RR.

HH
Finanzas

Respaldos
Fotos, etc.)

Chat interno

Chat externo
institucionales
473280461.xls

Correo electrónico
Servicios bancarios
(Proyectos, Planes,

Página Web externa

Datos e Información

Informática (Planes,
Documentación, etc.)
Documentación, etc.)

Datos e información no
Directorio de Contactos

Navegación en Internet
Bases de datos internos

Bases de datos externos

Infraestructura (Planes,
Productos institucionales
(Investigaciones, Folletos,
Documentos institucionales

Bases de datos colaborativos

Evaluaciones, Informes, etc.)

Llamadas telefónicas internas

Base de datos de Contraseñas

Llamadas telefónicas externas

Página Web interna (Intranet)
Matriz de Análisis de Riesgo

Confidencial, Privado, Sensitivo

Obligación por ley / Contrato / Convenio

Clasificación

Costo de recuperación (tiempo,

económico, material, imagen,
emocional)
2 = Bajo

4 = Alto]
3 = Mediano
Magnitud de Daño:
[1 = Insignificante

Allanamiento (ilegal, legal)

Persecución (civil, fiscal, penal)

Orden de secuestro / Detención

Sabotaje (ataque físico y

electrónico)

Daños por vandalismo

Extorsión

Fraude / Estafa

Robo / Hurto (físico)

Robo / Hurto de información

electrónica
Actos originados por la criminalidad común y motivación política

Intrusión a Red interna

Infiltración
Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]

Virus / Ejecución no autorizado de

programas

Violación a derechos de autor

Incendio

Inundación / deslave

Sismo
Sucesos de origen físico

Polvo

Falta de ventilación

Electromagnetismo

Page 1
1_Datos

Sobrecarga eléctrica

Falla de corriente (apagones)

Falla de sistema / Daño disco duro

Falta de inducción, capacitación y

sensibilización sobre riesgos

Mal manejo de sistemas y

herramientas

Utilización de programas no
autorizados / software 'pirateado'

Falta de pruebas de software nuevo

con datos productivos

Perdida de datos

Infección de sistemas a través de

unidades portables sin escaneo

Manejo inadecuado de datos

críticos (codificar, borrar, etc.)

Unidades portables con

información sin cifrado

Transmisión no cifrada de datos

críticos

Manejo inadecuado de contraseñas

(inseguras, no cambiar,
compartidas, BD centralizada)

Compartir contraseñas o permisos

a terceros no autorizados

Transmisión de contraseñas por

teléfono

Exposición o extravío de equipo,

Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales

unidades de almacenamiento, etc

Sobrepasar autoridades

Falta de definición de perfil,

privilegios y restricciones del
personal

Falta de mantenimiento físico

(proceso, repuestos e insumos)

Falta de actualización de software

(proceso y recursos)

Fallas en permisos de usuarios

(acceso a archivos)

Acceso electrónico no autorizado a

sistemas externos

Acceso electrónico no autorizado a

sistemas internos

Red cableada expuesta para el

acceso no autorizado

Red inalámbrica expuesta al acceso

no autorizado

Dependencia a servicio técnico

externo

Falta de normas y reglas claras (no

institucionalizar el estudio de los
riesgos)
Falta de mecanismos de
verificación de normas y reglas /
Análisis inadecuado de datos de
control

Ausencia de documentación
 datos

Celulares

Vehículos
Portátiles

proyectos
Servidores
Cortafuego

Impresoras

convencional)
Computadoras

personal, etc.)
473280461.xls

Memorias portátiles
(router, switch, etc.)

reunión, Bodega, etc.)

Sala de espera, Sala de
(contabilidad, manejo de

Programas de manejo de

(correo electrónico, chat,

PBX (Sistema de telefonía

llamadas telefónicas, etc.)
Equipos de la red cableada
Sistemas e Infraestructura

Programas de comunicación
Programas de producción de

Edificio (Oficinas, Recepción,

Programas de administración
Equipos de la red inalámbrica
(router, punto de acceso, etc.)
Matriz de Análisis de Riesgo

Acceso exclusivo

Acceso ilimitado
Clasificación

Costo de recuperación (tiempo,

económico, material, imagen,
emocional)
2 = Bajo

4 = Alto]
3 = Mediano
Magnitud de Daño:
[1 = Insignificante

Allanamiento (ilegal, legal)

0

Persecución (civil, fiscal, penal)

0

Orden de secuestro / Detención

Sabotaje (ataque físico y

0

electrónico)
0

Daños por vandalismo

0

Extorsión
0

Fraude / Estafa
0

Robo / Hurto (físico)

Robo / Hurto de información

0

electrónica
Actos originados por la criminalidad común y motivación política

Intrusión a Red interna

0

Infiltración
Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]

Virus / Ejecución no autorizado de

0

programas
0

Violación a derechos de autor

0

Incendio
0

Inundación / deslave
0

Sismo
Sucesos de origen físico

Polvo
0

Falta de ventilación
0

Electromagnetismo

Page 2
2_Sistemas

Sobrecarga eléctrica
0

Falla de corriente (apagones)

0

Falla de sistema / Daño disco duro

Falta de inducción, capacitación y

0

sensibilización sobre riesgos

Mal manejo de sistemas y

0

herramientas

Utilización de programas no
0

autorizados / software 'pirateado'

Falta de pruebas de software nuevo

0

con datos productivos

0

Perdida de datos

Infección de sistemas a través de

0

unidades portables sin escaneo

Manejo inadecuado de datos

0

críticos (codificar, borrar, etc.)

Unidades portables con

0

información sin cifrado

Transmisión no cifrada de datos

0

críticos

Manejo inadecuado de contraseñas

0

(inseguras, no cambiar,
compartidas, BD centralizada)

Compartir contraseñas o permisos

0

a terceros no autorizados

Transmisión de contraseñas por

0

teléfono

Exposición o extravío de equipo,

0
Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales

unidades de almacenamiento, etc

0

Sobrepasar autoridades

Falta de definición de perfil,

0

privilegios y restricciones del

personal

Falta de mantenimiento físico

0

(proceso, repuestos e insumos)

Falta de actualización de software

0

(proceso y recursos)

Fallas en permisos de usuarios

0

(acceso a archivos)

Acceso electrónico no autorizado a

0

sistemas externos

Acceso electrónico no autorizado a

0

sistemas internos

Red cableada expuesta para el

0

acceso no autorizado

Red inalámbrica expuesta al acceso

0

no autorizado

Dependencia a servicio técnico

0

externo

Falta de normas y reglas claras (no

0

institucionalizar el estudio de los

riesgos)
Falta de mecanismos de
verificación de normas y reglas /
0

Análisis inadecuado de datos de

control
0

Ausencia de documentación
 propio
interno

externo
Personal

Recepción
Administración
Junta Directiva
473280461.xls

Personal técnico

Piloto / conductor

Soporte técnico externo

Dirección / Coordinación

Servicio de mensajería de
Servicio de mensajería de
Servicio de limpieza externo
Servicio de limpieza de planta
Informática / Soporte técnico
Matriz de Análisis de Riesgo

Imagen pública de alto perfil,

indispensable para funcionamiento
institucional

Perfil medio, experto en su área

Clasificación

Perfil bajo, no indispensable para

funcionamiento institucional
2 = Bajo

4 = Alto]
3 = Mediano
Magnitud de Daño:
[1 = Insignificante

Allanamiento (ilegal, legal)

0

Persecución (civil, fiscal, penal)

0

Orden de secuestro / Detención

Sabotaje (ataque físico y

0

electrónico)
0

Daños por vandalismo

0

Extorsión
0

Fraude / Estafa
0

Robo / Hurto (físico)

Robo / Hurto de información

0

electrónica
Actos originados por la criminalidad común y motivación política

Intrusión a Red interna

0

Infiltración
Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]

Virus / Ejecución no autorizado de

0

programas
0

Violación a derechos de autor

0

Incendio
0

Inundación / deslave
0

Sismo
Sucesos de origen físico

Polvo
0

Falta de ventilación
0

Electromagnetismo

Page 3
3_Personal

Sobrecarga eléctrica
0

Falla de corriente (apagones)

0

Falla de sistema / Daño disco duro

Falta de inducción, capacitación y

0

sensibilización sobre riesgos

Mal manejo de sistemas y

0

herramientas

Utilización de programas no
0

autorizados / software 'pirateado'

Falta de pruebas de software nuevo

0

con datos productivos

0

Perdida de datos

Infección de sistemas a través de

0

unidades portables sin escaneo

Manejo inadecuado de datos

0

críticos (codificar, borrar, etc.)

Unidades portables con

0

información sin cifrado

Transmisión no cifrada de datos

0

críticos

Manejo inadecuado de contraseñas

0

(inseguras, no cambiar,
compartidas, BD centralizada)

Compartir contraseñas o permisos

0

a terceros no autorizados

Transmisión de contraseñas por

0

teléfono

Exposición o extravío de equipo,

0
Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales

unidades de almacenamiento, etc

0

Sobrepasar autoridades

Falta de definición de perfil,

0

privilegios y restricciones del

personal

Falta de mantenimiento físico

0

(proceso, repuestos e insumos)

Falta de actualización de software

0

(proceso y recursos)

Fallas en permisos de usuarios

0

(acceso a archivos)

Acceso electrónico no autorizado a

0

sistemas externos

Acceso electrónico no autorizado a

0

sistemas internos

Red cableada expuesta para el

0

acceso no autorizado

Red inalámbrica expuesta al acceso

0

no autorizado

Dependencia a servicio técnico

0

externo

Falta de normas y reglas claras (no

0

institucionalizar el estudio de los

riesgos)
Falta de mecanismos de
verificación de normas y reglas /
0

Análisis inadecuado de datos de

control
0

Ausencia de documentación
473280461.xls Analisis_Promedio

Análisis de Riesgo promedio

Probabilidad de Amenaza

Criminalidad y Sucesos de Negligencia y

Político origen físico Institucional

Datos e 0.0 0.0 0.0

Información

Magnitud Sistemas e 0.0 0.0 0.0

de Daño Infraestructura

Personal 0.0 0.0 0.0

Página 4
 473280461.xls Analisis_Factores

Criminalidad y Político / Sucesos de origen Sucesos de origen Negligencia y Negligencia y

Criminalidad y Político / Criminalidad y Político / Sucesos de origen Negligencia y
Etiqueta Sistemas e físico / Datos e físico / Sistemas e Institucional / Datos e Institucional / Sistemas
Datos e Información Personal físico / Personal Institucional / Personal
Infraestructura Información Infraestructura Información e Infraestructura

X #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0!

Y #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0!

Análisis de Factores de Riesgo

Criminalidad y Político / Datos e

Información
Criminalidad y Político / Sistemas e
Infraestructura
Criminalidad y Político / Personal
Sucesos de origen físico / Datos e
Magnitud de Daño

Información
Sucesos de origen físico / Sistemas e
Infraestructura
Sucesos de origen físico / Personal
Negligencia y Institucional / Datos e
Información
Negligencia y Institucional / Sistemas e
Infraestructura
Negligencia y Institucional / Personal
Umbral Medio Riesgo
Umbral Alto Riesgo

Probalidad de Amenaza

Página 5
 Fuente

Umbral
Valoración Escala Valor_min Valor_max Lineas Medio
Riesgo
Ninguna 1 1 3 7
Baja 2 4 6 x y
Mediana 3 8 9 1.0 7.0
Alta 4 12 16 1.1 6.4
1.2 5.8
1.3 5.4
1.4 5.0
1.5 4.7
1.6 4.4
1.8 4.0
1.8 3.9
1.9 3.7
2.0 3.5
2.1 3.3
2.2 3.2
2.3 3.0
2.4 2.9
2.5 2.8
2.6 2.7
2.7 2.6
2.8 2.5
2.9 2.4
3.0 2.3
3.1 2.3
3.2 2.2
3.3 2.1
3.4 2.1
3.5 2.0
3.6 1.9
3.7 1.9
3.8 1.8
3.9 1.8
4.0 1.8

Page 6
 Fuente

Umbral
Alto
Riesgo
10.5
y
10.5
9.5
8.8
8.1
7.5
7.0
6.6
6.0
5.8
5.5
5.3
5.0
4.8
4.6
4.4
4.2
4.0
3.9
3.8
3.6
3.5
3.4
3.3
3.2
3.1
3.0
2.9
2.8
2.8
2.7
2.6

Page 7