GESTIÓN Y MITIGACIÓN DE RIESGOS

Descripción de
ID ACTIVO
Vulnerabilidad

Desactualización del SO en
R01 los equipos

Dispositivo Móvil

Descarga de aplicaciones
R02 no autorizadas

Desactualización del SO en
R03 Computadora / laptop los equipos

Falta de mecanismo de
R04 monitoreo
Inspector
Falta de conciencia acerca
R05 de la seguridad de
información

Falta de política de
R07 Director de área seguridad
 Falta de entendimiento de
R08 Secretaria técnica su roles o actividades.

Aplicación VUCE
Gestión deficiente de las
R09 (Ventanilla Única de contraseñas
Comercio Exterior)

Expuesto a correos
R10 Correo Corporativo maliciosos.

SIGIA (Sistema Integrado

de Gestión de Insumos
Falta de control de
R11 Agropecuarios e monitorización (log)
Innocuidad
Agroalimentaria)

Sistema Operativo Falta de actualizaciones del

R12 Windows 7 SO de los equipos
 Firma de virus
R13 Antivirus desactualizada

Servicio de internet
R14 (Movistar) Falta de cobertura

Expuesto sin medidas de

R15 Acces Point del área seguridad

Cableado eléctrico
R16 Redes y cableado sobrecargado de equipos

Almacenamiento de
R17 documentos en un lugar de
Documentos fácil acceso
institucionales, Controles
e informe de
inspecciones

Salida de documentos de la
R18 organización
 Dispositivos de Falta de cifrado de
R19 almacenamiento (USB) información
GACIÓN DE RIESGOS DEL PROCESO DE CONTROL DE IN
ANTES DE MITIGAR
Descripción del Riesgo
PROBABILIDAD

Los celulares son utilizados por los inspectores para

coordinar sus actividades de auditoria en el campo de
2
acción, si estos dispositivos están desactualizados, se
exponen a ataques de intrusión por ciberdelincuentes

Los celulares son utilizados por los inspectores en el

exterior para coordinar sus actividades, pero si el
inspector descarga aplicaciones no autorizadas, puede 2
poner en riesgo su dispositivo y la funcionalidad que
cumple.

Las computadoras/laptops son utilizadas por los

inspectores para hacer las visitas a productores de
campo para inspeccionar la inocuidad de sus
productos agricolas y su debido registro de la 3
información, si el equipo es objeto de intrusión puede
adueñarse de información confidencial o incluusive la
pérdida de información.

El inspector puede realizar un procesamiento ilegal de

3
los datos al no tener mecanismos de monitoreo.

El inspector al no tener entrenamiento en seguidad de

información puede hacer mal uso de la información del
proceso. La falta de consiencia de la seguridad de 2
información en los inspectores ocacionaria divulgación
de la imformación
El director del área regula los documentos de la
empresa y el incumplimiento de las políticas de
2
seguridad de información conlleva al uso indebido y no
autorizado de la información.
Las secretarias técnicas del área si no tiene claro sus
funciones dentro de la organización puede llegar a
2
compartir información confidencial con personas no
autorizadas.

Si no hay una gestión de contraseñas adecuada,

facilita el acceso a la obtención y divulgación de 2
información confidencial de la organización

Si no se tiene conciencia de la herramienta que es el

correo corporativo, se puede caer en correos
2
malintencionados que ocacionen el robo de
información por ciber delincuentes

La falta monitorizacion puede evitar que se cometan

irregularidades por parte de los funcionarios o el
2
ingreso de usuarios no autorizados que se apoderen
de información confidencial del sistema.

Las laptops que se usan en el exterior de la empresa al

hacer visitas a proveedores y alguna otra investigación
de campo y si estos equipos no cuentan con 2
actualizaciones del SO son más propensos a intrusión
o secuestro de información.
El antivirus es esencial ya que defiende al equipo en
un 99.3% de ataques al día si el ativirus instalado
2
presenta errores de funcionamiento puede posibilitar el
robo o eliminación de la información.

El servicio de internet permite comunicar e interactuar

a los funcionarios con el sistema para sus diferentes
funciones, si la cobertura falla, no se podrá realizar la 2
desscarga y envío de la información recopilada al
sistema lo que afecta al proceso.

El access point que une las computadoras, el cual está

dentro del área de control de inocuidad
agroalimentaria, si está expuesto puede eventualmente 2
ser usado para colgarse a la red y robar la
documentación.

Si los equipos eléctricos están saturando puntos de

conección eléctrica, puede ocacionar la quema de las
2
computadoras perdiendose además la información
valiosa que contienen.

Documentos institucionales (PEI,Reglamento,

procedimientos, ley, lista de plagas) y los Controles o
inspecciones (Certificacion, tratamientos
3
cuarentenario, Sistema de vigilancia) no se deben
dejar despreocupadamente al alcance de todos, puede
producirse una filtración o robo de documentos.

Las carpetas son necesarias para guardar información

del proceso, sin embargo debido a su portabilidad hay
2
una exposición al extravío de las carpetas con
información de las investigaciones.
Los USB's facilitan el traslado de información
pertinente al campo de acción, por lo que es necesario
2
que esté tenga cifrado para evitar amenazas como la
pérdida o robo de información del dispositivo.
ONTROL DE INOCUIDAD AGROALIMENTARIA DE SENAS
ANTES DE MITIGAR
Control ISO27002 Aplicable
IMPACTO RIESGO

11.2.4 Mantenimiento de los equipos.

3 6 12.6.1. Gestión de las vunerabilidades
técnicas

6.2.1. Política de dispositivos móviles 12.6.1

Gestión de las vulnerabilidades técnicas.
3 6
12.6.2 Restricciones sobre la instalación de
software

11.2.4. Mantenimiento de los equipos

12.3.1 Copias de seguridad de la información
2 6
16.1.2 Reporte de eventos de seguridad
de la información

12.4.1 Registro y gestión de eventos de

actividad.
3 9
12.4.3 Registros de actividad del administrador y
operador.
7.2.1 Responsabilidades de gestión.
7.2.2 Concienciación, educación y capacitación
3 6
en seguridad de la
información
5.1.1 Políticas para la seguridad de la
información
3 6 7.1.2. Términos y condiciones de contratación,
acuerdos de confidencialidad
 7.1.2. Términos y condiciones de contratación,
3 6 acuerdos de confidencialidad
7.2.1. Responsabilidades de gestión.

9.4.2 Procedimientos seguros de inicio de

3 6 sesión. 9.4.3
Gestión de contraseñas de usuario

12.2.1 Controles contra códigos maliciosos

16.1.5 Respuesta a los incidentes de seguridad
de la información.
3 6
16.1.6 Aprendizaje de los incidentes de
seguridad de la información.
16.1.7 Recolección de evidencia

12.7.1 Controles de auditoría de sistemas de

información, monitorear los requisitos de
auditoría para el acceso a los sistemas. 16.1.2
3 6 Reporte de eventos de seguridad de la
información 14.2.3
Revisión técnica de aplicaciones después de
cambios a la plataforma operativa

12.2.1 Controles contra el código malicioso.

3 6
18.2.3 Revisión del cumplimiento técnico.
 12.6.1 Gestión de las vulnarabilidades técnicas
12.2.1 Controles
3 6
contra el código malicioso 16.1.2 Reporte de
eventos de seguridad de la información.

15.2.1 Monitoreo y revisión de servicios del

proveedor. 15.2.2
3 6
Gestión de cambios a los servicios de
proveedores

11.1.1 Perímetro de seguridad física. 11.1.3

3 6 Asegurar oficinas, áreas e instalaciones.

11.1.3 Asegurar oficinas, áreas e instalaciones.

3 6 16.1.6 Aprendizaje de los incidentes de

seguridad de la informaicón
11.2.3 Seguridad del cableado

7.2.1 Responsabilidades de gestión.

7.2.2 Concienciación, educación y capacitación
3 9 en seguridad de la
información
11.1.5 Trabajo en áreas seguras.

11.2.6 Seguridad de equipos y activos fuera de

3 6
las instalaciones.
 6.2.1 Política de dispositivos móviles
11.2.6 Seguridad de equipos y activos fuera de
3 6 las instalaciones. 10.1.1
Política de uso de los controles criptográficos.
ARIA DE SENASA
DESPUÉS DE MITIGAR
COSTO
CONTROL
PROBABILIDAD IMPACTO RIESGO

S/1,200.00 1 2 2

S/980.00

S/2,000.00 2 1 2

S/450.00 2 1 2

S/1,500.00 1 2 2

S/6,000.00 1 2 2
S/2,700.00 1 2 2

S/780.00 1 2 2

S/1,000.00 1 2 2

S/1,500.00 1 2 2

S/300.00 1 2 2
S/2,400.00 1 2 2

S/480.00 1 2 2

S/1,700.00 2 1 2

S/950.00 1 2 2

S/1,600.00 2 1 2

S/2,000.00 1 2 2
S/200.00 1 2 2
 TABLA PARA ESTIMAR EL IMPACTO
VALOR

Bajo (1)

Medio (2)

Alto (3)

TABLA PARA ESTIMAR LA PROBABILIDAD

VALOR

Bajo (1)

Medio (2)

Alto (3)

CRITERIOS DE ACEPTACIÓN
RANGO

Riesgo <= 4

Riesgo > 4
 TABLA PARA ESTIMAR EL IMPACTO
DESCRIPCIÓN

El impacto no altera la continuidad del negocio, ya que las pérdidas financieras leves, se materializa una vez ca
meses

El impacto no altera la continuidad del negocio, ya que las pérdidas financieras moderadas, se materializa una v
3 meses

El impacto no altera la continuidad del negocio, ya que las pérdidas financieras fuertes, se materializa una vez c
mes.

TABLA PARA ESTIMAR LA PROBABILIDAD

DESCRIPCIÓN

La probabilidad de ocurrencia es poco frecuente "una vez cada semestre"

La probabilidad de ocurrencia es regularmente frecuente "una vez cada trimestre"

La probabilidad de ocurrencia es muy frecuente "una vez cada mes"

CRITERIOS DE ACEPTACIÓN
DESCRIPCIÓN

La organización considera que el riesgo no generará consecuencias criticas en la empresa, las pérdidas financi
son consideradas de menor impacto y la recuperación de los activos seria máximo una semana.

La organización considera que el riesgo no generará consecuencias criticas en la empresa y se debe proceder
tratamiento, las pérdidas financieras son consideradas de gran impacto y la recuperación de los activos seria co
mínimo un mes.
Alto 3 6 9

Medio 2 4 6

Bajo 1 2 3

Bajo Medio Alto