Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Matriz Analisis Riesgo

    Cargado por

    Francisco Del Aguila Pinedo
    58 vistas7 páginas
    Este documento evalúa los riesgos de seguridad de información de una organización. Identifica posibles amenazas en tres categorías: datos e información, sistemas e infraestructura, y personal. Para cada categoría, clasifica las amenazas según su origen: actos de criminalidad o motivación política, sucesos de origen físico, o negligencia e impericia de usuarios y decisiones institucionales. Además, analiza el impacto potencial de cada amenaza y la probabilidad de que ocurra.

    Descripción original:

    Matriz Analisis Riesgo

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    ODS, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Este documento evalúa los riesgos de seguridad de información de una organización. Identifica posibles amenazas en tres categorías: datos e información, sistemas e infraestructura, y personal. Para cada categoría, clasifica las amenazas según su origen: actos de criminalidad o motivación política, sucesos de origen físico, o negligencia e impericia de usuarios y decisiones institucionales. Además, analiza el impacto potencial de cada amenaza y la probabilidad de que ocurra.

    Copyright:

    © All Rights Reserved
    Descargue como ODS, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    58 vistas7 páginas

    Matriz Analisis Riesgo

    Cargado por

    Francisco Del Aguila Pinedo
    Este documento evalúa los riesgos de seguridad de información de una organización. Identifica posibles amenazas en tres categorías: datos e información, sistemas e infraestructura, y personal. Para cada categoría, clasifica las amenazas según su origen: actos de criminalidad o motivación política, sucesos de origen físico, o negligencia e impericia de usuarios y decisiones institucionales. Además, analiza el impacto potencial de cada amenaza y la probabilidad de que ocurra.

    Copyright:

    © All Rights Reserved
    Descargue como ODS, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 7

    Datos e Informacin

    Costo de recuperacin (tiempo,


    econmico, material, imagen,
    emocional)

    Obligacin por ley / Contrato / Convenio

    Confidencial, Privado, Sensitivo

    Magnitud de Dao:
    [1 = Insignificante
    2 = Baja
    3 = Mediana
    4 = Alta]

    Documentos institucionales
    (Proyectos, Planes,
    Evaluaciones, Informes, etc.)

    Finanzas

    Servicios bancarios

    RR.HH

    Directorio de Contactos

    Productos institucionales
    (Investigaciones, Folletos,
    Fotos, etc.)

    Correo electrnico

    Bases de datos internos

    Bases de datos externos

    Bases de datos colaborativos

    Pgina Web interna (Intranet)

    Pgina Web externa

    Respaldos

    Infraestructura (Planes,
    Documentacin, etc.)

    Informtica (Planes,
    Documentacin, etc.)

    Base de datos de Contraseas

    Datos e informacin no
    institucionales

    Navegacin en Internet

    Chat interno

    Chat externo

    Llamadas telefnicas internas

    Llamadas telefnicas externas

    Page 1

    Ausencia de documentacin

    Falta de mecanismos de verificacin


    de normas y reglas / Anlisis
    inadecuado de datos de control

    Falta de normas y reglas claras (no


    institucionalizar el estudio de los
    riesgos)

    Dependencia a servicio tcnico


    externo

    Red inalmbrica expuesta al acceso


    no autorizado

    Red cableada expuesta para el


    acceso no autorizado

    Acceso electrnico no autorizado a


    sistemas internos

    Acceso electrnico no autorizado a


    sistemas externos

    Fallas en permisos de usuarios


    (acceso a archivos)

    Falta de actualizacin de software


    (proceso y recursos)

    Falta de mantenimiento fsico


    (proceso, repuestos e insumos)

    Falta de definicin de perfil,


    privilegios y restricciones del
    personal

    Sobrepasar autoridades

    Exposicin o extravo de equipo,


    unidades de almacenamiento, etc

    Transmisin de contraseas por


    telfono

    Compartir contraseas o permisos a


    terceros no autorizados

    Manejo inadecuado de contraseas


    (inseguras, no cambiar,
    compartidas, BD centralizada)

    Transmisin no cifrada de datos


    crticos

    Unidades portables con informacin


    sin cifrado

    Manejo inadecuado de datos


    crticos (codificar, borrar, etc.)

    Infeccin de sistemas a travs de


    unidades portables sin escaneo

    Perdida de datos

    Falta de pruebas de software nuevo


    con datos productivos

    Utilizacin de programas no
    autorizados / software 'pirateado'

    Mal manejo de sistemas y


    herramientas

    Sucesos de origen fsico


    Falta de induccin, capacitacin y
    sensibilizacin sobre riesgos

    Falla de sistema / Dao disco duro

    Falla de corriente (apagones)

    Sobrecarga elctrica

    Electromagnetismo

    Falta de ventilacin

    Polvo

    Sismo

    Inundacin / deslave

    Actos originados por la criminalidad comn y motivacin poltica

    Incendio

    Violacin a derechos de autor

    Virus / Ejecucin no autorizado de


    programas

    Infiltracin

    Intrusin a Red interna

    Robo / Hurto de informacin


    electrnica

    Robo / Hurto (fsico)

    Fraude / Estafa

    Extorsin

    Daos por vandalismo

    Sabotaje (ataque fsico y


    electrnico)

    Orden de secuestro / Detencin

    Clasificacin

    Persecucin (civil, fiscal, penal)

    Matriz de Anlisis de Riesgo

    Allanamiento (ilegal, legal)

    323863956
    Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
    1_Datos

    Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales

    Sistemas e Infraestructura
    Costo de recuperacin (tiempo,
    econmico, material, imagen,
    emocional)

    Acceso ilimitado

    Acceso exclusivo

    Sabotaje (ataque fsico y


    electrnico)
    Daos por vandalismo

    Extorsin

    Fraude / Estafa

    Robo / Hurto (fsico)


    Robo / Hurto de informacin
    electrnica
    Intrusin a Red interna

    Infiltracin
    Virus / Ejecucin no autorizado de
    programas
    Violacin a derechos de autor

    Incendio

    Inundacin / deslave

    Sismo

    Polvo

    Falta de ventilacin

    Electromagnetismo

    Sobrecarga elctrica

    Falla de corriente (apagones)

    Falla de sistema / Dao disco duro


    Falta de induccin, capacitacin y
    sensibilizacin sobre riesgos
    Mal manejo de sistemas y
    herramientas
    Utilizacin de programas no
    autorizados / software 'pirateado'
    Falta de pruebas de software nuevo
    con datos productivos
    Perdida de datos
    Infeccin de sistemas a travs de
    unidades portables sin escaneo
    Manejo inadecuado de datos
    crticos (codificar, borrar, etc.)
    Unidades portables con informacin
    sin cifrado
    Transmisin no cifrada de datos
    crticos
    Manejo inadecuado de contraseas
    (inseguras, no cambiar,
    compartidas, BD centralizada)
    Compartir contraseas o permisos a
    terceros no autorizados
    Transmisin de contraseas por
    telfono
    Exposicin o extravo de equipo,
    unidades de almacenamiento, etc
    Sobrepasar autoridades
    Falta de definicin de perfil,
    privilegios y restricciones del
    personal
    Falta de mantenimiento fsico
    (proceso, repuestos e insumos)
    Falta de actualizacin de software
    (proceso y recursos)
    Fallas en permisos de usuarios
    (acceso a archivos)
    Acceso electrnico no autorizado a
    sistemas externos
    Acceso electrnico no autorizado a
    sistemas internos
    Red cableada expuesta para el
    acceso no autorizado
    Red inalmbrica expuesta al acceso
    no autorizado
    Dependencia a servicio tcnico
    externo
    Falta de normas y reglas claras (no
    institucionalizar el estudio de los
    riesgos)
    Falta de mecanismos de verificacin
    de normas y reglas / Anlisis
    inadecuado de datos de control
    Ausencia de documentacin

    Magnitud de Dao:
    [1 = Insignificante
    2 = Baja
    3 = Mediana
    4 = Alta]
    Orden de secuestro / Detencin

    Clasificacin

    Persecucin (civil, fiscal, penal)

    Matriz de Anlisis de Riesgo

    Allanamiento (ilegal, legal)

    323863956
    Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
    2_Sistemas

    Actos originados por la criminalidad comn y motivacin poltica


    Sucesos de origen fsico
    Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales

    Equipos de la red cableada


    (router, switch, etc.)
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0

    Equipos de la red inalmbrica


    (router, punto de acceso, etc.)

    Cortafuego

    Servidores

    Computadoras

    Porttiles

    Programas de administracin
    (contabilidad, manejo de
    personal, etc.)

    Programas de manejo de
    proyectos

    Programas de produccin de
    datos

    Programas de comunicacin
    (correo electrnico, chat,
    llamadas telefnicas, etc.)

    Impresoras

    Memorias porttiles

    PBX (Sistema de telefona


    convencional)

    Celulares

    Edificio (Oficinas, Recepcin,


    Sala de espera, Sala de
    reunin, Bodega, etc.)

    Vehculos

    Page 2

    Personal
    Perfil bajo, no indispensable para
    funcionamiento institucional

    Perfil medio, experto en su rea

    Imagen pblica de alto perfil,


    indispensable para funcionamiento
    institucional

    Sabotaje (ataque fsico y


    electrnico)
    Daos por vandalismo

    Extorsin

    Fraude / Estafa

    Robo / Hurto (fsico)


    Robo / Hurto de informacin
    electrnica
    Intrusin a Red interna

    Infiltracin
    Virus / Ejecucin no autorizado de
    programas
    Violacin a derechos de autor

    Incendio

    Inundacin / deslave

    Sismo

    Polvo

    Falta de ventilacin

    Electromagnetismo

    Sobrecarga elctrica

    Falla de corriente (apagones)

    Falla de sistema / Dao disco duro


    Falta de induccin, capacitacin y
    sensibilizacin sobre riesgos
    Mal manejo de sistemas y
    herramientas
    Utilizacin de programas no
    autorizados / software 'pirateado'
    Falta de pruebas de software nuevo
    con datos productivos
    Perdida de datos
    Infeccin de sistemas a travs de
    unidades portables sin escaneo
    Manejo inadecuado de datos
    crticos (codificar, borrar, etc.)
    Unidades portables con informacin
    sin cifrado
    Transmisin no cifrada de datos
    crticos
    Manejo inadecuado de contraseas
    (inseguras, no cambiar,
    compartidas, BD centralizada)
    Compartir contraseas o permisos a
    terceros no autorizados
    Transmisin de contraseas por
    telfono
    Exposicin o extravo de equipo,
    unidades de almacenamiento, etc
    Sobrepasar autoridades
    Falta de definicin de perfil,
    privilegios y restricciones del
    personal
    Falta de mantenimiento fsico
    (proceso, repuestos e insumos)
    Falta de actualizacin de software
    (proceso y recursos)
    Fallas en permisos de usuarios
    (acceso a archivos)
    Acceso electrnico no autorizado a
    sistemas externos
    Acceso electrnico no autorizado a
    sistemas internos
    Red cableada expuesta para el
    acceso no autorizado
    Red inalmbrica expuesta al acceso
    no autorizado
    Dependencia a servicio tcnico
    externo
    Falta de normas y reglas claras (no
    institucionalizar el estudio de los
    riesgos)
    Falta de mecanismos de verificacin
    de normas y reglas / Anlisis
    inadecuado de datos de control
    Ausencia de documentacin

    Magnitud de Dao:
    [1 = Insignificante
    2 = Baja
    3 = Mediana
    4 = Alta]
    Orden de secuestro / Detencin

    Clasificacin

    Persecucin (civil, fiscal, penal)

    Matriz de Anlisis de Riesgo

    Allanamiento (ilegal, legal)

    323863956
    Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
    3_Personal

    Actos originados por la criminalidad comn y motivacin poltica


    Sucesos de origen fsico
    Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales

    Junta Directiva
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0
    0

    Direccin / Coordinacin

    Administracin

    Personal tcnico

    Recepcin

    Piloto / conductor

    Informtica / Soporte tcnico


    interno

    Soporte tcnico externo

    Servicio de limpieza de planta

    Servicio de limpieza externo

    Servicio de mensajera de
    propio

    Servicio de mensajera de
    externo

    Page 3

    323863956

    Analisis_Promedio

    Anlisis de Riesgo promedio


    Probabilidad de Amenaza

    Datos e
    Informacin
    Magnitud Sistemas e
    de Dao
    Infraestructura
    Personal

    Criminalidad /
    Poltico

    Sucesos de
    origen fsico

    Negligencia /
    Institucional

    0.0

    0.0

    0.0

    0.0

    0.0

    0.0

    0.0

    0.0

    0.0

    Pgina 4

    Analisis_Factores

    323863956
    Etiqueta

    Criminalidad / Poltico /
    Datos e Informacin

    #DIV/0!

    Criminalidad / Poltico /
    Sistemas e
    Infraestructura
    #DIV/0!

    #DIV/0!

    #DIV/0!

    Anlisis de Factores de Riesgo

    Criminalidad / Poltico / Datos e


    Informacin
    Criminalidad / Poltico / Sistemas e
    Infraestructura
    Criminalidad / Poltico / Personal
    Sucesos de origen fsico / Datos e
    Informacin

    Magnitud de Dao

    Sucesos de origen fsico / Sistemas e


    Infraestructura
    Sucesos de origen fsico / Personal
    Negligencia / Institucional / Datos e
    Informacin
    Negligencia / Institucional / Sistemas e
    Infraestructura
    Negligencia / Institucional / Personal
    Umbral Medio Riesgo
    Umbral Alto Riesgo

    Probalidad de Amenaza

    Pgina 5

    #DIV/0!

    Sucesos de origen
    fsico / Datos e
    Informacin
    #DIV/0!

    Sucesos de origen
    fsico / Sistemas e
    Infraestructura
    #DIV/0!

    #DIV/0!

    #DIV/0!

    #DIV/0!

    Criminalidad / Poltico /
    Personal

    #DIV/0!

    Negligencia /
    Institucional / Datos e
    Informacin
    #DIV/0!

    Negligencia /
    Institucional / Sistemas
    e Infraestructura
    #DIV/0!

    #DIV/0!

    #DIV/0!

    #DIV/0!

    Sucesos de origen
    fsico / Personal

    Negligencia /
    Institucional / Personal
    #DIV/0!
    #DIV/0!

    Fuente
    Valoracin

    Escala

    Ninguna
    Baja
    Mediana
    Alta

    1
    2
    3
    4

    Valor_min Valor_max
    1
    4
    8
    12

    3
    6
    9
    16

    Page 6

    Lineas
    x
    1.0
    1.1
    1.2
    1.3
    1.4
    1.5
    1.6
    1.8
    1.8
    1.9
    2.0
    2.1
    2.2
    2.3
    2.4
    2.5
    2.6
    2.7
    2.8
    2.9
    3.0
    3.1
    3.2
    3.3
    3.4
    3.5
    3.6
    3.7
    3.8
    3.9
    4.0

    Umbral
    Medio
    Riesgo
    7
    y
    7.0
    6.4
    5.8
    5.4
    5.0
    4.7
    4.4
    4.0
    3.9
    3.7
    3.5
    3.3
    3.2
    3.0
    2.9
    2.8
    2.7
    2.6
    2.5
    2.4
    2.3
    2.3
    2.2
    2.1
    2.1
    2.0
    1.9
    1.9
    1.8
    1.8
    1.8

    Fuente
    Umbral
    Alto
    Riesgo
    10.5
    y
    10.5
    9.5
    8.8
    8.1
    7.5
    7.0
    6.6
    6.0
    5.8
    5.5
    5.3
    5.0
    4.8
    4.6
    4.4
    4.2
    4.0
    3.9
    3.8
    3.6
    3.5
    3.4
    3.3
    3.2
    3.1
    3.0
    2.9
    2.8
    2.8
    2.7
    2.6

    Page 7

    También podría gustarte