disponibilidad de los equipos

almacenados en el CPD debido a la falta de energa
electrica, causados por la poca duracin de los UPS
adquiridos
Alta
Mayor
24
Riesgo
Grave
Mitigar
Control
Detectivo
Encargado de
Empresa
Moderada
Moderado
12
Riesgo
Alto
Mitigar
Se deber adquirir equipos que ayuden a vigilar las

condiciones ambiantales que puedan afectar a los
equipos del CPD
Control
Detectivo

de Tecnologa
Moderada
Menor
Riesgo
Bajo
Mitigar

usuario desatendido

organizacin
Control
Preventivo
de la Informacin
Alta
Moderado
16
Riesgo
Alto
Mitigar

usuario desatendido

organizacin
Control
Preventivo
de la Informacin
Muy Alta
Menor
10
Riesgo
Alto
Mitigar
A.11.5.3 Sistema de gestin de

contraseas
Establecer procedimientos para una adecuada

gestin en la creacin de usuarios.
Control
Correctivo
de Sistemas de
Informacin
Alta
Moderado
16
Riesgo
Alto
Mitigar
informacin

Control
Correctivo
Supervisor del
Departamento de
Control de Cargos
Baja
Moderado
Riesgo
Bajo
Seguir
Monitoreando
--

en los CD's de los backups de la organizacin
debido a robos o prdidas, a causa de la falta de
lugares adecuados donde guardar los documentos
importante
Riesgo de compromiso de los activos almacenados
en el CPD debido a algn acto mal intencionado,
causado por la falta de una proteccin fsica que
evite estos actos
Riesgo de dao o deterioro de los equipos del CPD

debido al polvo a factores ambientales, a causa de
la falta de mecanismos para controlar el medio
ambiente
Riesgo de prdida o dao de la informacin debido
Falta de "bloqueo de sesin" cuando se abandona a la falta de bloqueo de sesin al abandonar la
estacin de trabajo, a causa de la falta de
capacitacin de seguridad en el rea
estacin de trabajo

17799
Riesgo de prdida o dao de la informacin de la

computadora debido a la falta de bloqueo de
en la computadora o prdida del no repudio de
mensajes enviados por el correo electrnico
debido al intercambio no autorizado de claves, a
causa de la demora en la entrega de accesos a los
usuarios.
en la computadora debido a algn evento que
destruya el equipo, a causa de la falta de polticas
para el respaldo de informacin
Riesgo de dao o deterioro de las computadoras
debido a errores de uso del usuario, a causa del
desconocimiento en el manejo de estas
herramientas
Riesgo de prdida de informacin debido a una
falla en los equipos de telecomunicaciones
Riesgo de prdida o dao de la informacin o de
deterioro de la computadora debido a un ataque
mal intencionado, a causa de la falta de un
software para el tratamiento de cdigo malicioso
--
--
Se deber acondicionar el CPD de manera

A.9.2.1 Ubicacin y proteccin de adecuada mediante la instalacin de paredes,
equipos
puertas y ventanas que eviten el acceso no
autorizado al mismo
Se deber adquirir equipos detectores de humo
A.9.2.1 Ubicacin y proteccin de que den la alerta en caso de incendio.
equipos
informacin almacenada en el CPD debe ser
informacin
Se deber solicitar la compra de un equipo UPS
capaz de brindar de electricidad a las cmaras de
A.9.2.2 Suministro elctrico
seguridad mientras se enciende el grupo
electrgeno
Se deber realizar la documentacin pertinente
que permita dar un mantenimiento adecuado a los
grupos electrgenos de la empresa, indicando las
reas que cubren, el tiempo mximo que pueden
estar encendidos y aquellos procesos crticos que
deben permanecer operativos durante la
contingencia
--
de Tecnologa

organizacin
Control
Preventivo
de Tecnologa
--
Moderada
Moderado
12
Riesgo
Alto
Transferir
Alta
Moderado
16
Riesgo
Alto
Mitigar
A.10.4.1 Controles contra

Software Malicioso
Se debe adquirir software especializado para la

deteccin y reparacin de virus para cada una de
las computadoras del personal de la empresa
Control
Preventivo
de Tecnologa
Alta
Moderado
16
Riesgo
Alto
Mitigar

Software Malicioso

Control
Preventivo
de Tecnologa
Muy Alta
Moderado
20
Riesgo
Grave
Mitigar

Software Malicioso

Control
Preventivo
de Tecnologa
32

Informacin
Integridad
Disponibilidad
Confidencialidad
Clasificacin
Computadora de
Escritorio
--
3 Fuego
R37
Digitalizacin
Computadora de
Escritorio
--
R38
Recepcin
Computadora de
Escritorio
--
R39
Control de Cargos
Computadora de
Escritorio
R40
Recepcin
R41
Id
Riesgo
Proceso
R36
Tipo de
Control
Responsable

informacin
Control
Preventivo /
Control
Correctivo

Supervisor del
Departamento de
Clasificacin
Mitigar

informacin
Control
Preventivo

Encargado del
departamento de
digitalizacin
Riesgo
Alto
Mitigar

informacin
Control
Preventivo / de Seguridad Postal /
Control
Correctivo
Control de Cargos
12
Riesgo
Alto
Mitigar

informacin
Control
Preventivo /
Control
Correctivo

Supervisor del
Departamento de
Control de Cargos
Mayor
Riesgo
Bajo
Seguir
Monitoreando
--
--
--
de Tecnologa
Baja
Moderado
Riesgo
Bajo
Seguir
Monitoreando
--
--
--
de Tecnologa

debido a un mantenimiento insuficiente, a causa
del incumplimiento en el mantenimiento rutinario
Alta
Moderado
16
Riesgo
Alto
Mitigar
Control
Preventivo
de Tecnologa
Inactividad del equipo debido a la falta de energia
Riesgo de prdida de disponibilidad de las

computadoras debido a la prdida de energa en el
rea, a causa de la demora en el encendido de los
grupos electrgeno de la empresa
Muy Baja
Mayor
Riesgo
Bajo
Seguir
Monitoreando
--

de Seguridad Postal
3 Perdida del suministro de energia

Moderada
Moderado
12
Riesgo
Alto
Mitigar
A.9.2.2 Suminstro Elctrico
Control
Preventivo

de Seguridad Postal

Moderada
Moderado
12
Riesgo
Alto
Mitigar
Control
Preventivo
Encargado de
Empresa

Riesgo de prdida o dao del consolidado SAT

debido a la falta de bloqueo de sesin al
abandonar la estacin de trabajo, a causa de la
falta de capacitacin de seguridad en el rea
Alta
Moderado
16
Riesgo
Alto
Mitigar

usuario desatendido
Control
Preventivo
de la Informacin
2 Fuego

informacin
Riesgo de dao y/o deterioro de los consolidados

SAT debido a un incendio, a causa de la falta de
Baja
Mayor
12
Riesgo
Alto
Mitigar

Control
Preventivo /
Encargado del
Control
Departamento de
informacin
Correctivo
Digitalizacin
Recepcin
Correos de los clientes 2

estacin de trabajo
Riesgo de prdida o dao de la informacin de los

correos recibidos debido a la falta de bloqueo de
Moderada
Moderado
12
Riesgo
Alto
Mitigar

usuario desatendido

organizacin
Control
Preventivo
de la Informacin
R49
Recepcin
Correos de los clientes 2
3 Demora en la entrega de nuevos usuarios
Alta
Menor
Riesgo
Bajo
Mitigar

contraseas

Control
Correctivo
de Tecnologa
R50
Clasificacin
Cuaderno de control
de guias de salidas
para control de cargos
Moderada
Moderado
12
Riesgo
Alto
Mitigar

escritorio limpio

Control
Preventivo
de la Informacin
R51
Clasificacin
Cuaderno de control
de guias de salidas
para control de cargos
3 Fuego
Baja
Mayor
12
Riesgo
Alto
Mitigar

Control
Preventivo /
Supervisor del
Control
Departamento de
informacin
Correctivo
Clasificacin
Amenaza
Nivel de Valor del

Riesgo
Riesgo
Tipo de
Tratamiento
Riesgo
Probabilidad
Impacto

Destruccin o degradacin del activo de
informacin
Riesgo de dao y/o deterioro de las computadoras

Baja
Mayor
12
Riesgo
Alto
Mitigar
3 Fuego

informacin

Baja
Mayor
12
Riesgo
Alto
3 Fuego

informacin

Baja
Mayor
12
--
3 Fuego

informacin

Baja
Mayor
Computadora de
Escritorio
--
Incumplimiento en el mantenimiento de la
herramienta
Mantenimiento insuficiente

Muy Baja
Clasificacin
Computadora de
Escritorio
--
herramienta

R42
Digitalizacin
Computadora de
Escritorio
--
herramienta
R43
Recepcin
Computadora de
Escritorio
--
R44
Clasificacin
Computadora de
Escritorio
--
R45
Digitalizacin
Computadora de
Escritorio
--
R46
Digitalizacin
Consolidado SAT
R47
Digitalizacin
Consolidado SAT
R48

redes

redes
Vulnerabilidad
Riesgo de prdida de la confidencialidad de los

correos y dao a la reputacin de la empresa
Transferencia no autorizada de contraseas validas debido a la filtracin de informacin confidencial
de los clientes causado por compartir una misma
contrasea con varias personas
Riesgo de prdida, dao o modificacin del
cuaderno de control de guas de salida para control
de cargos debido a robos o modificaciones no
limpieza
importante
informacin
Riesgo de dao y/o deterioro del cuaderno de

control de guas de salida para control de cargos

17799
A.9.2.4 Mantenimiento de
equipos
--
Control Especfico
Se deber desarrollar un procedimiento que

permita establecer una frecuencia fija para el
mantenimiento de las distintas herramientas
utilizadas en el rea de trabajo
-Se deber realizar la documentacin pertinente
contingencia
contingencia
organizacin
33

Informacin
Integridad
Disponibilidad
Confidencialidad
Clasificacin
Cuaderno de control
de despachos
R53
Clasificacin
Cuaderno de control
de despachos
R54
Clasificacin
Cuaderno de control
de guias de salida para 2
extrapostales
R55
Clasificacin
Cuaderno de control
de guias de salida para 2
extrapostales
R56
Tecnologas de
Informacin
Equipo UPS Power

Ware
R57
Tecnologas de
Informacin
R58
Digitalizacin
Id
Riesgo
Proceso
R52
Nivel de Valor del

Riesgo
Riesgo
Tipo de
Tratamiento

17799
Control Especfico
Tipo de
Control
Responsable

Control
Preventivo
de la Informacin
Probabilidad
Impacto

limpieza

cuaderno de control de despachos debido a robos
o modificaciones no autorizadas, a causa de la falta
Moderada
Moderado
12
Riesgo
Alto
Mitigar

escritorio limpio
3 Fuego

informacin

control de despachos debido a un incendio, a causa
de la falta de capacitacin y sistemas contra
incendios
Baja
Mayor
12
Riesgo
Alto
Mitigar

Control
Preventivo /
Supervisor del
Control
Departamento de
informacin
Correctivo
Clasificacin

limpieza

cuaderno de control de guas de salida para extra
postales debido a robos o modificaciones no
importante
Moderada
Moderado
12
Riesgo
Alto
Mitigar

escritorio limpio
3 Fuego

informacin

control de guas de salida para extra postales
Baja
Mayor
12
Riesgo
Alto
Mitigar

Control
Preventivo /
Supervisor del
Control
Departamento de
informacin
Correctivo
Clasificacin
--
--
4 Antigedad del equipo
El funcionamiento del CPD depende de los UPS
Riesgo de deterioro de los equipos UPS debido a

fallas del equipo, a causa de su antigedad
Baja
Mayor
12
Riesgo
Alto
Mitigar
equipos
Equipo UPS Power

Ware
--
--
4 Incumplimiento en el mantenimiento del sistema Mantenimiento insuficiente
Riesgo de deterioro de los equipos UPS debido a

fallas del equipo, a causa de la falta de
mantenimiento
Baja
Mayor
12
Riesgo
Alto
Mitigar
equipos
Escaner
--
--
3 Fuego
Riesgo de dao y/o deterioro de los escaners

Baja
Mayor
12
Riesgo
Alto
Mitigar

amenazas externas y ambientales incendios dentro de la organizacin

de Seguridad Postal
Control
Preventivo
de Tecnologa
Control
Preventivo
Encargado de
Empresa
Control
Preventivo
de Tecnologa
Control
Preventivo

de Seguridad Postal
--
--
de Tecnologa
--
--

de Seguridad Postal

Control
Preventivo
de la Informacin
equipos
Riesgo de prdida de disponibilidad de los

escaners debido a la prdida de energa en el rea,
a causa de la demora en el encendido de los
Moderada
Moderado
12
Riesgo
Alto
Mitigar
3 Error en el uso
Baja
Mayor
12
Riesgo
Alto
Mitigar
3 Fuego

informacin
Baja
Mayor
12
Riesgo
Alto
Mitigar

Muy Baja
Mayor
Riesgo
Bajo
Seguir
Monitoreando
--
Muy Baja
Mayor
Riesgo
Bajo
Seguir
Monitoreando
--
Escaner
--
--
R61
Recepcin
Etiquetadoras
--
--
herramienta
herramienta
R63
Recepcin
Etiquetadoras
--
--
R64
Recepcin
Etiquetadoras
--
--
R65
Clasificacin
verificacin de
clasificacin

limpieza
R66
Clasificacin
verificacin de
clasificacin
3 Fuego

informacin
R67
Clasificacin
File de guias de salidas 2
R68
Clasificacin
File de guias de salidas 2
R69
Recepcin
Control
Preventivo

contingencia
Mitigar
Digitalizacin
Formatos de cargos

de Tecnologa
Riesgo
Alto
R60
--
Control
Detectivo
16
Riesgo de dao o deterioro de las etiquetadoras

debido a errores de uso del usuario, a causa del
desconocimiento en el manejo de estas
herramientas
Riesgo de dao y/o deterioro de las etiquetadoras
Riesgo de dao o deterioro de las etiquetadoras
etiquetadoras debido a la prdida de energa en el
Riesgo de prdida, dao o modificacin del file de
boletines de verificacin de clasificacin debido a
robos o modificaciones no autorizadas, a causa de
la falta de lugares adecuados donde guardar los
de la Informacin

de Tecnologa
Moderado
--
Control
Preventivo
Control
Detectivo
Alta
--
--

UPS de la empresa destinados al funcionamiento
del CPD
UPS de la empresa destinados al funcionamiento
del CPD
Riesgo de dao o deterioro de los escaners debido

a un mantenimiento insuficiente, a causa del
incumplimiento en el mantenimiento rutinario
Escaner
Etiquetadoras

informacin

Digitalizacin
Recepcin
Vulnerabilidad
Riesgo
R59
R62
Amenaza
Se deben realizar y mantener manuales que den a

conocer el correcto uso de las diversas
herramientas entregadas a los empleados
Moderada
Moderado
12
Riesgo
Alto
Mitigar

escritorio limpio
Riesgo de dao y/o deterioro del file de boletines

de verificacin de clasificacin debido a un
incendio, a causa de la falta de capacitacin y
Baja
Mayor
12
Riesgo
Alto
Mitigar

Control
Preventivo /
Supervisor del
Control
Departamento de
informacin
Correctivo
Clasificacin

limpieza
Riesgo de prdida, dao o modificacin del file de

guias de salidas debido a robos o modificaciones
no autorizadas, a causa de la falta de lugares
importante
Moderada
Moderado
12
Riesgo
Alto
Mitigar

escritorio limpio
3 Fuego

informacin
Riesgo de dao y/o deterioro del file de guas de

salida debido a un incendio, a causa de la falta de
Baja
Mayor
12
Riesgo
Alto
Mitigar

Control
Preventivo /
Supervisor del
Control
Departamento de
informacin
Correctivo
Clasificacin
3 Fuego

informacin
Riesgo de dao y/o deterioro de los formatos de

cargos debido a un incendio, a causa de la falta de
Baja
Mayor
12
Riesgo
Alto
Mitigar

Control
Preventivo /
Supervisor del
Control
Departamento de
informacin
Correctivo
Clasificacin

Control
Preventivo
de la Informacin
34
Proceso

Informacin
Integridad
Disponibilidad
Confidencialidad
Id
Riesgo
R70
Recepcin
Formatos de cargos
Amenaza
Los formatos deben ser digitados en la

computadora de manera manual
Vulnerabilidad
Riesgo
Riesgo de prdida de la integridad debido a

Personal con poca experiencia puede equivocarse
errores en la digitalizacin causado por la falta de
al momento de digitar la informacin en los cargos
experiencia al llenar los cargos
Probabilidad
Impacto
Moderada
Menor
Nivel de Valor del

Riesgo
Riesgo
Riesgo
Bajo
Tipo de
Tratamiento

17799
Seguir
Monitoreando
--
Control Especfico
Tipo de
Control
Responsable
--
--

Extra Postales
Control
Detectivo
Encargado de
Empresa
Control
Preventivo
de la Informacin

contingencia
R71
Tecnologas de
Informacin
Grupo electrogenio
--
--
4 Antigedad del equipo
Luego de 30 minutos sin electricidad, el

funcionamiento del CPD depende del grupo
electrgeno
Riesgo de deterioro del grupo electrgeno debido

a fallas del equipo, a causa de su antigedad
Baja
Catastrfico
16
Riesgo
Alto
Mitigar
equipos
R72
Clasificacin

limpieza
Riesgo de prdida, dao o modificacin de la guia

de salida de clasificacin debido a robos o
Moderada
Moderado
12
Riesgo
Alto
Mitigar

escritorio limpio
R73
Clasificacin
3 Fuego

informacin
Riesgo de dao y/o deterioro de la gua de salida

Baja
Mayor
12
Riesgo
Alto
Mitigar

Control
Preventivo /
Supervisor del
Control
Departamento de
informacin
Correctivo
Clasificacin
R74
Clasificacin
Guia de Salida con

Conformidad de
Clasificacin

limpieza
Riesgo de prdida, dao o modificacin de la guia

de salida con conformidad de clasificacin debido
a robos o modificaciones no autorizadas, a causa
de la falta de lugares adecuados donde guardar los
Moderada
Moderado
12
Riesgo
Alto
Mitigar

escritorio limpio
R75
Clasificacin
Guia de Salida con

Conformidad de
Clasificacin
3 Fuego

informacin
Riesgo de dao y/o deterioro de la gua de salida

con conformidad debido a un incendio, a causa de
la falta de capacitacin y sistemas contra incendios
Baja
Catastrfico
16
Riesgo
Alto
Mitigar

Control
Preventivo /
Supervisor del
Control
Departamento de
informacin
Correctivo
Clasificacin
R76
Recepcin
Impresora High Speed --
--
3 Error en el uso
Baja
Mayor
12
Riesgo
Alto
Mitigar
R77
Recepcin
--
3 Fuego
Baja
Mayor
12
Riesgo
Alto
Mitigar

R78
Recepcin
--
Muy Baja
Mayor
Riesgo
Bajo
Seguir
Monitoreando
--
R79
Recepcin
--
Muy Baja
Mayor
Riesgo
Bajo
Seguir
Monitoreando
--
R80
Recepcin
Impresoras comunes
--
--
3 Error en el uso
Baja
Mayor
12
Riesgo
Alto
Mitigar
R81
Recepcin
Impresoras comunes
--
--
3 Fuego
Baja
Mayor
12
Riesgo
Alto
Mitigar
R82
Control de Cargos
Impresoras comunes
--
--
3 Fuego
Baja
Mayor
12
Riesgo
Alto
Mitigar
R83
Recepcin
Impresoras comunes
--
--
Muy Baja
Mayor
Riesgo
Bajo
Seguir
Monitoreando
--
R84
Recepcin
Impresoras comunes
--
--
Muy Baja
Mayor
Riesgo
Bajo
Seguir
Monitoreando
R85
Control de cargos

cliente

limpieza
Riesgo de prdida, dao o modificacin de la lista

de entrega del cliente debido a robos o
de directivas y acuerdos de confidencialidad con
personal externo y locadores
Muy Baja
Moderado
Riesgo
Bajo
Seguir
Monitoreando
R86
Control de cargos

cliente
3 Fuego

informacin
Perdida de la disponibilidad de la lista de entrega

del ciente debido a un incendio
Baja
Mayor
12
Riesgo
Alto
Mitigar

Control
Preventivo /
Supervisor del
Control
Departamento de
informacin
Correctivo
Control de Cargos
R87
Control de cargos

cliente
Falta de cuidado en los lugares donde se guardan

los documentos
Riesgo de dao y/o deterioro de la lista de entrega

del cliente debido a un incendio, a causa de la falta
de capacitacin y sistemas contra incendios
Moderada
Moderado
12
Riesgo
Alto
Mitigar

escritorio limpio
herramienta
herramienta
Se almacena toda esta informacin en cajas

distribuidas a lo largo de toda el rea
Riesgo de dao o deterioro de la impresora high

speed debido a errores de uso del usuario, a causa
del desconocimiento en el manejo de estas
herramientas
Poco personal capacitado en el uso de extintores. Riesgo de dao y/o deterioro de la impresora high
speed debido a un incendio, a causa de la falta de
informacin
Riesgo de dao o deterioro de las impresoras high
speed debido a un mantenimiento insuficiente, a
causa del incumplimiento en el mantenimiento
rutinario
impresoras high speed debido a la prdida de
Inactividad del equipo debido a la falta de energia energa en el rea, a causa de la demora en el
encendido de los grupos electrgeno de la
empresa
Riesgo de dao o deterioro de las impresoras
comunes debido a errores de uso del usuario, a
causa del desconocimiento en el manejo de estas
herramientas
Poco personal capacitado en el uso de extintores. Riesgo de dao y/o deterioro de las impresoras
informacin
Poco personal capacitado en el uso de extintores. Riesgo de dao y/o deterioro de las impresoras
informacin
Riesgo de dao o deterioro de las impresoras
comunes debido a un mantenimiento insuficiente,
a causa del incumplimiento en el mantenimiento
rutinario
impresoras comunes debido a la prdida de
Inactividad del equipo debido a la falta de energia energa en el rea, a causa de la demora en el
encendido de los grupos electrgeno de la
empresa


Control
Preventivo
de la Informacin
Control
Preventivo
de Tecnologa
Control
Preventivo

de Seguridad Postal
--
--
de Tecnologa
--
--

de Seguridad Postal

Control
Preventivo
de Tecnologa

Control
Preventivo

de Seguridad Postal

Control
Preventivo

de Seguridad Postal
--
--
de Tecnologa
--
--
--

de Seguridad Postal
--
--
--

de Abastecimiento y
Servicios Generales
Sub Gerente de
Logstica

Control
Preventivo
de la Informacin
35

Informacin
Integridad
Disponibilidad
Confidencialidad
Digitalizacin
Listado de guas
digitalizadas
trabajadas por cliente
R89
Todos
Local del CCPL
--
--
Camaras de seguridad en el perimetro fsico de la

Personal ajeno a la empresa podria ingresar con
3 empresa cubren el 50% del perimetro fsico, solo 2
ayuda de alguien dentro de la organizacin
calles que rodean a la organizacin
R90
Todos
Local del CCPL
--
--
Descuido del control del acceso fsico a las

instalaciones donde se llevan a cabo los procesos
R91
Todos
Local del CCPL
--
--
Poco control a personas externas que ingresan a la Ingreso no autorizado de personas externas a la
organizacin
organizacin a las distintas reas
R92
Todos
Local del CCPL
--
--
3 Red energtica inestable
R93
Recepcin
Modulo SUNARP
R94
Recepcin
Modulo SUNARP
3 Error en el uso
R95
Recepcin
Modulo SUNARP
Id
Riesgo
Proceso
R88
Personal Especializado
del rea de
-Tecnologas de
Informacin
R96
Tecnologas de
Informacin
R97
Clasificacin
Pistola lectora de
cdigo de barras
R98
Digitalizacin
R99
Control de Cargos
Amenaza

redes
Falta de documentacin de los procedimientos

propios del rea
Vulnerabilidad

Poca cultura de control de acceso a las distintas

reas de la organizacin
Grupo electrogeno no abastece a toda la planta
Riesgo
Riesgo de prdida o dao del listado de guas

digitalizadas trabajadas por cliente debido a la
falta de bloqueo de sesin al abandonar la
Riesgo de prdida de la confidencialidad,
integridad y disponibilidad de la informacin que
se tenga en la empresa debido al ingreso de una
persona mal intencionada, a causa de la falta de
cmaras de seguridad que protejan todo el
permetro de la organizacin
Riesgo de prdida de la confidencialidad,
integridad y disponibilidad de la informacin que
se tenga en la empresa debido a un descuido en el
control de acceso fsico a las instalaciones, a causa
de la poca cultura organizacional para verificar que
solo personal autorizado ingrese a las distintas
reas
Riesgo de compromiso de informacin personal y
de dao de los equipos del CPD debido al ingreso
de personal no autorizado al departamento de
Tecnologa, a causa del poco control al personal
que ingresa a la organizacin
Riesgo de prdida de la disponibilidad de los
servicios realizados en el CCPL debido a que el
grupo electrgeno no abastece a toda la
organizacin y causado por una falla elctrica
Riesgo de prdida de la disponibilidad e integridad

de datos en el mdulo SUNARP debido al uso de
Transferencia no autorizada de contraseas validas una misma contrasea por varios usuarios
causados por la demora en la entrega de accesos a
usuarios
almacenada en el Mdulo SUNARP debido a
errores de uso del sistema, a causa del
desconocimiento en el manejo del sistema
Dependencia de la red para el correcto
funcionamiento del sistema
Poco personal especializado para dar

mantenimiento a los sistemas
--
--
--
3 Error en el uso
Pistola lectora de
cdigo de barras
--
--
3 Fuego

informacin
Pistola lectora de
cdigo de barras
3 Fuego

informacin
R100
Control de Cargos
Pistola lectora de
cdigo de barras
herramienta
R101
Digitalizacin
Pistola lectora de
cdigo de barras
--
--
herramienta
R102
Digitalizacin
Reporte de
Devolucin

redes

R103
Digitalizacin
Reporte de
Devolucin
2 Fuego
R104
Digitalizacin
Reporte de
Devolucin de
imgenes diarias para
el SAT

redes
Riesgo de prdida de informacin del mdulo

debido a una falla en los equipos de
telecomunicaciones
Riesgo de prdida de disponibilidad de los equipos
del rea debido a errores de los usuarios, a causa
de la falta de documentacin de los
procedimientos propios del rea
Riesgo de deterioro de la pistola lectora de cdigo
de barras debido a errores de uso del usuario, a
causa del desconocimiento en el manejo de estas
herramientas
Riesgo de dao y/o deterioro de las pistolas
lectoras de cdigos de barras debido a un incendio,
incendios
Riesgo de dao y/o deterioro de las pistolas
lectoras de cdigo de barras debido a un incendio,
incendios
Riesgo de dao o deterioro de la pistola de cdigo
de barras debido a un mantenimiento insuficiente,
a causa del incumplimiento en el mantenimiento
rutinario
Riesgo de dao o deterioro de las pistolas lectoras
de cdigos de barra debido a un mantenimiento
insuficiente, a causa del incumplimiento en el
mantenimiento rutinario
Nivel de Valor del

Riesgo
Riesgo
Tipo de
Tratamiento

17799
Tipo de
Control
Responsable
Control
Preventivo
de la Informacin
Se deber solicitar la compra de camaras de

A.9.1.1 Seguridad Fsica Perimetral seguridad que permitan establecer un control
adecuado de todo el permetro de la organizacin
Control
Disuasivo
Encargado de
Empresa
Se deber exigir que todo el personal de SERPOST

lleve una identificacin visible mientras se
encuentre dentro del CCPL, de igual forma, cada
uno de los visitantes debern llevar un carnet de
identificacin que indique cual es el rea que
desea visitar.
Control
Preventivo
Encargado de
Empresa
Control
Preventivo

de Tecnologa
Control
Detectivo
Encargado de
Empresa
Control
Correctivo
de Sistemas de
Informacin
--
de Sistemas de
Informacin
Control
Preventivo
de Tecnologa
Control
Preventivo

de Tecnologa
Control
Preventivo
de Tecnologa

Control
Preventivo

de Seguridad Postal

Control
Preventivo

de Seguridad Postal
Control
Preventivo
de Tecnologa
Control
Preventivo
de Tecnologa
Control
Preventivo
de la Informacin
Probabilidad
Impacto
Alta
Moderado
16
Riesgo
Alto
Mitigar

usuario desatendido
Baja
Mayor
12
Riesgo
Alto
Mitigar
Baja
Moderado
Riesgo
Bajo
Mitigar
A.9.1.2 Controles fsicos de

entradas
Muy Alta
Moderado
20
Riesgo
Grave
Evitar
Alta
Moderado
16
Riesgo
Alto
Mitigar
Alta
Menor
Riesgo
Bajo
Mitigar
Moderada
Menor
Riesgo
Bajo
Seguir
Monitoreando
Moderada
Moderado
12
Riesgo
Alto
Transferir
Moderada
Moderado
12
Riesgo
Alto
Evitar
Alta
Moderado
16
Riesgo
Alto
Mitigar
Baja
Mayor
12
Riesgo
Alto
Mitigar
Baja
Mayor
12
Riesgo
Alto
Mitigar
Control Especfico

organizacin
Se deber realizar modificaciones en el

A.9.1.1 Seguridad Fsica Perimetral departamento de TI que eviten el acceso no
A.9.1.2 Controles fsicos de
autorizado de personal al rea, tales como la
entradas
instalacin de puertas y ventanas adecuadas para
este local.
contingencia
contraseas
--

-Se debe establecer procedimientos y SLA

organizacin
Se deber realizar la documentacin de aquellos
procesos claves en el rea de TI de tal forma que la
entrega de servicios del rea no se vea afectada
por la ausencia de personal clave

Alta
Moderado
16
Riesgo
Alto
Mitigar
equipos
Alta
Moderado
16
Riesgo
Alto
Mitigar
equipos
Riesgo de prdida o dao del reporte de

devolucin de imgenes para los clientes, a
excepcin de SAT, debido a la falta de bloqueo de
Alta
Moderado
16
Riesgo
Alto
Mitigar

usuario desatendido

informacin
Riesgo de dao y/o deterioro de los reportes de

devolucin debido a un incendio, a causa de la
falta de capacitacin y sistemas contra incendios
Baja
Mayor
12
Riesgo
Alto
Mitigar

Control
Preventivo /
Encargado del
Control
Departamento de
informacin
Correctivo
Digitalizacin

Riesgo de prdida o dao del reporte de

devolucin de imgenes diarias para el SAT debido
a la falta de bloqueo de sesin al abandonar la
Alta
Moderado
16
Riesgo
Alto
Mitigar

usuario desatendido

organizacin

organizacin
Control
Preventivo
de la Informacin
36

Informacin
Integridad
Disponibilidad
Confidencialidad
Digitalizacin
Reporte de
Devolucin de
imgenes diarias para
el SAT
2 Fuego
R106
Digitalizacin
Reporte de Guias de
Admisin

redes

R107
Digitalizacin
Reporte diario para

devolucin de cargos

redes

R108
Todos
Sellos Personales
--
Falta de gavetas con llave para guardar los sellos

personales
Hurto de sellos
R109
Todos

Falta de auditoras (supervisiones) programadas o
ingreso no autorizado al servidor de archivos, a
inopinadas
causa de la falta de auditorias al servidor
R110
Todos
Id
Riesgo
Proceso
R105
Amenaza
Vulnerabilidad

informacin
Nivel de Valor del

Riesgo
Riesgo
Tipo de
Tratamiento

17799
Probabilidad
Impacto
Riesgo de dao y/o deterioro de los reportes de

devolucin de imgenes diarias para el SAT debido
a un incendio, a causa de la falta de capacitacin y
Baja
Mayor
12
Riesgo
Alto
Mitigar

Control
Preventivo /
Encargado del
Control
Departamento de
informacin
Correctivo
Digitalizacin
Alta
Moderado
16
Riesgo
Alto
Mitigar

usuario desatendido

organizacin
Control
Preventivo
de la Informacin
Alta
Moderado
16
Riesgo
Alto
Mitigar

usuario desatendido

organizacin
Control
Preventivo
de la Informacin
Baja
Moderado
Riesgo
Bajo
Seguir
Monitoreando
--
de la Informacin
Moderada
Mayor
18
Riesgo
Alto
Mitigar
Control
Detectivo

de Tecnologa
Moderada
Mayor
18
Riesgo
Alto
Mitigar
Control
Detectivo

de Tecnologa
Alta
Menor
Riesgo
Bajo
Mitigar

usuario desatendido
Control
Preventivo
de la Informacin
Alta
Moderado
16
Riesgo
Alto
Evitar
A.11.2.2 Gestin de privilegios
Control
Preventivo
de Sistemas de
Informacin
Alta
Moderado
16
Riesgo
Alto
Mitigar
A.12.6.1 Control de
vulnerabilidades tcnicas
Control
Correctivo
de Sistemas de
Informacin
Moderada
Menor
Riesgo
Bajo
Mitigar

contraseas

Control
Correctivo
de Sistemas de
Informacin
Alta
Menor
Riesgo
Bajo
Mitigar

contraseas

Control
Correctivo
de Sistemas de
Informacin
Moderada
Menor
Riesgo
Bajo
Seguir
Monitoreando
--
de Sistemas de
Informacin
Control
Preventivo
de Tecnologa
Control
Preventivo
de Tecnologa
Control
Preventivo
de Tecnologa
Riesgo de prdida o dao del reporte de guas de

admisin debido a la falta de bloqueo de sesin al
Riesgo de prdida o dao del reporte diario para
devolucin de cargos debido a la falta de bloqueo
de sesin al abandonar la estacin de trabajo, a
causa de la falta de capacitacin de seguridad en
el rea
Riesgo de prdida de disponibilidad y no repudio
debido a la prdida o robo de los sellos del
personal supervisor de cada rea, causado por la
falta de lugares adecuados para su
almacenamiento.

Riesgo de prdida o dao de la informacin del
SIM 2.0. debido a la falta de bloqueo de sesin al
digitalizada debido a errores en la transferencia de
archivos de una computadora a otra, a causa de
problemas para transferir los archivos
directamente al servidor
--

de redes
Digitalizacin
SIM 2.0

redes

estacin de trabajo
R112
Digitalizacin
SIM 2.0
Algunas computadoras del rea no pueden

transferir imgenes al servidor
Los imgenes deben ser transferidas desde una

computadora hacia otra para luego ser subidas al
servidor y, en algunos casos, se pierde la
informacin
R113
Digitalizacin
SIM 2.0
3 Defectos conocidos en el Sistema
R114
Digitalizacin
SIM 2.0
R115
Recepcin
SIM 2.0
R116
Recepcin
SIM 2.0
3 Error en el uso
R117
Recepcin
SIM 2.0

Riesgo de prdida de informacin del SIM 2.0.

debido a una falla en los equipos de
telecomunicaciones
Moderada
Moderado
12
Riesgo
Alto
Transferir
R118
Control de Cargos
SIM 2.0

Riesgo de caida del sistema debido a una falla en

los equipos de telecomunicaciones
Moderada
Moderado
12
Riesgo
Alto
Transferir
R119
Digitalizacin
SIM 2.0

Riesgo de prdida del acceso a la informacin del

sistema SIM 2.0. debido a una falla en los equipos
de telecomunicaciones
Moderada
Moderado
12
Riesgo
Alto
Transferir
Muy Alta
Menor
10
Riesgo
Alto
Mitigar
Demora en la entrega de credenciales a los

usuarios nuevos
Riesgo de dao o deterioro del sistema SIM 2.0

debido a algn defecto conocido en el sistema sin
ser solucionado en el tiempo

de datos en el sistema SIM 2.0 debido al uso de
Transferencia no autorizada de contraseas validas
una misma contrasea por varios usuarios
mientras se espera por las nuevas credenciales
usuarios
de datos en el sistema SIM 2.0 debido al uso de
Transferencia no autorizada de contraseas validas una misma contrasea por varios usuarios
usuarios
almacenada en el SIM 2.0 debido a errores de uso
del sistema, a causa del desconocimiento en el
manejo del sistema
R120
Control de Cargos
SIM 2.0 - Mdulo de

Devoluciones
Claves compartidas por varios usuarios para el

ingreso
Riesgo de prdida de la informacin y

auditabilidad en el sistema SIM debido al
intercambio no autorizado de claves, a causa de la
demora en la entrega de accesos a los usuarios.
R121
Control de Cargos
SIM 2.0 - Mdulo de

Devoluciones

Riesgo de caida del sistema debido a una falla en

los equipos de telecomunicaciones
Moderada
Moderado
12
Riesgo
Alto
R122
Todos
Sistema de Camaras
de Seguridad
--
--
Cmaras de seguridad se alimentan directamente

de la energa electrica por 10 minutos hasta que se
prenda el grupo electrgeno mientras se espera la
adquisiscin de un UPS que se encarge de las
camaras
Riesgo de compromiso de informacin

confidencial y activos de la organizacin debido a
la desconexin de camaras de seguridad, a causa
de fallas de energa elctrica
Alta
Moderado
16
Riesgo
Alto
Todos
Sistema de Camaras
de Seguridad
3 Usuarios mal intencionados
Riesgo de dao o prdida de la grabacin del lugar

donde se almacena la informacin del circuito
Lugar inapropiado donde guardar la informacin de
cerrado de television debido a un robo o ataque, a
las camaras
causa de que la grabacin se guarda en ese mismo
lugar.
Riesgo
Bajo
R123
--
--
Muy Baja
Mayor
--
R111
Falta de reportes sobre fallas incluidos en los

registros de administradores y operador
Control Especfico
Tipo de
Control
Riesgo
--

organizacin
Se debe establecer una directiva en la cual se
precise cuales son los perfiles y privilegios que
deben tener los usuarios dependiendo de sus
roles y responsabilidades para que no afecte su
operatividad diaria
Se debe tener un registro de los errores
reportados por cada uno de los usuarios indicando
datos como el error, el sistema, causas y la
solucin encontrada para el problema
-Se debe establecer procedimientos y SLA

organizacin
organizacin
organizacin
Responsable

contraseas

Control
Correctivo
de Sistemas de
Informacin
Transferir

organizacin
Control
Preventivo
de Tecnologa
Mitigar
Se deber solicitar la compra de un equipo UPS

capaz de brindar de electricidad a las cmaras de
seguridad mientras se enciende el grupo
electrgeno
Control
Preventivo
Encargado de
Empresa
Mitigar
informacin
Aquellas imgenes grabadas por la cmara de

seguridad que se encarga de resguardar el centro
de almacenamiento de imgenes del sistema
cerrado de televisin de la empresa debern ser
almacenadas en un ambiente aparte, debidamente
acondicionado para asegurar su disponibilidad
ante un posible ataque
Control
Correctivo
Encargado de
Empresa
37
Id
Riesgo
Proceso

Informacin
Integridad
Disponibilidad
Confidencialidad
R124
Clasificacin
SOP Empresarial
R125
Clasificacin
SOP Empresarial
R126
Clasificacin
SOP Empresarial
3 Error en el uso
R127
Clasificacin
SOP Empresarial
R128
Clasificacin
SOP Empresarial
Amenaza

redes
Vulnerabilidad
Riesgo
Riesgo de prdida o dao de la informacin debido

Falta de "bloqueo de sesin" cuando se abandona a la falta de bloqueo de sesin al abandonar la
de datos debido al uso de una misma contrasea
Transferencia no autorizada de contraseas validas
por varios usuarios causados por la demora en la
entrega de accesos a usuarios
almacenada en el SOP Empresarial debido a
errores de uso del sistema, a causa del
desconocimiento en el manejo del sistema
Riesgo de prdida de informacin debido a una

falla en los equipos de telecomunicaciones

de datos debido al uso de una misma contrasea
Falta de permisos para que cada usuario cambie la
Transferencia no autorizada de contraseas validas por varios usuarios causados por la falta de un
contrasea que utiliza
mdulo de mantenimiento que permita cambiar
las claves al usuario
Nivel de Valor del

Riesgo
Riesgo
Tipo de
Tratamiento

17799
Tipo de
Control
Responsable

organizacin
Control
Preventivo
de la Informacin

contraseas

Control
Correctivo
de Sistemas de
Informacin
Mitigar
Se deber realizar y mantener el manual de

usuario del sistema SOP para facilitar el trabajo a
personal nuevo de la empresa
Control
Preventivo
de Sistemas de
Informacin
Riesgo
Alto
Transferir

organizacin
Control
Preventivo
de Tecnologa
Riesgo
Alto
Mitigar

contraseas

gestin de contraseas dentro del sistema
Control
Correctivo
de Sistemas de
Informacin
Probabilidad
Impacto
Moderada
Moderado
12
Riesgo
Alto
Mitigar

usuario desatendido
Moderada
Moderado
12
Riesgo
Alto
Mitigar
Alta
Moderado
16
Riesgo
Alto
Moderada
Moderado
12
Alta
Moderado
16
Control Especfico
38
10.
Anexo 10 Declaracin de Aplicabilidad

Anexo 10 - Declaracin de Aplicabilidad NTP ISO 27001
No. De
Control
A.5
Control
A.5.1.
Poltica de seguridad de la
informacin
Objectivo de Control
Aplicable a la
Organizacin
A.5.1.1
Documentos de poltica de
seguridad de la informacin
La gerencia deber aprobar, publicar y comunicar a todos los

empleados y terceras partes que lo requieran .
SI
A.5.1.2
La poltica ser revisada en intervalos planificados, y en caso

Revisin de la poltica de seguridad
de cambios que la afecten, asegurar que siga siendo
de la informacin
apropiada, conveniente y efectiva
SI
A.6
A.6.1
Organizacin interna
A.6.1.1
SI
A.6.1.2
Las actividades en la seguridad de la informacin deben ser

Coordinacin de la seguridad de la coordinados por representantes de diferentes partes de la
informacin
organizacin que tengan roles relevantes y funciones de
trabajo
SI
A.6.1.3
Asignacin de responsabilidades
Todas las responsabilidades sobre la seguridad de informacin
sobre seguridad de la informacin deben ser claramente definidas.
SI
A.6.1.4
Proceso de autorizacin para las

nuevas instalaciones de
procesamiento de informacin
Debe establecerse y definirse un proceso de gestin de

autorizacin para facilitar los nuevos procesamientos de
informacin
SI
A.6.1.5
Acuerdos de confidencialidad
Se debe identificar y revisar regularmente los requisitos de

confidencialidad o acuerdos de no divulgacin que reflejen las
necesidad de la organizacin para la proteccin de
informacin
SI
A.6.1.6
Contacto con autoridades
Deben mantenerse contactos apropiados con autoridades

relevantes
SI
A.6.1.7
Contacto con grupos de inters

especial
Se debe mantener contactos con grupos de inters especial u

otros foros de especialistas en seguridad as como de
asociaciones profesionales
SI
A.6.1.8
Revisin independiente de la
El alcance de la organizacin para manejar la seguridad de la

informacin, as como su implementacin (como por ejemplo:
los objetivos de control, los controles, las polticas, procesos y
procedimientos) deben ser revisados independientemente
durante intervalos planificados o cuando ocurran cambios
significativos en la implementacin.
SI
A.6.2
Seguridad en los accesos de

terceros
Mantener la seguridad de las instalaciones de

procesamiento de la informacin organizacional que
acceden, procesan, comunican o gestionan terceros.
A.6.2.1
Identificacin de riesgos por el

acceso de terceros
Se evaluar los riesgos asociados con el acceso a las

instalaciones de procesamiento de la informacin
organizacional por parte de terceros, y se implementarn
controles de seguridad adecuados antes de permitir su acceso.
A.6.2.2
Se deben identificar todos los requisitos de seguridad antes

Requisitos de seguridad cuando se
de dar acceso a clientes a los activos o la informacin de la
trata con clientes
organizacin
A.6.2.3
Requisitos de seguridad en
contratos de outsourcing
A.7
Responsabilidad por los activos
Actualmente la organizacin posee una poltica de seguridad

de la informacin aprobada por el comit; sin embargo, an
no se ha hecho pblica formalmente, esto se debe a que
an se est planificando la manera adecuada para divulgar
esta informacin.
Dentro de la poltica aprobada, se ha especificado cuales son
los roles y responsabilidades relacionados a la seguridad de
la informacin, adicionalmente, se especific cada cuanto
tiempo se debe revisar la poltica y el alcance del SGSI para
que pueda ser actualizada de ser necesario.
Aspectos organizativos para la seguridad

Gestionar la seguridad de la informacin dentro de la
organizacin
La gerencia debe respaldar activamente la seguridad dentro

Comit de gestin de seguridad de de la organizacin a travs de una direccin clara, un
la informacin
compromiso apropiado, recursos adecuados y conocimiento
de responsabilidades de la seguridad de informacin
A.7.1
Justificacin
Poltica de Seguridad
Dirigir y dar soporte a la gestin de seguridad de la
informacin en concordancia con los requerimientos del
negocio, las leyes y las regulaciones
Los acuerdos que involucran el acceso, procesamiento,

comunicacin o manejo de terceros de las instalaciones de
procesamiento de informacin organizacional o la adicin de
productos o servicios a dichas instalaciones, deben cubrir
todos los requisitos de seguridad necesarios.
Dentro de la organizacin se emiti una resolucin de

gerencia general con N 026 G/2014 donde se nombr un
comit de seguridad de la informacin asi como un oficial de
seguridad de la informacin los cuales se reunen de manera
periodica para la aprobacin de documentos y revisin de
avances.
En la resolucin de gerencia general con N 026 G/2014 se
design como miembros de comit a las siguientes
personas:
- Sub Gerente de Tecnologias de la Informacin
- Gerente de Desarrollo Corporativo
- Gerente Comercial
- Gerente Postal
- Gerente de Administracin de Recursos
Dentro de la poltica de Seguridad de la Informacin, que
fue aprobada por el comit de seguridad, se encuentra
definido los roles y responsabilidades sobre seguridad de la
informacin
Se debe definir un nuevo procedimiento en el cual se
indique cual es la gestin adecuada para adquirir o recibir
nuevos recursos para el tratamiento de la infromacin, algo
que por el momento no est normado en la empresa.
Actualmente se puede evidenciar la existencia de acuerdos
de confidencialidad en los contratos con los proveedores,
trabajadores y locadores de la organizacin para evitar la
divulgacin de informacin.
Sin embargo, se debe emitir una normativa adecuada en la
cual se indique cada cuanto se debe revisar y actualizar
estos acuerdos de confidencialidad con los trabajadores
La entidad encargada de revisar estos temas a nivel nacional
es el ONGEI, actualmente se sabe que la ONGEI trata
directamente con el oficial de seguridad de la informacin;
sin embargo, an se debe difundir los temas que tratan
ambas partes tanto con la organizacin, como con el comit
de seguridad de la informacin.
Se debe establecer lazos y conexiones con personal
especializado relacionado a seguridad de la informacin, por
el momento la nica institucin con la que se ha hecho
contacto es con la ONGEI, encargada de supervisar la
implementacin del SGSI a nivel nacional.
Es importante que la organizacin pueda recibir una opinin
externa sobre el estado de la seguridad que posee; es por
ello que como parte del proceso de implementacin del
SGSI, se ha decidido iniciar un proceso de contratacin de
una empresa consultora especialista en seguridad para que
brinde apoyo en el proyecto.
SI
Es necesario que la organizacin posea controles adecuados

para gestionar e identificar los posibles riesgos de accesos
de terceros a la organizacin, formalmente, no existe un
anlisis de riegos para ello; sin embargo, en algunos casos,
el personal de la organizacin ha logrado identificar algunos
posibles riesgos.
SI
Se debe establecer una documentacin formal de cuales son

los requisitos de seguridad minimos que se solicitaran a los
clientes para darles acceso. Actualmente existen controles
para el acceso fsico de personal externo; sin embargo, en
muchos casos estos controles no se cumplen en su totalidad.
SI
La organizacin debe establecer una serie de controles para

asegurar la seguridad de la informacin al momento de
trabajar con terceros, ya que hasta el momento, solo se ha
contemplado el realizar acuerdos de confidencialidad con
ellos.
Clasificacin y control de activos

Mantener la proteccin apropiada de los activos de la
organizacin
A.7.1.1
Inventario de activos
Se elaborar y mantendr un inventario de todos los activos

importantes que sean claramente identificados
SI
A.7.1.2
Propiedad de los activos
Toda la informacin y los activos asociados con las

instalaciones de procesamiento de informacin deben ser
propiedad de una parte designada de la organizacin
SI
Como parte del proceso del diseo del SGSI se ha realizado

un inventario de activos de informacin en los procesos
involucrados en el alcance.
Como parte del proceso del diseo del SGSI se ha realizado
un inventario de activos de informacin en los procesos
involucrados en el alcance indicando claramente quienes
son los propietarios de los activos y en que procesos estan
involucrados.
39
No. De
Control
Control
Aplicable a la
Organizacin
Uso aceptable de los activos
Se debe identificar, documentar e implementar las reglas para

el uso aceptable de los activos de informacin asociados con
las instalaciones del procesamiento de la informacin.
Clasificacin de la informacin
Asegurar que los activos de informacin reciban un nivel

de proteccin adecuado.
A.7.2.1
Guas de clasificacin
La informacin debe ser clasificada en trminos de su valor,

requisitos legales, sensibilidad y criticidad para la
organizacin
SI
A.7.2.2
Etiquetado y tratamiento de la
informacin
Se definir e implementar un conjunto de procedimientos

apropiados para etiquetar y manejar informacin, de
conformidad, con el esquema de clasificacin adoptado por la
organizacin
SI
A.7.1.3
A.7.2
A.8
A.8.1
Seguridad antes del empleo
SI
Se definirn y documentarn los roles de seguridad y las

responsabilidades de los empleados, contratistas y usuarios
externos en concordancia con la poltica de seguridad de la
informacin de la organizacin
SI
A.8.1.2
Investigacin
Se debe hacer un chequeo y verificacin de informaciones

anteriores de todos los candidatos para empleo, contratistas y
personal externo, en concordancia con las leyes, regulaciones
y tica; y proporcional a los requisitos del negocio, la
clasificacin de la informacin a ser accedida y a los riesgos
percibidos
SI
A.8.1.3
Trminos y condiciones de la
relacin laboral
Los empleados, contratistas y terceros suscribirn un acuerdo

de confidencialidad como como parte de los trminos y
condiciones iniciales de su empleo en donde se sealar la
responsabilidad del empleado en cuanto a la seguridad de la
informacin.
SI
Durante el empleo
Asegurar que todos los empleados, contratistas y usuarios

externos sean conscientes de las amenazas y riesgos en el
mbito de la seguridad de la informacin, y que estn
preparados para aplicar la poltica de seguridad de la
organizacin en el curso de trabajo normal y reducir el
riesgo de error humano
A.8.2.1
Responsabilidades de la gerencia
La gerencia debe requerir a sus empleados, contratistas y a los

usuarios externos aplicar la seguridad en concordancia con las
polticas y los procedimientos establecidos de la organizacin
A.8.2.2
A.8.2.3
A.8.2
Aunque dentro de la organizacin se maneja informacin

importante y confidencial, actualmente no existe una
clasificacin adecuada para la misma, por lo que es
necesaria su definicin.
Debido a que no se posee una clasificacin para la
informacin, tampoco existe una directiva o procedimiento
que permita clasificarla adecuadamente, razn por la cual es
necesaria su realizacin.
Seguridad en Recursos Humanos

Asegurar que los empleados, contratistas y usuarios
externos entiendan sus responsabilidades y que sean
adecuados a los roles para los cuales han sido
considerados, y reducir asi, el riesgo de hurto, fraude o
mal uso de las instalaciones
Roles y Responsabilidades
A.8.1.1
Justificacin
Actualmente en la organizacin existe un reglamento

interno de trabajo en el cual, en el capitulo doce (XII), se
hace mencin a la correcta utilizacin de los activos de la
empresa; sin embargo, se ha podido verificar que no existe
una correcta difusin del mismo
Se debe de establecer, en cada uno de los contratos que se

hacen firmar a los trabajadores, los roles y
responsabilidades que poseern dependiendo de los cargos
a los que ingresen
Como parte del proceso de seleccin, la sub gerencia de
recursos humanos se encarga de revisar los antecedentes
penales y policiales de cada uno de los canditatos a un
puesto laboral, asi como una verificacin si es que lo
indicado en el CV del postulante es verdadero; sin embargo,
se debe establecer un procedimiento que indique el nivel
de investigacin necesario dependiendo del cargo que la
persona vaya a ocupar en la organizacin.
Dentro del contrato firmado por los trabajadores se
establece una clausula de confidencialidad; sin embargo, en
ella tambin se debe establece cuales son los roles y
responsabilidades con respecto a la proteccin de datos,
clasificacin de informacin o tratamiento de informacin
de terceros y las sanciones en caso de no cumplir con lo
acordado.
SI
La organizacin deber hacer publica, dentro de la

organizacin, cada uno de las polticas y procedimientos
relacionados a la seguridad de la informacin una vez sean
aprobadas, hasta el momento solo se ha aprobado el
alcance, poltica y objetivos del SGSI; sin embargo, an no se
ha iniciado con la difusin de los mismos.
Todos los empleados de la organizacin, y donde sea

Concientizacin, educacin y
relevante, contratistas y usuarios externos deben recibir una
entrenamiento en la seguridad de adecuada concientizacin, entrenamiento y actualizaciones
la informacin
regulares en los procesos y polticas organizacionales, como
acciones relevantes de su funcin laboral.
SI
La organizacin debe de realizar, con cada uno de sus

empleados, charlas de concientizacin y capacitacin,
relacionadas a seguridad de la informacin, de manera
regular.
Proceso disciplinario
Debe existir un proceso disciplinario para los empleados que

hayan cometido una violacin de seguridad
SI
Dentro de la poltica de Seguridad de la Informacin, que

fue aprobada por el comit de seguridad, se encuentra
definida las sanciones que aplicarn al personal que no
cumpla con la misma.
A.8.3
Finalizacin o cambio del empleo
Asegurar que los empleados, contratistas y usuarios

externos dejen o cambien de organizacin de una forma
ordenada
A.8.3.1
Responsabilidades de finalizacin
Debe informarse sobre los incidentes de seguridad a travs de

canales administrativos adecuados, tan pronto como sea
posible.
SI
A.8.3.2
Devolucin de activos
Todos los empleados, contratistas y usuarios externos deben

realizar la devolucin de los activos de la organizacin que
estn en su posesin cuando termine su empleo, contrato o
acuerdo
SI
Retiro de los derechos de acceso
El derechos de acceso a la informacin y a las instalaciones de

procesamiento de informacin, que se le otroga a los
empleados, contratistas y usuarios externos, debe ser
removido cuando termine su empleo, contrato o acuerdo; o
modificado ante cambios
SI
reas seguras
Prevenir accesos no autorizados, daos e interferencias

contra los locales y la informacin de la organizacin
Seguridad fsica perimetral
Las organizaciones usarn permetros de seguridad (como

paredes, puertas con control de entrada por tarjeta o
recepciones) para proteger reas que contienen informacin e
instalaciones de procesamiento de informacin
A.8.3.3
A.9
A.9.1
A.9.1.1
Se debe establecer procedimientos adecuados para permitir

al personal reportar incidentes de seguridad y darles un
tratamiento adecuado hasta que sean cerrados por
completo.
Actualmente, la organizacin tiene un formato para la
devolucin de laptops y celulares; sin embargo, se debe
establecer un procedimiento formal para la devolucin de
activos en toda la organizacin
En caso exista un cambio en la terminacin del empleo de
alguna persona, se enva un correo a todas las reas para
saber si esta persona posee alguna deuda con la
organizacin, es gracias a este correo que el rea de TI se
informa del caso; sin embargo, no hay una comunicacin
formal en caso rote el personal, debido a ello se debe crear
estos procedimientos para dar de baja al usuario
correctamente.
Seguridad fsica y del entorno
SI
La organizacin posee controles de seguridad alrededor del

permetro del CCPL o sede central; sin embargo, cabe aclarar
que no posee camaras de seguridad capaces de monitorear
el perimetro al 100%.
Adicionalmente, la organizacin debe establecer
procedimientos para controlar el acceso de personal
autorizado a las distintas reas de la organizacin.
40
No. De
Control
Control
Las reas seguras estarn protegidas mediante controles de

acceso adecuados para garantizar que unicamente personal
autorizado pueda ingresar
Aplicable a la
Organizacin
A.9.1.2
Controles fsicos de entradas
A.9.1.3
Seguridad de oficinas, despachos y Se deben designar y mantener reas seguras con el fin de
recursos
proteger las oficinas, despachos e instalaciones.
A.9.1.4
Proteccin contra amenazas

externas y ambientales
Se deben designar y mantener proteccin fsica contra daos

por fuego, inundacin, terremoto, explosin, manifestacin
civil y otras formas de desastre natural o realizado por el
hombre.
SI
A.9.1.5
El trabajo en las reas seguras
Se debe designar y mantener proteccin fsica y pautas para

trabajar en reas seguras
SI
A.9.1.6
Areas de carga, descarga y acceso

pblico
Las reas de carga, descarga y acceso pblico y otras reas

donde las personas tengan acceso, deben controlarse y,
cuando sea posible, aislarse de las instalaciones de
procesamiento de informacin para evitar un acceso no
autorizado
SI
Seguridad de los equipos
Prevenir prdidas, daos o comprometer los activos as

como la interrupcin de las actividades de la organizacin
A.9.2
A.9.2.1
A.9.2.2
A.9.2.3
El equipamiento ser ubicado o protegido para reducir los

Ubicacin y proteccin de equipos riesgos de amenazas, peligros ambientales y oportunidad de
acceso no autorizado.
Suministro elctrico
El equipamiento se proteger de fallas de energa y otras

anomalas elctricas causadas por fallo en el suministro
elctrico.
Seguridad del cableado
Se proteger el cableado de energa y telecomunicaciones que

transporten datos o respalden servicios de informacin frente
a interceptaciones o daos.
SI
SI
SI
Se debe establecer normas para evitar comer o beber cerca

de los equipos. Tambin, se debe establecer controles de
acceso a las reas operativas involucradas en el alcance del
SGSI, debido a que los equipos con ngulos de visin muy
expuestos a personal no autorizado.
Adicionalmente, se debe modificar la infraestructura del
centro de procesamiento de datos, debido a que no es la
adecuada para almacenar los equipos con la informacin
crtica de la organizacin.
SI
Los equipos que forman parte del rea de Tecnologas de

Informacin estan protegidos por dos UPS con carga
suficiente para 30 minutos, tiempo que demora el grupo
electrgeno en encenderse, y que necesitan ser renovados.
No obstante, se ha reportado casos en los que el grupo ha
fallado, incluso, este no es capaz de cubrir a la organizacin
al 100%, por lo que se debe tomar medidas para la
adquisicin de un nuevo grupo electrgeno que cubra a toda
la organizacin.
SI
El cableado de la organizacin fue realizado por personal de

la misma empresa a travs de los aos, como resultado, no
esta debidamente rotulada e incluso se puede observar que
ha sido instalada de forma desordenada en varias reas de
trabajo, por ello, se debe realizar un proyecto para realizar
un correcto cableado estructural dentro de la organizacin.
A.9.2.4
Mantenimiento de equipos
El equipamiento recibir un adecuado mantenimiento para

garantizar su continua disponibilidad e integridad
SI
A.9.2.5
Se debe aplicar seguridad al utilizar equipamiento para

Seguridad de equipos fuera de los procesar informacin fuera de los locales de la organizacin
locales de la organizacin
tomando en cuenta los diferentes riesgos en los que se
incurre.
SI
A.9.2.6
Seguridad en el re-uso o
eliminacin de equipos
Todos los equipos que contienen almacenamiento de datos

deben ser revisados con el fin de asegurar que los datos
sensibles y los software con licencia han sido removido o
sobrescritos antes de desecharlos o reutilizarlos.
SI
A.9.2.7
Retiro de la propiedad
Los equipos, informacin y software no deben ser retirados

fuera de la organizacin sin una autorizacin previa.
SI
A.10
A.10.1
A.10.1.1
Procedimientos y
responsabilidades de operacin
Justificacin
Se debe establecer un procedimiento para que todo el

personal de SERPOST utilice un identificador dentro de las
instalaciones, adems, todo personal externo debe portar
una identificacin que indique los lugares a los que tiene
permiso para acceder.
Por ltimo, existen lugares con informacin sensible, como
el CPD, que no poseen controles adecuados para asegurar la
integridad de los equipos.
La organizacin debe mejorar la infraestructura del centro
de procesamiento de datos y establecer controles de acceso
a las reas operativas donde se lleva a cabo los procesos
pertenecientes al alcance del SGSI
Se debe instalar detectores de humo dentro de la
organizacin, tanto en el rea operativa como en las reas
de soporte pertenecientes al alcance del SGSI.
Con respecto al centro de procesamiento de datos, deben
establecerse controles ambientales adecuados para evitar el
deterioro o dao de los equipos o sus componentes.
Actualmente, la organizacin no ha establecido controles
adecuados para proteger el CPD por lo que se recomienda
modificar la estructura que se encarga de resguardar ese
lugar; adicionalmente, dentro de las reas operativas, se
almacena informacin considerada importante para los
dueos de los procesos dentro de cajas, por lo que se
recomienda evaluar la posibilidad de adquirir una
infraestructura adecuada para el almacenamiento de esta
informacin
Existen controles para dar acceso a personal externo a la
organizacin; sin embargo, estos controles poseen varias
deficiencias por lo que deben ser mejorados y
monitoreados. No obstante, las reas de carga y descarga de
envos y paqueteras estan debidamente separadas de las
instalaciones de procesamiento de datos.
Luego de realizar una serie de entrevistas con el personal

dueo de los procesos relacionados al alcance del SGSI, se
corrobor la falta de un procedimiento adecuado para dar
mantenimiento a los equipos utilizados en cada rea, tales
como computadoras, escaners, impresoras, lectoras de
cdigo de barras, etiquetadoras, routers, switches, grupos
electrgenos y UPS.
Existe un procedimiento para entregar equipos al personal
autorizado; sin embargo, se debe implementar controles
para proteger la informacin que se maneja dentro de los
equipos debido a que, en caso de prdida o robo, solo se
realiza una denuncia policial y un pago equivalente al costo
del activo fsico, ms no existe forma de proteger la
informacin que esta llevaba.
Hasta el momento este tipo de labores son realizados por el
personal de tecnologas de informacin sin haber sido
debidamene documentados, por ello, se deber realizar un
procedimiento formal para la eliminacin y re-uso de los
equipos electrnicos.
Existe un procedimiento para entregar equipos al personal
autorizado, asi como un formato para autorizar la salida de
las laptops fuera de la organizacin; sin embargo, se sabe
que en muchos casos este formato no es utilizado; por lo
que se deber revisar y actualizar este procedimiento para
adecuarlo a las necesidades actuales de SERPOST.
Gestin de comunicaciones y operaciones

Asegurar la operacin correcta y segura de los recursos
de tratamiento de informacin
Los procedimientos operativos debern estar documentados,

Documentacin de procedimientos
mantenidos y estar disponibles a todos los usuarios que lo
operativos
requieran.
SI
Se debe documentar adecuadamente la realizacin de los

procedimientos operativos de la organizacin. Hasta el
momento, estas labores no han sido documentadas y se
realizan segn los conocimientos de los usuarios.
41
No. De
Control
Control
Aplicable a la
Organizacin
A.10.1.2
Gestin de cambios
Se controlarn los cambios en las instalaciones y sistemas de

procesamiento de la informacin.
SI
A.10.1.3
Segregacin de tareas
Se segregarn las obligaciones y las reas de responsabilidad

con el fin de reducir las oportunidades de modificaciones no
autorizadas o mal uso de los activos de la organizacin
SI
A.10.1.4
Se separarn las instalaciones de desarrollo, prueba y

Separacin de las instalaciones de
operacin con el fn de reducir el riesgos de acceso no
desarrollo, prueba y operacin
autorizado o cambios en el sistema operacional
SI
Justificacin
La organizacin posee un formato de transferencia de

bienes patrimoniales en caso se necesite cambiar el
equipamiento de un rea; sin embargo, no existe un
formato similar para el cambio de los sistemas. Tampoco
existe un procedimiento formal de como realizar estos
cambios ni formatos que evidencien los anlisis de riesgos
ni las pruebas realizadas previas al cambio, por lo que se
deber implementar estos cambios en coordinacin con el
rea de tecnologia y comunicaciones que es la encargada de
la realizacin de estos procesos.
Dentro de la organizacin existen perfiles tanto para los
correos, como para el acceso a internet y a los sistemas; sin
embargo, se debe elaborar un procedimiento formal para la
asignacin de perfiles a los usuarios nuevos que lo
requieran, el establecimiento un tiempo mximo de
atencin ante la solicitud de estos perfiles y actualizar los
perfiles segn las necesidades actuales del negocio.
En la organizacin se manejan los tres ambientes
solicitados, pero se debe documentar un procedimiento
oficial especificando quienes tienen permisos para acceder
a dichos entornos y bajo que circunstancias se puede
trabajar con cada uno de ellos.
Gestin de servicios externos
Implementar y mantener un nivel apropiado de seguridad

de informacin y servicios de entrega en concordancia con
los acuerdos de servicio de entrega por parte de terceros
A.10.2.1
Entrega de servicios
Debemos asegurarnos que los controles de seguridad, las

definiciones de servicio y los niveles de entrega incluidos en
el acuerdo de servicios externos sean implementados, esten
operativos y sean mantenidos por el personal externo
SI
En la organizacin no existe una adecuada gestin de los

proveedores debido a la falta de indicadores que permitan
medir adecuadamente el cumplimiento de los acuerdos de
nivel de servicio establecidos. Adicionalmente, se debe
actualizar cada uno de los acuerdos realizados con ellos para
contemplar los controles de seguridad que apliquen con
cada uno de ellos.
A.10.2.2
Monitoreo y revisin de los

servicios externos
Los servicios, reportes y registros provistos por terceras partes

deben ser monitoreados y revisados regularmente.
Igualmente, se deben llevar a cabo auditoras con regularidad.
SI
La organizacin debe establecer mtricas adecuadas para

una adecuado monitoreo de los servicios entregados por los
proveedores.
A.10.2.3
Se debe manejar los cambios en la provisin de servicios,

incluyendo el mantenimiento y mejora de la poltica de
Gestin de cambios de los servicios
seguridad de informacin,procedimientos y controles,
externos
tomando en cuenta la criticidad de los sistemas de negocio y
procesos envueltos en la reevalucin de riesgos.
SI
La organizacin debe realizar un procedimiento adecuado,

en el cual se indique como se debe gestionar los cambios en
los servicios prestados por los terceros, tanto para
modificaciones de polticas de la organizacin o
implementacin de nnuevos controles para los
proveedores, como para la solicitud del uso de nuevas
tecnologas como parte del servicio
A.10.2
A.10.3
Planificacin y aceptacin del

sistema
Minimizar el riesgo de fallos de los sistemas
A.10.3.1
Gestin de la capacidad
Se monitorearn las demandas de capacidad y se harn las

proyecciones de futuros requisitos de capacidad para asegurar
el desarrollo requerido por el sistema
SI
A.10.3.2
Aceptacin del sistema
Se establecern los criterios de aceptacin para nuevos

sistemas de informacin, actualizaciones y nuevas versiones y
se llevarn a cabo pruebas adecuadas del sistema antes de su
aceptacin
SI
Proteccin contra software

malicioso
Proteger la integridad del software y de la informacin
A.10.4.1
Controles contra software

malicioso
Para ofrecer proteccin frente a software malicioso, se

implementarn controles de deteccin, prevencin y
procedimientos adecuados de toma de conciencia con los
usuarios.
SI
A.10.4.2
Controles contra software mvil
Donde sea autorizado el uso de software mvil, la

configuracin debe asegurar que este opere de acuerdo a una
poltica de seguridad clara y definida. Igualmente, se debe
prevenir la ejecucin de cdigo movil no autorizado.
SI
A.10.5
Gestin interna de respaldo y

recuperacin
Mantener la integridad y la disponibilidad del

procesamiento de informacin y servicios de comunicacin
A.10.4
A.10.5.1
Recuperacin de la informacin
Se obtendrn y probarn las copias de recuperacin y respaldo

de informacin y software regularmente en concordancia con
la poltica acordada
A.10.6
Gestin de seguridad de redes
Asegurar la salvaguarda de informacin en las redes y la

proteccin de su infraestructura de soporte.
SI
Dentro de la organizacin existe un procedimiento formal

de como se debe realizar la planificacin de nuevos
proyectos y el analisis de los requerimientos de nuevos
sistemas.
Sin embargo, se debe evidenciar el correcto cumplimiento
de este procedimiento dentro de la organizacin a travs de
los aos.
Dentro de la organizacin existe un procedimiento formal
para la aceptacin de los nuevos sistemas; sin embargo, se
debe evidenciar el correcto cumplimiento de estos
procedimientos, en muchos casos, no existen manuales de
usuario actualizados para cada uno de los sistemas
desarrollados por la empresa.
Se debe adquirir un software que permita detectar, prevenir

y eliminar cdigo malicioso en los activos que manejan
informacin dentro de la empresa, actualmente se utiliza un
antivirus con licencia caducada, por lo que el nivel de
proteccin no es el adecuado.
Adicionalmente, se debe capacitar al personal para saber
que hacer en caso se detecte algn software malicioso
dentro de alguno de los activos que manejen.
El personal de la organizacin posee roles definidos para
navegar en internet, debido a ello, alguno usuarios no
poseen permisos para descargar archivos que no esten
vinculados a su correo, de igual forma, solo los
administradores del sistema poseen permisos para lanzar
algn ejecutable; sin embargo, este procedimiento debe ser
normado oficialmente.
El rea de TI realiza respaldos de la informacin almacenada

en sus centro de datos con con una frecuencia determinada;
sin embargo, los usuarios del rea operativa no poseen un
resguardo de la informacin que manejan, la nica
excepcin, se da en el proceso de digitalizacin, pero estos
resguardos se almacenan dentro de la misma rea.
De igual forma, los respaldos de TI se almacenan dentro del
centro de datos, por lo que se debe establecer un
procedimiento formal para determinar que informacin
debe ser respaldada tanto del rea de TI como del rea
operativa y definir lugares apropiados para el
almacenamiento de estos respaldos.
42
No. De
Control
Control
Aplicable a la
Organizacin
A.10.6.1
Controles de red
Se implementar un conjunto de controles para lograr y

mantener la seguridad en las redes, y mantener la segurida de
los sistemas y aplicaciones usuarios de la red, incluyendo la
informacin en trnsito.
SI
A.10.6.2
Se deben identificar e incluir en cualquier acuerdo de servicio

de red los aspectos de seguridad, niveles de servicio de red
Seguridad de los servicios de redes los aspectos de seguridad, niveles de servicio y requisitos de
gestin, as estos servicios sea provistos interna o
externamente.
SI
Utilizacin y seguridad de los

medios de informacin
Prevenir daos, modificaciones o destrucciones a los

activos e interrupciones de las actividades del negocio.
A.10.7.1
Gestin de medios removibles
Deben de existir procedimientos para la gestin de medios

removibles
SI
A.10.7.2
Eliminacin de medios
Se eliminarn los medios de forma segura cuando ya no se

necesiten, utilizando procedimientos formales
SI
A.10.7.3
Procedimientos de manipulacin
de la informacin
Se establecern procedimientos para el manejo y

almacenamiento de la informacin con el fin de proteger
dicha informacin de divulgaciones no autorizadas o su mal
uso
SI
A.10.7.4
Seguridad de la documentacin de La documentacin de los sistemas se proteger de accesos no

sistemas
autorizados
A.10.7
A.10.8
A.10.8.1
Intercambio de informacin
Mantener la seguridad de informacin y el intercambio de

software dentro de la organizacin y con entidades
externas
Polticas y procedimientos para el

intercambio de informacin
Se deben establecer polticas, procedimientos y controles

formales de intercambio para proteger el intercambio de
informacin durante el uso de todo tipo de recursos de
comunicacin
SI
SI
A.10.8.2
Acuerdos de Intercambio
Se deben de establecer acuerdos para el intercambio de

informacin y software entre la organizacin y entidades
externas
SI
A.10.8.3
Seguridad de medios fsicos en

trnsito
Los medios a ser transportados debern ser protegidos de

acceso no autorizado, mal uso o corrupcin durante su
transporte fuera de los lmites fsicos de la organizacin
SI
A.10.8.4
Seguridad del correo electrnico
La informacin contenida en los correos electrnicos debe ser

protegida apropiadamente
SI
A.10.8.5
Seguridad en los sistemas de

informacin de negocios
Se deben desarrollar e implementar polticas y

procedimientos para proteger la informacin asociada con la
interconexin de los sistemas de informacin del negocio
SI
Servicios de comercio electrnico
Mantener la seguridad en los servicios de comercio

electrnico y la seguridad en su uso
A.10.9
El comercio electrnico pasando ser protegido frente a

actividades fraudulentas, controversias contractuales y
divulgacin o modificacin de informacin.
La informacin contenida en lnea debe ser protegida para
prevenir transmisiones incompletas, ruta incorrectas,
alteracin no autorizada de mensajes o duplicacin no
autorizado de mensajes.
A.10.9.1
Seguridad en el Comercio
Electrnico
A.10.9.2
Seguridad en las Transacciones en

Lnea
A.10.9.3
Informacin disponible
pblicamente
Se proteger la integridad de la informacin pblicamente

disponible para prevenir modificaciones no autorizadas
A.10.10
Monitoreo
Detectar actividades de procesamiento de informacin no

autorizadas
Justificacin
Se debe establecer un procedimiento adecuado para

separar las responsabilidades del personal encargado de las
redes de la organizacin y del personal encargado de dar
soporte a los equipos, adicionalmente se debe normar la
implementacin de controles para resguardar la informacin
que viaja a travs de las redes, tales como la encriptacin de
datos y la contratacin de servicios para el anlisis de
vulnerabilidades a las redes de la organizacin.
A travs del directorio activo se ha establecido perfiles de
acceso a las distintas carpetas compartidas y redes de la
organizacin; sin embargo, se debe establecer
procedimientos formales para monitorear y auditar la
correcta gestin de accesos a la red.
Se debe normar la revisin de los acuerdos de servicio con
los proveedores de telecomunicaciones, debido a que este
tipo de fallas se estn volviendo muy comunes en la
organizacin.
Se ha implementado una poltica para restringir el uso de los

puertos USB dentro de la organizacin; sin embargo, no esta
normado el correcto uso de estos medios para el
almacenamiento de respaldos de informacin crtica para el
negocio, ni la correcta eliminacin de informacin de estos
medios.
Se debe establecer procedimientos formales para la
eliminacin de medios de almacenamiento de la
informacin, tanto dgital como fsica, por el momento, solo
se realiza con medios digitales en el rea de TI.
Se debe establecer procedimientos para la correcta
manipulacin de la informacin, desde una correcta
clasificacin, hasta como debe ser enviada a los interesados
basados en esta clasificacin, algo que no existe dentro de
la organizacin.
En muchos casos no se posee una documentacin adecuada
de los sistemas de informacin desarrollados en la
organizacin, debido a ello, no existe una adecuada difusin
de los mismos, por lo que primero se debe actualizar esta
documentacin para luego establecer procedimientos
formales para su correcta distribucin.
En la organizacin no existen polticas o controles que

permitan asegurar el intercambio de organizacin, por ello,
se deber establecer una serie de charlas de capacitacin
explicando a cada uno de los usuarios el cuidado que debe
tener con la informacin sensible enviada a traves de los
correos, se debe implementar controles para proteger los
correos enviados y recibidos por el personal operativo.
Al ser una organizacin que brinda un servicio de envos de
paqueteria, en los contratos realizados con los clientes,
existe clausulas en las cuales se afirma que la informacin
enviada por nuestros clientes deben ser tratadas como
confidencial, en caso se pierda algn cargo o envo, se
deber presentar una denuncia policial para informar de
este suceso a los clientes; sin embargo, no hay un
procedimiento formal donde se establezca controles para
asegurar esta informacin.
El transporte de informacin de los clientes es realizado por
el personal de la organizacin. Se debe establecer una serie
de controles para asegurarla mientras se encuentre en
transito. Para el caso de los respaldos de informacin, se
est analizando la adquisicon de los servicios de un
proveedor para su almacenamiento, debido a ello, se
deber establecer una serie de controles para asegurar el
correcto translado de esta informacin.
Se deber sensibilizar a los usuarios para evitar que dejen
desbloqueada su computadora ya que posee acceso a los
correos de cada usuario, adicionalmente, se deber
implementar una serie de controles para asegurar la
informacin ante cdigo malicioso que pueda afectar la
informacin.
Se ha detectado que el sistema integrado de mensajeria
presenta una serie de deficiencias al momento de compartir
la informacin entre las reas, lo que obliga, en muchos
casos, a volver a ingresar la informacin registrada en un
mdulo para poder trabajar correctamente, debido a ello, se
recomienda la verificacin de la correcta interoperabilidad
del sistema.
NO
El presente control no aplica a la organizacin debido a que

no brinda un servicio de comercio electrnico
NO

no brinda transacciones en lnea
SI
Se debe desarrollar una serie de procedimientos y

responasabilidades para asegurar que la informacin
mostrada dentro de la pagina web sea correcta y actualizada
ya que por el momento no esta regulado
43
No. De
Control
Control
Aplicable a la
Organizacin
Se deben producir y guardar, por un periodo acordado, los

registros de auditoria que registran las actividades de los
usuarios, excecpiones y eventos de seguridad, con el fin de
asistir a investigaciones futuras y al monitoreo del control de
acceso
SI
A.10.10.2 Uso del sistema de monitoreo
Se deben establecer procedimientos para monitorear las

instalaciones de procesamiento de informacin y los
resultados del monitoreo de actividades deben ser revisados
regularmente
SI
A.10.10.3
Proteccin de la informacin de
registro
Las instalaciones e informacin de registro debe ser

registradas
SI
A.10.10.4
Registro de administrador y
operador
Las actividades del administrador y de los operadores del

sistema deben ser registradas
SI
A.10.10.5 Registros con faltas
Las faltas deben ser registradas, analizadas y se deben tomar

acciones apropiadas
SI
A.10.10.6 Sincronizacin de reloj
Los relojes de todos los sistemas de procesamiento de

informacin dentro de la organizacin o en el dominio de
seguridad deben ser sincronizados con una fuente acordada y
exacta de tiempo
SI
A.11
A.11.1
A.11.1.1
A.11.2
Controles de acceso
Requisitos de negocio para el

control de accesos
Controlar los accesos a la informacin
Poltica de control de accesos
Se debe establecer, documentar y revisar una poltica de

control de accesos, basado en requisitos de acceso de
seguridad y del negocio.
Gestin de acceso de usuarios
Asegurar que el acceso de usuarios es autorizado y

prevenir accesos no autorizados a los sistemas de
informacin
SI
Dentro de la organizacin existen perfiles tanto para los

correos, como para el acceso a internet y a los sistemas; sin
embargo, se debe documentar los requisitos de seguridad
de manera independiente por cada sistema y documentar
los perfiles estandar para cada puesto de trabajo dentro de
la organizacin.
Como se indic anteriormente en el control A.8.3.3, no

existe una documentacin formal para dar a conocer la
terminacin del empleo de algn trabajador,
adicionalmente, tampoco existe un procedimiento formal
para dar de alta o de baja a los nuevos usuarios, esta labor se
ha ido realizando por el departamento de TI y segn lo
solicitado por las diversas reas de la empresa; sin embargo,
se debe documentar formalmente estos procedimientos.
A.11.2.1
Registro de usuarios
Habr un procedimiento de registro y anulacin formal de

usuarios para otorgar y eliminar el acceso a todos los servicios
y sistemas de informacin
SI
A.11.2.2
Gestin de privilegios
Se restringir y controlar la asignacin y uso de privilegios
SI
A.11.2.3
Gestin de contraseas de usuario
Se controlar la asignacin de contraseas a travs de un

proceso de gestin formal
SI
A.11.2.4
Revisin de los derechos de acceso La gerencia conducir un proceso formal y de manera

de los usuarios
peridica para revisar los derechos de acceso de los usuarios
A.11.3
A.11.3.1
A.11.3.2
Justificacin
Para los equipos almacenados en el centro de datos, se

posee una serie de logs de auditoria; sin embargo, estos no
son analizados con regularidad, lo mismo sucede con los
sistemas desarrollados para el rea operativa; sin embargo,
no se tiene logs de lo que realizan los usuarios en la red, por
lo que se deberia incluir dentro de un procedimiento para
una adecuada auditoria.
Se debe establecer una serie de procedimientos para
realizar un monitoreo adecuado a los servidores y bases de
datos, entre los datos que se deben poseer se encuentra el
formato de la bitacora de auditoria ajustado a las
necesidades de la organizacin, la frecuencia con la que se
dar este monitoreo, los responsables y las personas a las
cuales se entregar los resultados finales.
Dentro de la organizacin se busca proteger los logs de los
sistemas y servidores; sin embargo, se debe documentar los
procedimientos a seguir para asegurar un nivel adecuado de
auditabilidad de las operaciones realizadas
Dentro de la organizacin existen logs del sistema y de
servidores que contienen cada uno de las acciones de los
administradores y operarios; sin embargo, estos logs son
almacenados por IBM y no son revisados de manera
periodica, por lo que se debe establecer un procedimiento
para la realizacin de esta labor.
De las entrevistas realizadas con los usuarios, se detecto
que los sistemas SIM y SOP poseen fallas que son reportadas
en su momento al departamento de sistemas de
informacin; sin embargo, no existe un registro oficial
donde se almacene cuales han sido estos errores, los
motivos por los cuales sucedieron ni cuales fueron las
soluciones, por lo que se recomienda su inmediata
documentacin.
Existe un servidor de aplicaciones donde se alojan cada una
de las aplicaciones de la organizacin; sin embargo, se debe
establecer una documentacin formal para la sincronizacin
y/o ajuste del reloj
Responsabilidad de los usuarios
Uso de contraseas
Equipo informtico de usuario

desatendido
SI
Se debe generar un procedimiento adecuado, en el cual se

indique que cada jefe de rea o departamento, debe
solicitar los permisos adecuados para cada personal que
trabaje bajo su supervisin y establecer roles y
responsabilidades para la adecuada gestin de privilegios.
Se debe establecer una documentacin formal en la cual se
indique cuales son los pasos para la generacin de
contraseas a nuevos usuarios, adicionalmente se deber
solicitar a los usuarios que firmen un compromiso para no
compartir su contrasea con otros usuarios y realizar charlas
de concientizacin para explicarles el porque no deben
hacerlo.
No existe una comunicacin formal al departamento de TI
del personal que rota dentro de la empresa, tampoco se
realiza una revisin de los perfiles entregados a cada uno de
los usuarios luego de un tiempo predeterminado, todas
estas acciones deben estar debidamente documentadas en
un procedimiento formal.
Prevenir el acceso no autorizado de usuarios y el

compromiso o robo de la informacin o de las instalaciones
de procesamiento
Los usuarios deben seguir buenas prcticas de seguridad en la

seleccin y uso de contraseas
Se exige al usuario que asegure proteccin adecuada a un

equipo desatendido
SI
Existe un procedimiento formal con las reglas para la

creacin y cambio de contraseas de los usuarios; sin
embargo, se debe realizar una serie de charlas de
concientizacin con los usuarios para evitar que se
compartan contraseas de manera no autorizada y para
forzar el cambio de contrasea una vez se entregado por
primera vez las credenciales al usuario.
SI
No existe una normativa formal que exiga a los usuarios el

bloqueo de las computadoras al momento de ausentarse;
sin embargo, se debe realizar charlas de concientizacin con
los usuarios para que adopten esta costumbre,
adicionalmente, se debe forzar que las computadoras se
bloqueen automaticamente luego de un tiempo de estar
desatendidas
44
No. De
Control
A.11.3.3
A.11.4
Control
Poltica de pantalla y escritorio

limpio
Se debe adoptar una poltica de escritorio limpio para papeles

y dispositivos de almacenamiento removibles.
Igualmente, se debe adoptar una poltica para instalaciones de
procesamiento de informacin
Control de acceso a la red
Prevenir el acceso no autorizado de los servicios de la red
Aplicable a la
Organizacin
Justificacin
SI
No existe una poltica formal para mantener la pantalla y los

escritorios de trabajo limpios, se debe establecer una
poltica junto con una adecuada clasificacin de la
informacin, para asegurar aquellos activos que son
importantes para la organizacin, adicionalmente, se debe
de proveer a las reas de lugares o equipamiento adecuado
para que puedan asegurar este tipo de informacin.
SI
El directorio activo restringe el acceso de los usuarios

nicamente a los servicios a los que se le ha permitido; sin
embargo, se debe realizar una documentacin formal de
estas acciones.
SI
La organizacin posee un VPN para que algunos usuarios

autorizados, no ms de 10, puedan conectarse a la red de
manera remota. Este procedimiento debe de documentarse
adecuadamente indicando cuales deben ser los perfiles de
acceso de cada usuario que se conecta a la red.
A.11.4.1
Poltica de uso de los servicios de la Los usuarios deben tener acceso directo nicamente a los
red
servicios cuyo uso est especificamente autorizado
A.11.4.2
Autenticacin de usuario para

conexiones externas
A.11.4.3
Se debera considerar equipos con identificacin automtica

Autenticacin de equipos en la red para autentificar conexiones desde ubicaciones y equipos
especificos
SI
A.11.4.4
Proteccin para la configuracin de Debe controlarse la seguridad en el acceso fsico y lgico para
puertos y diagnstico remoto
el diagnostico y configuracin de puertos
SI
A.11.4.5
Segregacin en las redes
Los grupos de servicios, usuarios y sistemas de informacin

deben ser segregados en las redes
SI
A.11.4.6
Control de conexin a las redes
La capacidad de conexin de los usuarios de redes

compartidas, especialmente aquellas que se extienden fuera
de las fronteras de la organizacin, debe restringirse de
conformidad con la poltica de control de acceso y los
requisitos de las aplicaciones de negocio (vease 11.1)
SI
Se debe establecer una serie de controles para restringir el

acceso a las redes compartidas de la organizacin a ciertos
horarios que coincidan con el horario de trabajo.
A.11.4.7
Se debe implementar controles de ruteo para asegurar que las

conexiones de computadores y los flujos de informacin no
Control de enrutamiento en la red
violen la poltica de control de acceso de las aplicaciones de
negocios.
SI
En la organizacin no se ha implementado control alguno

para asegurarse que las rutas no hayan sido cambiadas
maliciosamente, se deber analizar y establecer un
adecuado control para resguardar el enrutamiento en las
redes.
SI
Se encuentra normado que para acceder a todos las

computadoras, se necesita poseer credenciales autorizadas
brindadas por el departamento de TI.
SI
Todos los usuarios poseen un identificador nico para

acceder a las computadoras de la organizacin; sin embargo,
se ha detectado, que en muchos casos, los usuarios
comparten contraseas para iniciar sesin en distintas
computadoras, por lo que se debe realizar charlas de
concientizacin a los usuarios para evitar estas practicas.
A.11.5
A.11.5.1
A.11.5.2
Deben usarse apropiados mtodos de autenticacin para

controlar el acceso de usuarios remotos
Control de acceso al sistema

operativo
Prevenir accesos no autorizados a los sistemas operativos
Procedimientos seguros de
conexin
Se usar un proceso de registro de conexin (login) seguro

para acceder a los servicios de informacin
Identificacin y autenticacin del

usuario
Todos los usuarios tienen un identificador nico para su uso

propio y exclusivo para sus actividades y debe elegirse una
tcnica de autenticacin adecuada para sustentar la identidad
del usuario
A.11.5.3
Sistemas de gestin de contraseas proveern medios

Sistema de gestin de contraseas efectivos e interactivos, cuyo objetivo es asegurar contraselas
de calidad
SI
A.11.5.4
Se debe registrar y controlar firmemente el uso de programas

Uso de los programas utilitarios del
utilitarios que puedan ser capaces de forzar el sistema y los
sistema
controles de aplicacin
SI
A.11.5.5
Desconexin automtica de
terminales
Las sesiones inactivas deben cerrarse luego de un perodo

definido de inactividad
SI
A.11.5.6
Limitacin del tiempo de conexin
Se usar restricciones de tiempos de conexin para ofrecen

seguridad adicional para las aplicaciones de alto riesgo
SI
Control de acceso a las

aplicaciones e informacin
Evitar el acceso no autorizado a la informacin contenida

en los sistemas
A.11.6
A.11.6.1
Restriccin de acceso a la
informacin
El acceso a las funciones de informacin y de aplicacin por

usuarios y personal de soporte sern restringidos con la
poltica de control de acceso
SI
La organizacin posee un directorio activo, administrado por

IBM, que le permite identificar cada uno de los equipos que
se conectan a la red.
La organizacin posee un software que le permite
administrar adecuamente los puertos de los equipos del
departamento de TI; sin embargo, no se posee las licencias
suficientes para realizar el mismo procedimiento en toda la
organizacin. El nico personal autorizado para acceder a
este software es el administrador de red; sin embargo, falta
la documentacin de un procedimiento formal para realizar
un adecuado anlisis y configuracin de puertos en toda la
organizacin.
No existe un procedimiento formal donde se indique que
todas las reas de la organizacin deben poseer una red
segmentada; sin embargo, se ha logrado realizar a nivel de
los distintos locales de la organizacin, queda pendiente
segmentar la red por reas dentro del CCPL.
Existen normas y restricciones para la creacin de

contraseas de acceso a las computadoras, solicitudes
forzadas para el cambio de contrasea cada cierto tiempo y
cifrado de las mismas; sin embargo, no existe un
procedimiento apropiado para la gestin de creacin de
usuarios nuevos, lo cual causa que los usuarios compartan
contraseas de manera no autorizada, por lo que se debe
realizar charlas de concientizacin y establecer un
procedimiento adecuado para la alta de usuarios
La organizacin posee una serie de perfiles que restringen la
ejecucin de ciertos programas que puedan vulnerar los
permisos otorgados a cada usuario; sin embargo, no existe
un programa de anlisis de software malicioso actualizado
capaz de proteger los sistemas frente a este tipo de
amenazas.
Debe existir una documentacin adecuada para delimitar los
tiempos mximos de duracin de las sesiones inactivas
conectadas a los distintos sistemas a travs de terminales.
Se debe implementar una poltica que indique claramente
bajo que horarios se puede iniciar sesin o no, esta poltica
debe contemplar aquellos casos en los que se requiera una
ampliacin de horarios y solicitudes para habilitar las
sesiones en un horario que no pertenezca al horario normal
de trabajo
Los usuarios autorizados para el manejo de los sistemas

poseen los permisos y restricciones adecuados para la
realizacin de su trabajo; sin embargo, estas autorizaciones
no estan debidamente documentadas, por lo que se debe
realizar procedimientos formales indicando cuales son los
perfiles necesarios por sistema y cuales son los permisos
que estos deben tener.
45
No. De
Control
A.11.6.2
A.11.7
Control
Aislamiento de sistemas sensibles
Los sistemas sensibles tendran un ambiente de computo

aislado
Informtica mvil y teletrabajo
Garantizar la seguridad de la informacin cuando se usan

dispositivos de informtica mvil y facilidades de
teletrabajo
A.11.7.1
Informtica y comunicaciones
mviles
Se pondr en prctica una poltica formal y se adoptarn los

controles adecuados para protegerse frente a los riesgos de
trabajar con puntos de computadores mviles y medios de
comunicacin
A.11.7.2
Teletrabajo
Se desarrollarn e implementarn polticas, procedimientos y

estndares para las actividades de teletrabajo
A.12
A.12.1
Requisitos de seguridad de los

sistemas de informacin
Aplicable a la
Organizacin
SI
SI
NO
Los requisitos de negocio para nuevos sistemas, o

ampliaciones de los sistemas existentes, especificarn los
requisitos de control
A.12.2
Proceso correcto en aplicaciones
Prevenir errores, prdidas, modificaciones no autorizadas

o mal uso de los datos del usuario en las aplicaciones
A.12.2.1
Validacin de los datos de entrada
Se validar el ingreso de datos a los sistemas de aplicacon

para asegurar que sean correctos
SI
A.12.2.2
Control del proceso interno
Se incorporarn verificaciones y validaciones para detectar

cualquier corrupcin de los datos procesados
SI
A.12.2.3
Integridad de mensajes
Se deben identificar requisitos para la autenticacin y

proteccin de la integridad de mensajes. Igualmente, se
deben implementar e identificar controles apropiados
SI
A.12.2.4
Validacin de los datos de salida
Los datos de salida de una aplicacin se validarn para

garantizar que el procesamiento de la informacin
almacenada sea correcto y adecuado a las circunstancias
SI
Controles criptogrficos
Proteger la confidencialidad, autenticidad o integridad a

travs de medios criptogrficos
A.12.3
SI
A.12.3.1
Poltica de uso de los controles

criptogrficos
Debe desarrollarse e implementrase una poltica sobre el uso

de controles criptogrficos para proteger la informacin
SI
A.12.3.2
Gestin de claves
Se usar un sistema de gestin de claves con el fin de apoyar

el uso de tcnicas criptogrficas dentro de la organizacin
SI
Seguridad de los archivos del

sistema
Asegurar la seguridad de los archivos del sistema
A.12.4
No existe una poltica formal para proteger la informacin

almacenada en las computadoras mviles.
Dentro del alcance del SGSI solo el jefe del departamento
de tecnologia y comunicaciones es el nico personal
autorizado para tener una computadora mvil de la
organizacin; sin embargo, se debe establecer una serie de
controles de encriptacin para asegurar que la informacin
almacenada en ese dispositivo no pierda su
confidencialidad.
no se ha implementado el teletrabajo.
Adquisicin de sistemas, desarrollo y mantenimiento

Garantizar que la seguridad est incluida dentro de los
sistemas de informacin
Anlisis y especificacin de los

requisitos de seguridad
A.12.1.1
Justificacin
Dentro de la organizacin se manejan 2 sistemas y varios

mdulos separados para la atencin de los clientes
empresariales; sin embargo, todos los sistemas son
albergados dentro de un mismo servidor y tampoco existe
documentacin formal que indique que un sistema sea
sensible.
A.12.4.1
Control del software en produccin
Se pondr en prctica procedimientos para controlar la

implementacin del software en sistemas operacionales
SI
A.12.4.2
Proteccin de los datos de prueba

del sistema
Se protegern y controlarn los datos de prueba los cuales

deben ser seleccionados cuidadosamente
SI
A.12.4.3
Control de acceso a la librera de

programas fuente
El acceso a las libreras de programas fuente debe ser

restringido
SI
A.12.5
Seguridad en los procesos de

desarrollo y soporte
Mantener la seguridad del software de aplicacin y la

informacin
A.12.5.1
Procedimientos de control de
cambios
La implementacin de cambios se controlar estrictamente

mediante el uso de procedimientos formales de control de
cambios
SI
Se debe implementar dentro de la organizacin una serie de

controles que permitan considerar los requisitos de
seguridad dentro del ciclo de vida de los sistemas ya que
hasta el momento esto no ha sido considerado, de manera
formal, durante el desarrollo de los nuevos sistemas.
Los sistemas desarrollados poseen una validacin de los

datos ingresados en muchas funcionalidades; sin embargo,
se debe elaborar la documentacin faltante que evidencie
cuales son todos los casos de prueba utilizados para la
validacin de los datos de entrada.
Durante el desarrollo de los sistema, se ha implementado el
manejo de excepciones para evitar que el sistema continue
en caso se detecte algn error y se valida la informacin que
se transmite internamente para asegurarse la integridad de
datos; sin embargo, no hay una documentacin formal de
los controles implementados.
Se debe realizar una metodologa para identificar aquellos
mensajes que deben ser protegidos para implementar
controles y asegurar la confidencialidad, integridad y
disponibilidad de los mismos.
Se tiene conocimiento que en los ambientes de prueba y
desarrollo se realiza una serie de casos de prueba para
asegurar el correcto funcionamiento de los sistemas; sin
embargo, no se posee una documentacin formal de estas
pruebas.
La organizacin debe realizar una poltica de encriptacin

integral para asegurar la informacin sensible que esta
maneja. Se tiene conocimiento que las contraseas tanto en
los sistemas como en el diretorio activo estan encriptadas,
pero solo existe una poltica forma, desarrollada con IBM,
para la encriptacin de la red WAN.
La organizacin debe realizar una poltica adecuada para una
correcta entrega, revocatoria y eliminacin de claves a los
usuarios que as lo requieran
La organizacin debe elaborar un procedimiento formal, que

hasta el momento no existe, para asegurar una correcta
instalacin de software en el ambiente de produccin o
asegurar una correcta reversin del sistema en caso no se
haya logrado instalar el software adecuadamente; sin
embargo, hasta el momento, si se maneja un repositorio de
versiones de los distintos sistemas que se han manejado
dentro de la organizacin.
Se maneja una base de datos paralela para las pruebas de
los sistemas de informacin, la cual es nivelada de manera
periodica; sin embargo, es necesario realizar la
documentacin pertinente para evidenciar cuando es que se
debe utilizar esta informacin y cuales son los controles
necesarios en caso se deba utilizar data de prueba en el
ambiente de produccin.
El acceso al cdigo fuente de los distintos sistemas solo es
permitido al jefe del departamento de sistemas de
informacin y al personal que el permita; sin embargo, cabe
aclarar que es necesario la elaboracin de un procedimiento
para el tratamiento de esta informacin, debido a que
muchas personas externas a la organizacin, trabajadores
por recibos por honorarios, tienen acceso a este tipo de
informacin.
Se deber elaborar el procedimiento de control de cambios

en el software de la empresa debido a que no existe uno
formal dentro de la organizacin con los requerimientos de
hardware necesario, aceptacin del usuario, mantenimiento
de logs de auditoria del cambio, documentacin actualizada
del software, entre otros.
46
No. De
Control
Control
Aplicable a la
Organizacin
A.12.5.2
Cuando los sistemas operativos son cambiados, se deben de

Revisin tcnica de los cambios en revisar y probar las aplicaciones crticas de negocio con el fin
el sistema operativo
de asegurar que no existan impactos adversos en las
operaciones o seguridad de la organizacin.
SI
A.12.5.3
Restricciones en los cambios a los

paquetes de software
No se debe fomentar las modificaciones en los paquetes. Se

debera limitar a cambios necesarios y todos estos cambios
deben ser estrictamente controlados
SI
A.12.5.4
Fuga de la informacin
Se deben de prevenir las oportunidades de fuga de

informacin
SI
A.12.5.5
Desarrollo externo del software
La organizacin debe supervisar y monitorear el desarrollo

externo de software
Gestin de la vulnerabilidad
tcnica
Reducir los riesgos que son el resultado de la explotacin

de vulnerabilidades tcnicas publicadas
Control de las vulnerabilidades

tcnicas
Se debe obtener informacin a tiempo sobre las

vulnerabilidades tcnicas de los sistemas de informacin que
se utilizan. La exposicin de la organizacin a tales
vulnerabilidades debe ser evaluada y se debe tomar medidas
apropiadas asociadas al riesgos
A.12.6
A.12.6.1
A.13
A.13.1
Reportando eventos y
debilidades en la seguridad de la
informacin
La organizacin debe generar un procedimiento adecuado

para crear un registro de errores reportados por los usuarios,
en los cuales se deje conocer cual fue el problema, cual fue
el impacto, cuando se reporto, cual fue la causa y como se
solucion. Adicionalmente, se debe indicar como es que se
gestionar las nuevas vulnerabilidades detectadas o
reportadas por los usuarios.
Gestin de incidentes en la seguridad de la informacin

Asegurar que los eventos y debilidades en la seguridad de
informacin asociados con los sistemas de informacin
sean comunicados de una manera que permita tomar una
accin correctiva a tiempo
Reportando eventos de la
seguridad de informacin
Los eventos en la seguridad de la informacin deben ser

reportados lo ms rpido posible a travs de canales
apropiados
A.13.1.2
Reportando debilidades de
seguridad de informacin
Todos los empleados, contratistas o personal externo usuarios

de los sistemas y servicios de informacin deben estar
obligados de notar y reportar cualquier debilidad en la
seguridad de los sistemas y servicios
A.13.2
Gestin de los incidentes y

mejoras en la seguridad de
informacin
Asegurar que un alcance consistente y efectivo sea

aplicado en la gestin de incidentes de la seguridad de
informacin
A.13.1.1
NO
SI
La organizacin debe generar un procedimiento para

gestionar adecuadamente cada uno de los eventos de
seguridad de la informacin reportados por el personal o
detectados por cada uno de los controles implementados,
adems se debe realizar charlas de capacitacin con el
personal para explicarles cuales son sus roles y
responasbilidades dentro del sistema de gestin.
SI
La organizacin debe capacitar adecuadamente a todo el

personal de la organizacin para que sea capaz de detectar
debilidades en el sistema de gestin de seguridad de
informacin y puedan reportarlas adecuadamente,
asimismo, se debe recalcar las sanciones que podrian recibir
si es que deciden probar las debilidades encontradas.
A.13.2.1
Responsabilidades y
procedimientos
Se deben establecer responsabilidades y procedimientos de

gestin con el fin de asegurar una respuesta rpida, efectiva y
ordenada ante incidentes en la seguridad de informacin
SI
A.13.2.2
Aprendiendo de los incidentes en

la seguridad de informacin
Debe existir mecanismos que habiliten que los tipos,

volmenes y costos de los incidentes en la seguridad de
informacin sean cuantificados y monitoreados
SI
Recoleccin de evidencia
Cuando exista una accin de seguimiento contra una persona

u organizacin, luego de que un incidente en el sistema de
informacin involucre una accin legal (civil o criminal), se
debe recolectar, retener y presentar evidencia conforme con
las reglas dentro de la jurisdiccin.
SI
A.13.2.3
A.14
A.14.1
Aspectos de la gestin de
continuidad del negocio en la
Justificacin
En la organizacin no ha existido una actualizacin de

sistemas operativos hasta el momento; sin embargo, al
momento de adquirir nuevos equipos, estos tenian W7, por
esa razon se maneja Windows XP y 7 dentro de la empresa.
No existe un procedimiento formal para la actualizacin de
sistemas operativos, por lo que tampoco se realizaron las
pruebas pertinentes en los diversos sistemas, ello trajo
varios problemas de compatibilidad en los distintos
mdulos del sistema SIM los cuales tuvieron que ser
corregidos en el tiempo.
Se debe elaborar un procedimiento formal para evaluar la
modificacin de los distintos paquetes de software
utilizados en la organizacin, en este procedimiento se
debe especificar como se realizar el anlisis de riesgo tras
el futuro cambio y como se elaborar el plan de regresin en
caso el resultado no sea exitoso
Se deber elaborar un procedimiento para implementar
controles que ayuden a evitar la fuga de informacin a
travs de los distintos sistemas.
Adicionalmente, se cuenta con las clausula de
confidencialidad firmadas por cada uno de los trabajadores
del local; sin embargo, se debe hacer difusin de la poltica
de seguridad de la empresa ya que en ella se muestra cuales
son las sanciones en caso no se cumpla con lo normado
referente a seguridad de la informacin.
El presente control no aplica, debido a que la organizacin
posee un rea que se encarga del desarrollo de software
para la empresa.
Dentro del documento de la poltica del SGSI, se describe

que los miembros del comit tienen la responsabilidad de
dar un tratamiento adecuado a los riesgos relacionados a la
seguridad de la informacin detectados; sin embargo, la
organizacin debe establecer un procedimiento en el cual
se establezca detalladamente cual es la labor de cada
miembro de la alta gerencia y como es que debe
desempear sus roles.
La organizacin debe generar un procedimiento para
gestionar adecuadamente cada uno de los eventos de
seguridad de la informacin reportados por el personal o
detectados por cada uno de los controles implementados
para tener un registro de incidentes y lograr prevenir
prximos eventos similares o darles solucin en caso se
detecten eventos de este tipo
No existe un procedimiento formal para asegurar la
recoleccin de evidencia de la organizacin, por lo que se
deber elaborar uno, adicionalmente, se debe evidenciar
que los sistemas cumplen con la admisibilidad de la
evidencia.
Gestin de la Continuidad del Negocio

Neutralizar las interrupciones a las actividades del negocio
y proteger los procesos crticos del negocio de los efectos
de fallas mayores o desastres en los sistemas de
informacin y asegurar su reanudacin oportuna
A.14.1.1
Incluyendo la seguridad de
informacin en la gestin de la
continuidad del negocio
Se deben establecer procedimientos y responsabilidades de

gestin con el fin de asegurar una respuesta rpida, efectiva y
ordenada ante incidentes en la seguridad de la informacin
SI
La organizacin debe establecer procedimientos y

responsabilidades paragestionar adecuadamente la
cotinuidad del negocio, en estos procedimientos se debe
colocar explicitamente cuales son los activos relacionados
con los procesos crticos del negocio, asegurar la seguridad
del personal, establecer planes de continuidad y realizar las
pruebas de los mismos.
A.14.1.2
Continuidad del negocio y

evaluacin de riesgos
Los eventos que pueden causar interrupciones en los procesos

de negocio deben ser identificados as como las
probabilidades e impacto de dichas interrupciones y sus
consecuencias para la seguridad de informacin.
SI
La organizacin debe realizar un analisis de impacto del

negocio adecuado segn el alcance del SGSI identificando
posibles escenarios y evalluando los riesgos tras la
materializacin de cada uno de ellos.
47
No. De
Control
Control
Aplicable a la
Organizacin
A.14.1.3
Desarrollando e implantando de
planes de continuidad que
incluyen la seguridad de
informacin
Se deben desarrollar e implementar planes para mantener o

reparar operaciones y asegurar la disponibilidad de
informacin al nivel y tiempo requerido, siguiendo las
interrupciones o fallas a los procesos crticos del negocio.
SI
A.14.1.4
Marco de planificacin de la
Un simple marco de los planes de continuidad del negocio

debe ser mantenido para asegurar que todos los planes sean
consistentes, que anexen consistentemente los requisitos de
seguridad de la informacin, para identificar prioridades de
prueba y mantenimiento
SI
A.14.1.5
Probando, manteniendo y
reevaluando los planes de
Los planes de continuidad del negocio deben ser probados y

actualizados regularmente con el fin de asegurar que se
encuentren actuales y que sean efectivos
SI
A.15
A.15.1
Cumplimiento de los requisitos

legales
Cumplimiento
Evitar los incumplimientos de cualquier ley civil o penal,
requisito reglamentario, regulacin u obligacin
contractual, y de todo requisito de seguridad
Se definirn y documentarn explcitamente todos los

requisitos legales, regulatorios y contractuales relevantes y se
deben mantener actualizados cada sistema de informacin y
la organizacin
A.15.1.1
Identificacin de la legislacin
aplicable
A.15.1.2
Se implementarn procedimientos adecuados para garantizar

Derechos de propiedad intelectual el cumplimiento de las restricciones legales en el uso de
(DPI)
material con respecto a derechos de propiedad intelectual y
uso de productos de software propietario
SI
A.15.1.3
Salvaguarda de los registros de la

organizacin
Se protegern los registros importantes de la organizacin

frente a prdidas, destruccin y falsificacin en concordancia
con los requisitos regulatorios, contractuales y de negocio
SI
A.15.1.4
Proteccin de los datos y de la

privacidad de la informacin
personal
Se aplicarn controles para proteger informacin personal en

conformidad con la legislacin correspondiente y si es
aplicable, con las clusulas contractuales
SI
A.15.1.5
Prevencin en el mal uso de las

Los usuarios deben ser disuadidos de utilizar las instalaciones
instalaciones de procesamiento de del procesamiento de informacin para propsitos no
la informacin
autorizados
SI
A.15.1.6
Regulacin de los controles

criptogrficos
Se implementarn controles para permitir el cumplimiento de

los acuerdos nacionales, leyes y reglamentos
SI
Cumplimiento con las polticas y

estndares de seguridad y del
cumplimiento tcnico
Asegurar el cumplimiento de los sistemas con las polticas y

normas de seguridad organizacionales
A.15.2
A.15.2.1
A.15.2.2
A.15.3
Justificacin
Se debe realizar planes de continuidad de negocio que

permitan establecer cuales son los tiempos mximos para la
recuperacin de los servicios, que tipo de informacin se
debe resguardar y cual se puede perder y las fechas de
actualizacin de los planes
Se debe establecer un estandar nico para la elaboracin de
los planes de contiuidad del negocio, de tal forma que se
pueda recolectar toda la informacin necesaria sobre la
planificacin de la continuidad del negocio en cada uno de
los planes desarrollados.
Se debe establecer una metodologa de pruebas para
verificar los planes de continuidad del negocio, en ella debe
indicarse textualmente la frecuencia con la cual se harn las
pruebas de continuidad en la organizacin, las simulaciones
que se debern hacer, como regresar a la operatividad luego
de las pruebas y como debern realizarse los ensayos
completos ante interrupciones
Los gerentes deben tomar acciones para garantizar que todos

los procedimientos de seguridad dentro de sus rea de
Cumplimiento con los estndares y
responsabilidad se lleven a cabo correctamente con el fin de
la poltica de seguridad
garantizar el cumplimiento de las polticas y estndares de
seguridad
Comprobacin del cumplimiento

tcnico
Debe verificarse regularmente el cumplimiento de la

implementacin de normas de seguridad en los sistemas de
informacin
Consideraciones sobre la
auditora de sistemas
Maximizar la efectividad y minimizar las interferencias en el

proceso de auditora del sistema
SI
Se debe definir planes y procedimientos para verificar el

correcto cumplimiento de la legislacin aplicable tales como
la implementacin del SGSI.
La organizacin debe definir un procedimiento para la
inscripcin de todos los sistemas desarrollados por el
departamento de sistemas de informacin en el INDECOPI y
mantener una poltica de conformidad de los derechos de
autor del software adquirido.
Se debe establecer guas y procedimiento que especifiquen
por cuanto tiempo la organizacin est dispuesta a
almacenar la informacin, cabe aclarar que como parte del
proyecto se realiz un inventario de activos de informacin
los cuales fueron valorados segn la metodologa de
svaloracin de activos.
Se debe establecer un procedimiento para el adecuado
manejo de la informacin personal almacenada dentro de la
organizacin, en conformidad con la ley de proteccin de
datos personales.
En la organizacin est normado, dentro del reglamento
interno de trabajo, el prestamo de computadoras
autorizadas para el uso personal, siempre y cuando, se
solicite con anticipacin y de forma escrita; sin embargo, se
debe difundir mejor esta normatividad.
A nivel nacional existe una directiva que indica que la
informacin sensible debe ser encriptada para asegurar su
integridad y confidencialidad, esta directiva es la 007-95INEI-SJI; sin embargo, la organizacin no posee una
documentacin formal que evidencie el cumplimiento de
esta directiva, aunque sis se cifren los datos para el manejo
de contraseas en la organizacin.
SI
Se debe implementar un procedimiento que permita a los

gerentes evaluar el cumplimiento de los controles de
seguridad de informacin que se desean implementar, de
tal forma que pueda darle un tratamiento adecuado a las no
conformidades detectadas.
SI
Se debe establecer una metodologa de trabajo que permita

verificar el correcto cumplimiento de la implementacin de
normas de seguridad en la organizacin, adicionalmente, se
puede incluir un procedimiento para realizar un anlisis de
vulnerabilidades de los distintos sistemas incluidos en el
alcance del SGSI.
A.15.3.1
Se planificarn cuidadosamene las auditoras de los sistemas

Controles de auditora de sistemas operacionales a fin de minimizar el riesgo de interrupciones a
los procesos del negocio
SI
A.15.3.2
Proteccin de las herramientas de Se proteger el acceso a las herramientas de auditoria del

auditora de sistemas
sistema para prevenir cualquier posible mal uso o dao
SI
Se debe establecer un procedimiento para el desarrollo de

auditorias planificadas e inopinadas de los sistemas
involucrados en el alcance del SGSI ya que hasta el
momento no existe rastro alguno de una auditoria a estos
sistemas.
Los diversos sistemas y servidores poseen un log que puede
ser revisado para temas de auditoria; sin embargo, la
organizacin debe establecer una serie de controles para
resguardar la informacin almacenada dentro de estos logs
para evitar la perdida de disponibilidad e integridad de los
mismos.
48
11.
Anexo 11 Proceso de Recepcin - Sub Proceso de Admisin
49
12.
Anexo 12 Proceso de Recepcin - Sub Proceso de Habilitado
50
13.
Anexo 13 Proceso de Clasificacin
51
14.
Anexo 14 Proceso de Clasificacin - Sub Proceso de Pre Clasificacin
52
15.
Anexo 15 Proceso de Control de Cargos
53
16. Anexo 16 Proceso de Control de Cargos Sub Proceso de Emisin de Reporte de

Facturacin
54
17.
Anexo 17 Proceso de Digitalizacin
55
18.
Anexo 18 Proceso de Digitalizacin Sub Proceso de Elaboracin de Reportes y CDs
56

Aguirre David Sistema Gestion Seguridad Informacion Servicios Postales Anexos

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Aguirre David Sistema Gestion Seguridad Informacion Servicios Postales Anexos

Uploaded by

Copyright:

Available Formats

PONTIFICIA UNIVERSIDAD CATLICA DEL PER

FACULTAD DE CIENCIAS E INGENIERA

Tesis para optar el Ttulo de Ingeniero Informtico, que presenta el bachiller:

David Arturo Aguirre Mollehuanca

ASESOR: Moiss Antonio Villena Aguilar

Lima, octubre de 2014

Anexo 1: Poltica de Seguridad de Informacin ................................................. 4

Anexo 2: Alcance del SGSI ............................................................................... 6

Anexo 3: Objetivos del SGSI ............................................................................. 7

Anexo 4: Modelo de Caso de Negocio Resumen Ejecutivo ............................ 8

Anexo 5: Metodologa de Valoracin de Activos .............................................. 10

Metodologa de Anlisis de Riesgos ................................................................ 12

Anexo 7: Inventario y Valoracin de Activos .................................................... 17

Anexo 8 Lista de Ejemplos de Vulnerabilidades y Amenazas ....................... 29

Anexo 9 Matriz de Riesgos ........................................................................... 31

Anexo 10 Declaracin de Aplicabilidad ......................................................... 39

Anexo 11 Proceso de Recepcin - Sub Proceso de Admisin ...................... 49

Anexo 12 Proceso de Recepcin - Sub Proceso de Habilitado .................... 50

Anexo 13 Proceso de Clasificacin .............................................................. 51

Anexo 14 Proceso de Clasificacin - Sub Proceso de Pre Clasificacin ....... 52

Anexo 15 Proceso de Control de Cargos ..................................................... 53

Anexo 16 Proceso de Control de Cargos Sub Proceso de Emisin de

Anexo 17 Proceso de Digitalizacin ............................................................. 55

Anexo 18 Proceso de Digitalizacin Sub Proceso de Elaboracin de

1. Anexo 1: Poltica de Seguridad de Informacin

2. Anexo 2: Alcance del SGSI

3. Anexo 3: Objetivos del SGSI

4. Anexo 4: Modelo de Caso de Negocio Resumen Ejecutivo

5. Anexo 5: Metodologa de Valoracin de Activos

6. Metodologa de Anlisis de Riesgos

7. Anexo 7: Inventario y Valoracin de Activos

Habilitar envos para

Recibe envos con su gua

Documento perteneciente al rea comercial, en ella se tiene

Documento que viene en forma de talonario, en el se

Recibir una copia del

Descripcin del Activo de Informacin

Nombre del Activo

Ubicacin de los Activos de Informacin

Interaccin con otras reas

Recepcin y cierre de gua

Entrega Envos al Area de

Ubicada dentro del rea

Ubicada dentro del rea

Entrega Envos al Area de

Contar Envos Fsicos

Ubicada dentro del rea

Ubicada dentro del rea

Ordenar envos para

Ubicada dentro del rea

Ubicada dentro del rea

Habilitar envos para

Ubicada dentro del rea

Ubicada dentro del rea

Ubicada dentro del rea

Ubicada dentro del rea

Ubicada dentro del rea

Ubicada dentro del rea

Ubicada dentro del rea

Ubicada dentro del rea

Enviar paquetes al rea de

Recepcionar envos con

Cada uno de los envos entregados por los clientes que

Entregar grupos de envos