MATRIZ DE RIESGOS

Valoración Valoración ¿Disminuye

Evaluación ¿Disminuye Valoración Valoración Valoración
ITEM Descripción Riesgo preliminar preliminar
preliminar Riesgo
Estrategias Aplicables nivel
nivel impacto? Probabilidad Impacto riesgo
Opciones
probabilidad Impacto probabilidad?

Estaciones de trabajo,
servidores, equipos de red, que Evitar el riesgo, se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible.
1 3 3 Moderado 3 3 Moderado
estén infectados con malware los Riesgos de Impacto leve y Probabilidad alta se previenen.
desde su fabricación.

Reducir, Compartir o transferir el riesgo. Cuando el riesgo tiene una Probabilidad baja y Impacto catastrófico se
Ataque por acceso físico a los debe tratar de compartir el riesgo y evitar la entidad en caso de que éste se presente. Siempre que el riesgo es
2 5 3 Importante 5 3 Importante
servidores calificado con Impacto catastrófico la Entidad debe diseñar planes de contingencia, para protegerse en caso de su
ocurrencia.

Desastres naturales que

Evitar el riesgo, se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible.
3 puedan provocar la interucción 3 3 Moderado 3 3 Moderado
los Riesgos de Impacto leve y Probabilidad alta se previenen.
de uno o varios servicios.

Usuarios de red sin permisos Evitar el riesgo, se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible.
4 3 3 Moderado 3 3 Moderado
en servidor de instaladores los Riesgos de Impacto leve y Probabilidad alta se previenen.

Falta de politicas de seguridad

que definan claramente los
5 parametros y lineamientos de #N/A 0 0 #N/A #N/A
seguridad para el uso de
contraseñas.

Robo de información físico por

6 puertos USB o correos #N/A 0 0 #N/A #N/A
electrónicos

Configuracion de equipos de
7 trabajo, con errores en la #N/A 0 0 #N/A #N/A
parametrizacion.

Falta de diseño de los

8 protocolos de internet, Falta de #N/A 0 0 #N/A #N/A
aplicación de politicas

Debilidades en los dispositivos

9 #N/A 0 0 #N/A #N/A
de comunicación de red

10 #N/A 0 0 #N/A #N/A

Incorrecta segregaciòn de
funciones para las aplicaciones
solicitadas.

Pérdida o fuga de Información

11 #N/A 0 0 #N/A #N/A
Inclumplimiento polìticas de
Seguridad de la Información

Fraude

Suplantación de identidad

12 indisponibilidad de canales de #N/A 0 0 #N/A #N/A

Datos

Manuales y procedimientos
desactualizados, falta de base
13 #N/A 0 0 #N/A #N/A
de conocimiento y definicion de
protocolos

SO-S996-DOC-01 / V 1.0
 Muy alta 9 9 18 27 36

Alta 7 7 14 21 28

Moderada 5 5 10 15 20
PROBABILIDAD

Baja 3 3 6 9 12

Muy Baja 1 1 2 3 4
1 2 3 4

CATASTRÓFICO
DESPRECIABLE

MARGINAL

CRÍTICO
IMPACTO

Probabilidad

SO-S996-DOC-01 / V 1.0
 9

SO-S996-DOC-01 / V 1.0
 Combinaciones
Nivel de
Impacto Producto Resultado T
riesgo

1 1 3% Bajo Aceptable

2 2 6% Bajo Aceptable

3 3 8% Bajo Tolerable

1 3 8% Bajo Tolerable

4 4 11% Bajo Tolerable

1 5 14% Bajo Tolerable

2 6 17% Bajo Tolerable1

1 7 19% Medio Moderado

3 9 25% Medio Moderado

1 9 25% Medio Moderado

2 10 28% Medio Moderado

4 12 33% Medio Moderado

2 14 39% Medio Importante

3 15 42% Medio Importante

SO-S996-DOC-01 / V 1.0
2 18 50% Alto Importante

4 20 56% Alto Importante1

3 21 58% Alto Importante1

3 27 75% Alto Inaceptable

4 28 78% Alto Inaceptable

4 36 100% Alto Inaceptable

SO-S996-DOC-01 / V 1.0
 Combinaciones
Tratamiento

Asumir el riesgo. Permite a la Entidad asumirlo, es decir, el riesgo se encuentra en un nivel que puede aceptarlo sin necesidad de tomar otras medidas de control diferentes a las que se poseen.

Asumir el riesgo. Permite a la Entidad asumirlo, es decir, el riesgo se encuentra en un nivel que puede aceptarlo sin necesidad de tomar otras medidas de control diferentes a las que se poseen.

Asumir o reducir el riesgo. se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible.

Asumir o reducir el riesgo. se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible.

Asumir o reducir el riesgo. se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible. Cuando la Probabilidad del riesgo es media y su Impacto leve, se debe realizar u
análisis del costo beneficio con el que se pueda decidir entre reducir el riesgo, asumirlo o compartirlo.

Asumir o reducir el riesgo. se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible. Cuando la Probabilidad del riesgo es media y su Impacto leve, se debe realizar u
análisis del costo beneficio con el que se pueda decidir entre reducir el riesgo, asumirlo o compartirlo.

Evitar el riesgo, se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible. los Riesgos de Impacto leve y Probabilidad alta se previenen.

Evitar el riesgo, se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible. los Riesgos de Impacto leve y Probabilidad alta se previenen.

Evitar el riesgo, se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible. los Riesgos de Impacto leve y Probabilidad alta se previenen.

Reducir, Evitar, Compartir o transferir el riesgo. se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible. también es viable combinar estas medidas con evitar el riesg
cuando éste presenta una Probabilidad alta y media, y el Impacto es moderado o catastrófico. los Riesgos con Impacto moderado y Probabilidad media, se reduce o se comparte el riesgo, si es posible.

Reducir, Evitar, Compartir o transferir el riesgo. se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible. también es viable combinar estas medidas con evitar el riesg
cuando éste presenta una Probabilidad alta y media, y el Impacto es moderado o catastrófico. los Riesgos con Impacto moderado y Probabilidad media, se reduce o se comparte el riesgo, si es posible.

Reducir, Evitar, Compartir o transferir el riesgo. se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible. también es viable combinar estas medidas con evitar el riesg
cuando éste presenta una Probabilidad alta y media, y el Impacto es moderado o catastrófico. los Riesgos con Impacto moderado y Probabilidad media, se reduce o se comparte el riesgo, si es posible.

Reducir, Compartir o transferir el riesgo. Cuando el riesgo tiene una Probabilidad baja y Impacto catastrófico se debe tratar de compartir el riesgo y evitar la entidad en caso de que éste se presente. Siemp
que el riesgo es calificado con Impacto catastrófico la Entidad debe diseñar planes de contingencia, para protegerse en caso de su ocurrencia.

Reducir, Compartir o transferir el riesgo. Cuando el riesgo tiene una Probabilidad baja y Impacto catastrófico se debe tratar de compartir el riesgo y evitar la entidad en caso de que éste se presente. Siemp
que el riesgo es calificado con Impacto catastrófico la Entidad debe diseñar planes de contingencia, para protegerse en caso de su ocurrencia.

SO-S996-DOC-01 / V 1.0
 Reducir, Compartir o transferir el riesgo. Cuando el riesgo tiene una Probabilidad baja y Impacto catastrófico se debe tratar de compartir el riesgo y evitar la entidad en caso de que éste se presente. Siemp
que el riesgo es calificado con Impacto catastrófico la Entidad debe diseñar planes de contingencia, para protegerse en caso de su ocurrencia.

Reducir, Evitar, Compartir o transferir el riesgo. se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible. También es viable combinar estas medidas con evitar el ries
cuando éste presenta una Probabilidad alta y media, y el Impacto es moderado o catastrófico.

Reducir, Evitar, Compartir o transferir el riesgo. se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible. También es viable combinar estas medidas con evitar el ries
cuando éste presenta una Probabilidad alta y media, y el Impacto es moderado o catastrófico.

Reducir, Evitar, Compartir o transferir el riesgo. Se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible. También es viable combinar estas medidas con evitar el rie
cuando éste presenta una Probabilidad alta y media, y el Impacto es moderado o catastrófico. Siempre que el riesgo es calificado con Impacto catastrófico la Entidad debe diseñar planes de contingencia, p
protegerse en caso de su ocurrencia.

Evitar, Reducir, Compartir o transferir el riesgo. Es aconsejable eliminar la actividad que genera el riesgo en la medida que sea posible, de lo contrario se deben implementar controles de prevención para e
la Probabilidad del riesgo, de Protección para disminuir el Impacto o compartir o transferir el riesgo si es posible a través de pólizas de seguros u otras opciones que estén disponibles. Siempre que el riesg
sea calificado con Impacto catastrófico la Entidad debe diseñar planes de contingencia, para protegerse en caso de su ocurrencia.

Evitar, Reducir, Compartir o transferir el riesgo. Es aconsejable eliminar la actividad que genera el riesgo en la medida que sea posible, de lo contrario se deben implementar controles de prevención para e
la Probabilidad del riesgo, de Protección para disminuir el Impacto o compartir o transferir el riesgo si es posible a través de pólizas de seguros u otras opciones que estén disponibles. Siempre que el riesg
sea calificado con Impacto catastrófico la Entidad debe diseñar planes de contingencia, para protegerse en caso de su ocurrencia.

SO-S996-DOC-01 / V 1.0