Está en la página 1de 11

<<Logotipo de NewCo>>

R2
CAMBIO SIGNIFICATIVO R4
R3 R1
R5

MATRIZ DE RIESGOS
(Criticidad)

Crítico
(Más de S/.486M)
500 100 165 500 1000 6000

Alto
(Hasta S/.486M)
405 81 134 405 810 4860
IM
P
A Relevante
180 36 59 180 360 2160
C (Hasta S/.216M)
T
O
Moderado
(Hasta S/.24M)
20 4 7 20 40 240

Bajo
(Hasta S/.6M)
5 1 2 5 10 60

0.2 0.3 1 2 12
Raro Improbable Posible Probable Casi Certeza
(Cada 5 años o más) (Cada 3 años) (Cada año) (Cada 6 meses) (Cada mes)

TASA DE OCURRENCIA

Comentarios u Observaciones
Riesgo Operativo
<<Logotipo de NewCo>>

- Se realizó la evaluación de cambio significativo, considerando los 5 factores de riesgo operacional y no se han identificado riesgos relevantes:
Personas: No se han identificado riesgos relevantes
- El área responsable del cambio ha diseñado un cronograma de capacitación tanto para los responsables del monitoreo del servicio como para los responsables de la atención de incidentes y para los usuarios del
- El proceso de monitoreo y atención de incidentes se ha subcontratado, por lo tanto no ha sido necesaria la inclusión de personal adicional o especialista en el nuevo.
Procesos: No se han identificado riesgos relevantes
- No se han identificado cambios significativos en los procesos de monitoreo y atención de incidentes, los mismos se mantienen subcontratado con ITG Y MICROSOFT.
Tecnología: No se han identificado riesgos relevantes
- Los aspectos de confidencialidad, integridad y disponibilidad de la información que se maneja como parte de la implementación y operatividad del servicio han sido evaluados por Seguridad de Información y Cont
Relaciones con terceros: No se han identificado riesgos relevantes
- Se realizó la evaluación de criticidad de los nuevos servicios implementados como parte del proyecto: Office 365 (Microsoft) y Renovación, consultoría y soporte TI plataforma Microsoft (ITG), concluyéndose que e
es un servicio crítico, debido principalmente a que una falla o suspensión del servicio podría ocasionar perdidas no tolerables para la empresa, y que la información que el proveedor podría manejar se califica como
restringida cuya divulgación podría generar pérdidas económicas e impacto negativo en la reputación de la empresa.
- Se realizó la revisión del contrato corporativo firmado con MICROSOFT y se validó que este cuente con las cláusulas de administración de riesgos y los SLAS que nos aseguren el adecuado funcionamiento del se
Eventos externos: No se han identificado riesgos relevantes

Prevención e investigación de Fraudes.


- Se efectuaron las revisiones correspondientes al nuevo correo corporativo Office 365 y los aplicativos que ofrece; en relación a ello, se revisó las Políticas definidas para Office 365.
En conclusión, en relación a eventos de fraude interno y/o externo, se han determinado riesgos:

(i) Fuga de información mediante el correo corporativo Office 365.


(ii) Robo de credenciales de acceso al correo mediante ataque informático.

Riesgo de Mercado

Continuidad del Negocio


Se identificaron 2 riesgos, los cuales obtuvieron una criticidad clasificada como "Bajo", por lo cual no se han establecido planes de acción. Cabe resaltar que se disminuyó 1 nivel al impacto pa
- debido a que se cuenta con controles que mitigan el impacto de los mismos.

Adicionalmente se completó el Formato de "Revisión para Cambios Significativos" para determinar el impacto en las normativas de Continuidad del Negocio, identificando que no existe impac
actualización de normativas de Continuidad del Negocio, sin embargo se precisó que una vez que este servicio se encuentre desplegado para todos los usuarios de la red de agencias se deb
anexo de Activación
Seguridad de Aplicaciones en Contingencia del Plan de Recuperación de TI.
de la Información
-
<<Logotipo de NewCo>>

Cumplimiento

Riesgo de Mercado
-
<<Logotipo de NewCo>>

Los riesgos que requieren


establecer medidas de mitigación
con los Riesgos Relevantes
(Naranjas), Altos (Rojo) y Críticos
(Celeste)
<<Logotipo de NewCo>>

tención de incidentes y para los usuarios del office 365.

aluados por Seguridad de Información y Continuidad del Negocio.

aforma Microsoft (ITG), concluyéndose que el servicio Office 365


el proveedor podría manejar se califica como información

aseguren el adecuado funcionamiento del servicio.

Office 365.

ar que se disminuyó 1 nivel al impacto para ambos riesgos,

gocio, identificando que no existe impacto en la


s usuarios de la red de agencias se deberá actualizar el
<<Logotipo de NewCo>>

Evaluación de Riesgos.
Identificación y Medición de Riesgos, Controles y Tratamiento

UBICACIÓN IDENTIFICACIÓN DEL RIESGO

Código de Código Código


Área Macroproceso Proceso Tipo de Riesgo Riesgo de Riesgo Identificado Causa Evento Consecuencia Categoría de evento Origen Control
(WARO) Riesgo (WARO)
Prevención e Gestión Tecnológica Entrega y Soporte Riesgo Operacional R1 Actitud deshonesta de personal interno en el uso del Actitud deshonesta de fuga de información de pérdidas económicas y Fraude Interno Personas
Investigación de de Servicios de TI correo corporativo Office 365 y sus herramientas podría personal interno en el clientes de participación de
Fraudes / ocasionar fuga de información de clientes generando uso del correo mercado.
Seguridad de la pérdidas económicas y de participación de mercado. corporativo Office 365 y
Información sus herramientas

Prevención e Gestión Tecnológica Entrega y Soporte Riesgo Operacional R2 Ataque informático realizado por agentes externos Ataque informático robo de credenciales de exposición a la Fraude Externo Personas
Investigación de de Servicios de TI podría ocasionar robo de credenciales de acceso de realizado por agentes acceso de información interna de la
Fraudes / colaboradores del banco (correo y/u otros aplicativos) externos colaboradores del banco organización
Seguridad de la generando exposición a la información interna de la (correo y/u otros (colaboradores, clientes,
Información organización (colaboradores, clientes, procesos, aplicativos) procesos, normas, etc)
normas, etc)

Continuidad del Gestión Tecnológica Entrega y Soporte Riesgo Operacional R3 Demoras o fallas en el servicio brindado por el Demoras o fallas en el la falta de atención de posibles pérdidas Incidencias en el Relaciones con
Negocio de Servicios TI proveedor durante la atención de un incidente crítico servicio brindado por el las aprobaciones de los económicas por los negocio y fallas en los terceros
con el O365 podría ocasionar la falta de atención de las proveedor durante la créditos con intereses dejados de sistemas
aprobaciones de los créditos con excepciones y las atención de un incidente excepciones y las percibir (créditos); así
operaciones de Tesorería generando posibles pérdidas crítico con el O365 operaciones de como el costo de
económicas por los intereses dejados de percibir Tesorería oportunidad por las
(créditos); así como el costo de oportunidad por las operaciones de
operaciones de Tesorería. Tesorería.

Continuidad del Gestión Tecnológica Entrega y Soporte Riesgo Operacional R4 Demoras o fallas en el servicio brindado por el Demoras o fallas en el la falta de atención de posibles pérdidas Incidencias en el Relaciones con
Negocio de Servicios TI proveedor durante la atención de un incidente crítico servicio brindado por el las cancelaciones de los económicas por multas negocio y fallas en los terceros
con el O365 podría ocasionar la falta de atención de las proveedor durante la Depósitos a Plazo Fijo del ente regulador. sistemas
cancelaciones de los Depósitos a Plazo Fijo de Tesorería atención de un incidente de Tesorería
generando posibles pérdidas económicas por multas del crítico con el O365
ente regulador.

R5 Fallas en el diseño del proceso de atención de Relaciones con


incidentes del servicio office 365 podría ocasionar indisponibilidad del terceros
Fallas en el diseño del
indisponibilidad del servicio paralizando el proceso de servicio paralizando el pérdidas económicas
Riesgo proceso de atención de Ejecución, entrega y
otorgamiento de créditos con excepciones generando proceso de otorgamiento por los intereses
Operativo incidentes del servicio gestión de procesos
pérdidas económicas por los intereses dejados de de créditos con dejados de percibir.
office 365
percibir. excepciones

Página 7 de 11
IDENTIFICACION DE CONTROLES EXISTENTES

Disposición de
Código de Cargo de Manual/ Frecuencia de Documentos revisados como
Descripción del Control Existente Tipo de Control Evidencias de Control diferencias, Tipo de Impacto Impacto
Control Responsable Automático Control parte del control
excepciones
DLP Única regla: Detectar ingreso de número de
tarjeta

No se identificaron controles para este riesgo.

C1 El Analista de Monitoreo realiza el monitoreo mensual Analista de


del cumplimiento de los Acuerdos de Niveles de Monitoreo
Servicio (SLA) (disponibilidad del servicio) con el
proveedor crítico, teniendo como evidencia la
información compartida por el proveedor (portal web),
la cual será registrada en el "Formato Seguimiento de
la Gestión de Riego Operacional", que se enviará a
Riesgo Operativo mensualmente.
En caso de detectar incumplimiento de los SLAs, se
escalará al proveedor para coordinar el pago de la
penalidad establecida en el contrato.

C2 El Gerente de Área de Tesorería y Mercado de Gerente de Área


Capitales es responsable de asegurar el cumplimiento de Tesorería y
de las directivas para la ejecución de los Mercado de
procedimientos del Plan de Continuidad Operativa Capitales
para los productos y servicios vitales de Tesorería
(procesos manuales para apertura y cancelación de
cuentas), el cual es ejecutado por su personal clave
designado en caso de indisponibilidad del sistema.

Página 8 de 11
MEDICION DE LOS RIESGOS EXISTENTES

Tasa de
Sustento de Impacto Sustento de Tasa de Ocurrencia Criticidad Valor Criticidad
Ocurrencia

Página 9 de 11
TRATAMIENTO DEL RIESGO ACTUAL

Tratamiento Tasa de Área(s)


Valor Criticidad Área Responsable Fecha inicio de Fecha fin de
Adicional (Tipo Impacto Objetivo Ocurrencia Criticidad Objetivo Plan Reference Plan de Acción colaboradora(
Objetivo del Plan de Acción implementación implementación
de tratamiento) Objetivo s)

Página 10 de 11
RECOMENDACIONES

Área
Área
Recomendación Responsable
Responsable
colaborador

Nota: el impacto de los riesgos se calculó teniendo en cuenta el alcance de implementación


del 2019.

Alcance 2019: Todo Staff y cargos de Auxiliares en Agencia.


Alcance 2020: Demás cargos en agencia

Página 11 de 11