Está en la página 1de 1

Código: A3-02-F-05

Versión: 01
MATRIZ DE RIESGO SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - SGSI
Pagina: Ver (Pie de pagina)

Proceso Prestación de Servicios de Calibración y Ensayos Tipo de Proceso Misional Macroproceso Gestión de Servicios tecnológicos en Metrología

RIESGO INHERENTE EVALUACIÓN DEL RIESGO RESIDUAL RIESGO RESIDUAL

CRITERIOS ERCA OPCIÓN DE


IDENTIFICADOR VALOR (PXI) ( FRECUENCIA DE FECHA DE
ACTIVO RIESGO CAUSA EFECTO - CONSECUENCIA (Evitar, Reducir, Compartir, CONTROLES - INM TIPO DE CONTROL HERRAMIENTAS PARA
MANUALES,
EFECTIVIDAD DEL
RESPONSABLES DEL
EL CONTROL ES El CONTROL ES EJECUCIÓN DEL TOTAL DE LA
PROBABILIDAD IMPACTO MANEJO REGISTROS RESPONSABLE
DE RIESGO PROBABILIDA INFORMACIÓN INSTRUCTIVOS O CONTROL Y PONDERACIÓN DE (SEGÚN (SEGÚN VALORACIÓN DESPUÉS DE CONTROL TERMINACION.
IMPACTO Asumir) EJERCER CONTROL
PROCEDIMIENTOS
CONTROL
SEGUIMIENTO
AUTOMATICO MANUAL CONTROL Y
CONTROLES
PONDERACIÓN DEL
PONDERACIÓN DE PONDERACIÓN DE ( NIVEL DE RIESGO)
(ACCIONES)
D ANTES DE ( 10 Puntos) ( 30 Puntos) (15 Puntos) (15 Puntos) SEGUIMIENTO RIESGO
( 15 Puntos) ( 5 Puntos) CONTROLES) CONTROLES)
CONTROLES) ( 15 Puntos)

Irregularidades encontradas en el proceso de Calibración de Equipos


Alteración o eliminación de la información del deben ser reportadas a control interno disciplinario o a quien Reporte a Control
Preventivo 10 15 30 5 0 15 0 75 Actas de Reunión
proceso de Calibración de Equipos corresponda antes de generar una sanción o amonestación. Interno
EVITAR EL RIESGO por medio Elaboración de Verificar Roles y

RIESGO ALTO
Indisponibilidad Robo de información sensible del proceso de Acceso a la información y a las funciones de los sistemas de las
Perdida de la continuidad del negocio,
calibración de equipos de acciones de control aplicaciones, se debe restringir su acceso. Preventivo 10 15 0 5 0 15 0 45 reportes de Responsabilidade
del Servicio de servicios afectados para los usuarios Responsable del
R1 4 5 20 preventivo que permita reducir 175 4 3 12 acceso a los s 2016-12-20
Calibración de internos y externos. proceso
Demora en el envió de la Información al la probabilidad de la ocurrencia Procedimientos establecidos y documentados para detectar o corregir
Equipos. Afectación a toda la Entidad Correctivo 10 15 0 5 0 15 0 45 Reporte de fallas Documento
usuario del riesgo detectado. las fallas en el proceso rápidamente
Recurso Humano

Pérdida de la información durante la Desarrollo de campañas de concienciación en temas de seguridad de Reuniones,


recolección de datos en el proceso de la información en el proceso de Calibración de Equipos Preventivo 10 0 0 0 0 0 0 10 campañas, Actas de Reunión
Calibración de Equipos
Talleres y foros
Concientización del personal respecto a la seguridad de la información Reuniones,
El encargado del proceso no se encuentra
en procedimientos concernientes a la calibración de los equipos. Preventivo y Correctivo 10 0 0 0 0 0 0 10 campañas, Actas de Reunión
disponible. Subdirector de
Falta de personal Talleres y foros
EVITAR EL RIESGO por medio Establecer con la subdirección un mecanismo de suplencia de Actas, listado de Metrología de

RIESGO ALTO
debidamente Ausencia de transferencia de conocimiento y Fallas en procesos de seguridad de la
de acciones de control personal a los laboratorios Preventivo 10 15 30 5 0 15 0 60 Capacitaciones asistencias, Física y
autorizado para la falta de capacitación en los laboratorios información, perdida o robo de
R2 4 4 16 preventivo que permita reducir 190 4 2 8 Informes Subdirector de 2016-12-20
realización de las Inadecuada manipulación de los instrumentos información de la entidad, Daños a los Capacitaciones, procedimientos establecido para la manipulación de Reuniones,
bienes o propiedad del cliente. la probabilidad de la ocurrencia Metrología
actividades del calibrados por parte de personal ajeno al área instrumentos calibrados y acompañamiento por parte del responsable Preventivo 10 15 30 5 0 15 0 60 campañas, Actas de Reunión
encargada del riesgo detectado. Química y
proceso. del proceso. Talleres y foros
Capacitaciones, procedimientos establecido para la manipulación de Reuniones, Actas, listado de Biomedicina.
No seguir el protocolo adecuado para el
equipos. Preventivo 10 15 30 5 0 15 0 60 campañas, asistencias,
manejo y manipulación de equipos.
Talleres y foros Informes
Interrupción

RIESGO EXTREMO
completa en la
REDUCIR EL RIESGO por
continuidad del
medio de acciones de control Elaborar el plan Responsable de
negocio ( Daño en Eventos catastróficos: inundaciones, Interrupción completa de los servicios Centro de datos alterno en donde se espera reconstituir y reanudar a
R3 3 5 15 correctivas y preventivas que Preventivo 0 0 0 0 0 0 0 0 0 3 5 15 de continuidad de Documentos la seguridad de la 2016-12-20
Data Center, incendios, terremotos. ofrecidos por el INM la operación normal de los procesos vitales de la entidad
permita evitar la ocurrencia del Negocio. Información
Servicios
Servicios

riesgo
Tecnológicos y
pérdida de la
Diseño Diseño y/o
EVITAR EL RIESGO por medio

RIESGO ALTO
inadecuado y/o prototipo de
Perdida de imagen ante los Usuarios del de acciones de control Formatos
inexistente para la Ofertar servicios que no cuentan con un Procedimiento "E1-02-P-07, Diseño y desarrollo productos y servicios servicios nuevos,
R4 país, incumplimiento en las condiciones 4 3 12 preventivo que permita reducir Preventivo 10 15 0 0 0 15 0 40 40 4 3 12 establecidos en elResponsable del proceso 2016-12-20
prestación de soporte y diseño previo. nuevos". de acuerdo con el
del servicio la probabilidad de la ocurrencia procedimiento.
nuevos servicios procedimiento E1-
del riesgo detectado.
en laboratorios 02-P-07 Diseño y
Realizar un
Incumplimiento en las condiciones del servicio Aseguramiento o hardening y respaldo de los archivos de control de Análisis de los
Preventivo 10 0 0 5 0 0 0 15 monitoreo al
para el cliente acceso a los usuarios Datos y Reportes
Aseguramiento
Pérdida o corrupción de los datos Copias de seguridad, para tener respaldos y evitar daños, redundancia Copias de Registro de
sistematizados del proceso de calibración de EVITAR EL RIESGO por medio cíclica. Inclusión en el plan de Backus de todo el servidor para hacer Preventivo 10 15 30 5 15 0 15 75 seguridad en Copias de

RIESGO ALTO
Afectación de la equipos. de acciones de control rollback servidores de alta Seguridad
Perdida de la información y posibles Responsable del
R5 integridad de los 4 4 16 preventivo que permita reducir 125 4 2 8 2016-12-20
Ataques a la integridad de los datos. Registro de proceso
datos Insuficiencia en el aseguramiento de la base la probabilidad de la ocurrencia Crear procesos de mantenimiento mensual de las BD y depuración de Monitoreo de
Datos/Información

Preventivo 10 15 0 0 0 0 0 25 Monitoreo de
de datos del riesgo detectado. índices. Monitoreo de posibles intrusiones indebidas a las BD Bases de Datos
Bases de Datos

Documentar la
Niveles de seguridad de la información
Fortalecimiento de la seguridad en perfiles, y acceso a aplicaciones Preventivo 10 0 0 0 0 0 0 10 seguridad en Documento
inadecuada
perfiles de
Preventivo y Detective
Realizar el
Actas y

RIESGO EXTREMO
Afectación de la Falla en el software del repositorio Backus EVITAR EL RIESGO por medio Realización del Mantenimiento adecuado Correctivo 10 0 0 5 0 0 0 15 contrato de
Documentos
disponibilidad del Afectación a la disponibilidad de acceso de acciones de control mantenimiento
Realizar el Responsable del
R6 respaldo de la al servicio o recurso del proceso de 4 4 16 preventivo que permita reducir 25 4 4 16 Acta del 2016-12-20
Restauración de pruebas de información / Transporte, custodia y contrato de proceso
información en Corrupción de las cintas en el momento de calibración de equipos. la probabilidad de la ocurrencia procedimiento de
almacenamiento técnico para salvaguardar la información contenida Correctivo 10 0 0 0 0 0 0 10 transporte y
los procesos las copias y las restauración del Backus del riesgo detectado. salida de las
en las cintas. custodia de cintas
cintas
de servidores
Funcionamiento
REDUCIR EL RIESGO por Monitoreo preventivo diario para determinar anormalidades en los Reporte de

RIESGO BAJO
Aplicaciones

inadecuado del Preventivo 10 15 30 5 15 0 15 75 Monitoreo de Logs


Software y/o

Bloqueo a nivel de servicios de la aplicación


medio de acciones de control diferentes servicios de la aplicación y los servidores. Actividad
aplicaciones de Mal funcionamiento del software, retraso Responsable del
R7 4 3 12 correctivas y preventivas que 150 4 1 4 2016-12-20
software que en los procesos asociados a la aplicación proceso
Bloqueos a nivel de logs de aplicaciones permita evitar la ocurrencia del Realizar monitoreo diario del espacio en disco para evitar que el Reporte de
afectan el Preventivo 10 15 30 5 15 0 15 75 monitoreo de Logs
( congelamiento o intrusión) riesgo tamaño de los logs desborde el espacio Actividad
proceso de
Se debe contar con el correspondiente plan de cambio y actualización Elaboración del
Obsolescencia Tecnológica Preventivo 10 0 0 5 0 0 0 15 Documento
de equipos para evitar rezagos tecnológicos no programados plan de cambio y
REDUCIR EL RIESGO por Reporte Mensual

RIESGO ALTO
Indisponibilidad Perdida de la continuidad del negocio, Reporte de
Equipos Informáticos (Hardware)

Falta de espacio por alto consumo de recursos medio de acciones de control Monitoreo diario con la herramienta disponible para tal fin. Preventivo 10 15 30 5 15 0 15 75 de análisis del
del servidor o servicios afectados para los usuarios Actividad Responsable del
R8 4 4 16 correctivas y preventivas que 135 4 2 8 monitoreo 2016-12-20
equipos de internos y externos. proceso
Afectación a toda la Entidad permita evitar la ocurrencia del Reporte Mensual
computo
Puertos abiertos y servicios asociados que riesgo de análisis del Reporte de
Monitoreo diario con la herramienta disponible para tal fin. Preventivo 10 15 0 5 15 0 15 45
pueden causar la caída o falla de servidores monitoreo Actividad
destinado para la

RIESGO EXTREMO RIESGO MODERADO


Reporte Semanal
EVITAR EL RIESGO por medio Realizar los correspondientes Backus para liberar espacio. Tareas Reporte de
Saturación de capacidad de almacenamiento. Preventivo 10 15 30 5 15 0 15 75 de Backus de
Funcionamiento de acciones de control programadas y monitoreadas Actividad
servidores. Responsable del
R9 inadecuado del Perdida de información 3 4 12 preventivo que permita reducir 150 3 2 6 2016-12-20
Reporte Semanal proceso
almacenamiento la probabilidad de la ocurrencia Contactar al proveedor para que atienda el servicio en discos de de la ocupación Reporte de
Reporte de alarmas en los arreglos de discos del riesgo detectado. Preventivo 10 15 30 5 15 0 15 75
servidores de Discos de Actividad
Servidores.
Ausencia de
Comunicaciones

integridad de la REDUCIR EL RIESGO por


información en medio de acciones de control
Redes de

Ataques informáticos frente a la seguridad de Perdida, robo o mala utilización de la Monitoreo preventivo para determinar anormalidades, fortaleciendo la Reporte Diario del Logs, y Reporte Responsable del
R10 las 4 5 20 correctivas y preventivas que Preventivo 10 0 0 0 0 0 0 10 17 4 5 20 2016-12-20
la información. información. seguridad activa de la red. Trafico de la Red. de la Actividad proceso
comunicaciones permita evitar la ocurrencia del
para el desarrollo riesgo
de los procesos