Cálculo Del Riesgo

MATRI
ANÁLISIS Y EVALUACIÓN DEL RIESGO
Riesgo Inherente
#REQUISITO /ANEXO
Riesgo Probabilidad Impacto Zona
NORMA
*Política de control de acceso.

*Restricción de acceso a la información.
*Políticas para la seguridad de la
información
*Etiquetado de la información .
*Equipos de usuario desatendido.
*Política de escritorio limpio y pantalla
limpia.
*Gestión de información de
autenticación secreta de usuarios.

información
*Gestión de información de
autenticación secreta de usuarios.
*Sistema de gestión de contraseñas
*Teletrabajo.
Zona Baja
Acceso no
autorizado a la 0.Despreciable 4.Mayor
información
Zona Baja
Acceso no
autorizado a la 0.Despreciable 4.Mayor
información
*Terminación o cambio de
responsabilidades de empleo.
* Clasificación de la información
* Etiquetado de la información.
* Políticas para la seguridad de la
información.
* Gestión de medios removibles
* Protección de registros
* Uso aceptable de los activos.
*Manejo de activos.
*Etiquetado de la información.
información.
*Políticas y procedimientos de
transferencia de información
*Términos y condiciones del empleo.
*Proceso disciplinario.
*Acuerdos de confidencialidad o de no
divulgación.
Fugas, daño,
Zona Baja
robo de *Contacto con las autoridades.

0.Despreciable 2.Menor *Contacto con grupos de interés
información y/o especial
fraude
* Roles y responsabilidades par la
seguridad de la información.
*Separación de deberes.
* Roles y responsabilidades par la

* Gestión de derechos de acceso
privilegiado
Políticas y procedimientos de
transferencia de información.
*Toma de conciencia, eduación y

formación en la seguridad de la
información.
*Controles de auditorías de sistemas de
información.
*Identificación de la legislación
aplicable y de los requisitos
contractuales
Falta
empoderamiento
Zona Alta
para el
cumplimiento de 2.Posible 4.Mayor
requisitos de
seguridad de la
información
*Privacidad y protección de
información de datos personales.
*Privacidad y protección de
información de datos personales.
*Protección contra amenazas externas y

ambientales.
*Controles contra códigos malicioso.
* Gestión de las vulnerabilidades
técnicas.
*Restricciones en la instalación de
software.
Zona Baja
Exposición a
ataques 0.Despreciable 4.Mayor
informáticos.

información
información
Planificación de la continuidad de la
Zona Moderada
Situaciones
adversas que
1.Improbable 4.Mayor
afecten
continuidad

ambientales.
ambientales.
*Seguridad de equipos y activos fuera

de las instalaciones
Robo de
Zona Baja
información
fuera de las 0.Despreciable 2.Menor
instalaciones de
SQL Software
Política sobre el uso de controles

criptográficos.
Reglamentación de controles
criptográficos.
Política sobre el uso de controles
criptográficos.
Reglamentación de controles
criptográficos.
*Roles y responsabilidades para la

seguridad de la información
*Términos y condiciones del empleo
* Responsabilidades de la dirección
*Roles y responsabilidades para la

Zona Baja
Incumplimiento seguridad de la información

de los controles 0.Despreciable 4.Mayor
establecidos
Cumplimiento con las políticas y
normas de seguridad
Seguridad de la información en la
gestión de proyectos
Revisión independiente de la seguridad
de la información
Revisión del cumplimiento técnico
Materialización
Zona Baja
de riesgos de
seguridad de la 0.Despreciable 4.Mayor
información no
identificados
Reporte de eventos de seguridad de la

información
Reporte de debilidades de seguridad de
la información
Evaluación de eventos de seguridad de
la inforamción y decisiones sobre ellos
* Cadena de suministro de tecnología de
información y comunicación
* Seguimiento y revisioón de los
servicios de los proveedores
Resistencia a
Zona Alta
controles de
Roles y responsabilidades para la
seguridad que 2.Posible 4.Mayor seguridad de la información
son genericos y
deben cumplir
MATRIZ DE RIESGOS
Evaluación de controles
Tipo de Clasificación
CONTROL del control
control
* Restricciones de acceso a información.

*Auditorias de seguridad de la información establecidas
*Manual operación seguridad información
* Documentación para la perfilación de usuarios *Control Preventivo
de usuarios corporativos *Matriz de De Gestión
privilegios de usuarios (Probabilidad)
*Reporte gestión usuarios diligenciado por los
responsables de usuarios.
*Exigir contractualmente a los empleados que cumplan

las políticas de autenticación secreta.
*Son anexos al contrato de trabajo: Preventivo
▪Normas de trabajo(donde están las responsabilidades) Legal
(Probabilidad)
▪Políticas específicas seguridad información (donde está
la política de contraseñas seguras exigida)
*Se define la política de teletrabajo en Políticas Preventivo

específicas seguridad información De Gestión
(Probabilidad)
*El formato Reporte gestión usuarios, con el cual los
directores informan al oficial de seguridad de la
información los usuarios que se encuentran activos y los Preventivo
que fueron inactivos o modificados durante el último De Gestión
semestre. (Probabilidad)
*Los permisos se asignan o eliminan teniendo en cuenta
los formatos establecidos I. retiro personal
La información se clasifica según los lineamientos

establecidos en el Metodología manejo información Preventivo
donde el usuario identifica a que información puede De Gestión
(Probabilidad)
acceder y que información se puede compartir o cuál no.
Se encuentran establecidas restricciones para el uso de Preventivo
medios removibles, impresoras y correo electrónico De Gestión
personal. ( Políticas específicas seguridad información). (Probabilidad)
*Se Implementan reglas para el uso de la información,

protección de registros y políticas para el uso de activos. Preventivo
* Políticas específicas seguridad información De Gestión
*Metodología manejo información (Probabilidad)
Se exige contractualmente a los empleados la protección
de la información (Acuerdo de confidencialidad) y Preventivo
establecimiento de sanciones disciplinarias (Reglamento Legal
(Probabilidad)
interno trabajo).
Se mantiene contacto con autoridades y grupo de interés

para poder hacer procesos a tiempo, en caso de robo o Correctivo
fraude ( Manual de operación de Seguridad de la Legal
(Impacto)
información)
*Se establece la separación de deberes en cada proceso, Preventivo
para evitar modificaciones no autorizadas (Manual de De Gestión
operación de cada proceso) (Probabilidad)
*Revisar registro de usuario administrador principal, Preventivo

específicamente de Infraestructura Tecnológica ( Manual Operativo
de operación de Seguridad de la información) (Probabilidad)
Se establecen procedimientos seguros para la Preventivo
transferencia de información y medios (Metodología Operativo
manejo información) (Probabilidad)
* Se realiza Inducción obligatoria de seguridad de la

información a todo nuevo empleado. *Plan
estratégico de seguridad de la información
para el proceso de seguridad de la información, donde se
establecen las capacitaciones y sensibilizaciones del año. Preventivo
*Se realizó capacitación al 97,3% del personal Operativo
*Criterio de verificación de cumplimiento legal en (Probabilidad)
auditoria interna con ente externo.
*Medir el cumplimiento de requisitos legales por medio
del indicador: No conformidades detectadas por
incumplimiento legal.
Es deber del SGSI velar por la privacidad y protección de Preventivo

datos personales ( Política general protección datos) Operativo
(Probabilidad)
Es deber del SGSI velar por la privacidad y protección de Preventivo
datos personales ( Política general protección datos) Operativo
(Probabilidad)
*Auditorias de seguridad de la información establecidas Preventivo

en el Manual operación seguridad información, Operativo
específicamente las relacionadas con el antivirus (Probabilidad)
Correos informativos frente a la exposición a ataques Preventivo

informáticos De Gestión
(Probabilidad)
Correos informativos frente a la exposición a ataques Preventivo
informáticos De Gestión
(Probabilidad)
Planificar la continuidad de seguridad de la información y

la disponibilidad de instalaciones de procesamiento de Preventivo
información De Gestión
(Probabilidad)
Plan de continuidad de negocio
*Planificar la protección contra desastres naturales Preventivo

*Plan ante emergencias Software De Gestión
(Probabilidad)
*Planificar la protección contra desastres naturales Preventivo
*Plan ante emergencias Software De Gestión
(Probabilidad)
*Se establecen políticas para proteger la información en

equipos/dispositivos fuera de las instalaciones Preventivo
*Otrosí acuerdo uso de equipos portátiles De Gestión
*Políticas específicas seguridad información (Probabilidad)
Correctivo
Cifrado de equipos portátiles De Gestión
(Impacto)
Correctivo
Cifrado de equipos portátiles De Gestión
(Impacto)
*Asignación de las responsabilidades de seguridad de la

información y establecimiento de las políticas de
obligatorio cumplimiento
*General:
Se asignan a través del contrato de trabajo y son anexos al
contrato Preventivo
▪Normas de trabajo Software. De Gestión
(Probabilidad)
▪Políticas específicas seguridad información.
Específico:
▪Manual de operación de Seguridad de la información
Manual de cargos y funciones de cada proceso
Control compartido con Gestión Humana / RRHH. El

Oficial de seguridad de la Información debe revisar los
documentos donde se asignan las responsabilidades de
seguridad
▪ Normas de trabajo Software. Preventivo
▪ Contrato de trabajo De Gestión
▪ Manual de cargos y funciones GIN (Probabilidad)
Las responsabilidades del Sistema de Seguridad de la
Información están asignadas, adicionalmente a través de
este documento Manual de operación de Seguridad de la
información
Verificación del cumplimiento de las políticas (Manual Preventivo
de operación de Seguridad de la información) De Gestión
(Probabilidad)
Asignar la tarea de tener en cuenta la seguridad de la

información en cualquier proyecto y gestionar todo Preventivo
cambio (Manual de operación de cada proceso) De Gestión
(Probabilidad)
Revisar la política de seguridad de la información
* Direccionamiento estratégico.
* Instructivo revisión Gerencial Preventivo
* Informe desempeño de procesos De Gestión
La revisión permite tener en cuenta cambios en los (Probabilidad)
riesgos y en el sistema en general
Evaluar y gestionar eventos e incidentes que se presenten,

para mejorar los controles de seguridad (Instructivo
gestión de eventos, incidentes o vulnerabilidades) Preventivo
Exigir a todos los empleados el reporte de eventos, De Gestión
debilidades e incidentes de seguridad de la información (Probabilidad)
( Normas de trabajo Software)
Exigir cumplimiento de controles a los proveedores
(Instructivo de compras y gestión de proveedores y Preventivo
Evaluación, selección y entrega de requisitos para De Gestión
(Probabilidad)
proveedores)
*Capacitación en Sistema de gestión de seguridad de la Preventivo

información a la poblacion Softland Operativo
(Probabilidad)
uación de controles Riesgo residual
Resultado
Punt
Criterios de evaluación de la Probabilidad Impacto Zona
aje
evaluación
¿Existen manuales, instructivos o procedimientos Si 30

para el manejo del control?
¿Está(n) definido(s) el(los) responsable(s) de la Si 5
ejecución del control y del seguimiento?
¿Se encuentra establecida la frecuencia de ejecución Si 15

100
y seguimiento del control?
¿Se cuenta con evidencias de la ejecución y
seguimiento del Si 20
control?
¿En el tiempo que lleva el control ha demostrado ser Si 30
efectivo?
y seguimiento del control? 100
control?
efectivo?
100
Si 20
seguimiento del
control?
Si 30
¿En el tiempo que lleva el control ha demostrado ser
efectivo?
Zona Baja
0.Despreciable 4.Mayor
Zona Baja
Si 5 0.Despreciable 4.Mayor
¿Está(n) definido(s) el(los) responsable(s) de la

Si 15 100
¿Se encuentra establecida la frecuencia de ejecución
¿Se cuenta con evidencias de la ejecución y Si 20

seguimiento del
control?
Si 30
efectivo?
Si 5

Si 15
100
del y seguimiento del control?
Si 20
seguimiento del
control?
Si 30
efectiva?
Si 5

Si 15
100
Si 20
seguimiento del
control?
Si 30
efectiva?
Si 5

Si 15
100
Si 20
seguimiento del
control?
Si 30
efectiva?
Si 5

Si 15
100
Si 20
seguimiento del
control?
Si 30
efectiva?
Si 5

Zona Baja
Si 15
100 0.Despreciable
1.Insignificante
Si 20
seguimiento del
control?
Si 30
efectiva?
Si 5

Si 15
50
Si
seguimiento del
control?
Si
efectiva?
Si 5

Si 15
100
Si 20
seguimiento del
control?
Si 30
efectiva?
Si 5

Si 15
100
Si 20
seguimiento del
control?
Si 30
efectiva?


¿Se encuentra establecida la frecuencia de ejecución Si 15 100

control?

efectiva?
Zona Baja
Si 5 0.Despreciable 4.Mayor

Si 15
100
100
Si 20
seguimiento del
control?
Si 30
efectiva?
Si 5

Si 15
100
Si 20
seguimiento del
control?
Si 30
Zona Baja
efectivo?
Si 5

Si 15
100
100
Si 20
seguimiento del
control?
Si 30
efectivo?
Si 5

Si 15
100
Si 20
seguimiento del
control?
Si 30
Zona Baja
efectivo?
Si 5

Si 15
100
100
Si 20
seguimiento del
control?
Si 30
efectiva?
Si 5

Si 15
100
Si 20
seguimiento del
control?
Si 30
Zona Baja
efectivo?
0.Despreciable 2.Menor
Si 5

Si 15
100
100
Si 20
seguimiento del
control?
Si 30
efectivo?
Si 5

Si 15 100

Si 20
seguimiento del
control?

Si 30
efectivo?


Zona Baja
¿Se encuentra establecida la frecuencia de ejecución Si 15 100

del y seguimiento del control? 0.Despreciable 4.Mayor

control?

efectivo?
Si 5

Si 15
100
Si 20
seguimiento del
control?
Si 30
efectivo?
Si 5

Si 15
100
Si 20
seguimiento del
control?
Si 30
efectivo?
Si 5

Si 15
100
Si 20
seguimiento del
control?
Si 30
Zona Baja
efectivo?
Si 5

Si 15
100
Si 20
seguimiento del
control?
Si 30
efectivo?
Si 5

Si 15
100
Si 20
seguimiento del
control?
Si 30
efectivo?
¿Existen manuales, instructivos o procedimientos No 0
No 0

Zona Alta
No 0
20 2.Posible 4.Mayor
Si 20
seguimiento del
control?
No 0
efectivo?

Cálculo Del Riesgo

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cálculo Del Riesgo

Cargado por

Copyright:

Formatos disponibles

MATRI

ANÁLISIS Y EVALUACIÓN DEL RIESGO

*Política de control de acceso.

*Políticas para la seguridad de la

robo de *Contacto con las autoridades.

* Roles y responsabilidades par la

*Toma de conciencia, eduación y

*Protección contra amenazas externas y

*Toma de conciencia, eduación y

*Protección contra amenazas externas y

*Seguridad de equipos y activos fuera

Política sobre el uso de controles

*Roles y responsabilidades para la

*Roles y responsabilidades para la

Incumplimiento seguridad de la información

Reporte de eventos de seguridad de la

* Restricciones de acceso a información.

*Exigir contractualmente a los empleados que cumplan

*Se define la política de teletrabajo en Políticas Preventivo

La información se clasifica según los lineamientos

*Se Implementan reglas para el uso de la información,

Se mantiene contacto con autoridades y grupo de interés

*Revisar registro de usuario administrador principal, Preventivo

* Se realiza Inducción obligatoria de seguridad de la

Es deber del SGSI velar por la privacidad y protección de Preventivo

*Auditorias de seguridad de la información establecidas Preventivo

Correos informativos frente a la exposición a ataques Preventivo

Planificar la continuidad de seguridad de la información y

*Planificar la protección contra desastres naturales Preventivo

*Se establecen políticas para proteger la información en

*Asignación de las responsabilidades de seguridad de la

Control compartido con Gestión Humana / RRHH. El

Asignar la tarea de tener en cuenta la seguridad de la

Evaluar y gestionar eventos e incidentes que se presenten,

*Capacitación en Sistema de gestión de seguridad de la Preventivo

¿Existen manuales, instructivos o procedimientos Si 30

¿Se encuentra establecida la frecuencia de ejecución Si 15

¿Está(n) definido(s) el(los) responsable(s) de la

¿Se cuenta con evidencias de la ejecución y Si 20

¿Está(n) definido(s) el(los) responsable(s) de la

¿Está(n) definido(s) el(los) responsable(s) de la

¿Está(n) definido(s) el(los) responsable(s) de la

¿Está(n) definido(s) el(los) responsable(s) de la

¿Está(n) definido(s) el(los) responsable(s) de la

¿Está(n) definido(s) el(los) responsable(s) de la

¿Está(n) definido(s) el(los) responsable(s) de la

¿Está(n) definido(s) el(los) responsable(s) de la

¿Existen manuales, instructivos o procedimientos Si 30

¿Está(n) definido(s) el(los) responsable(s) de la Si 5

¿Se encuentra establecida la frecuencia de ejecución Si 15 100

¿En el tiempo que lleva el control ha demostrado ser Si 30

¿Está(n) definido(s) el(los) responsable(s) de la

¿Está(n) definido(s) el(los) responsable(s) de la

¿Está(n) definido(s) el(los) responsable(s) de la

¿Está(n) definido(s) el(los) responsable(s) de la

¿Está(n) definido(s) el(los) responsable(s) de la

¿Está(n) definido(s) el(los) responsable(s) de la

¿Está(n) definido(s) el(los) responsable(s) de la

¿Está(n) definido(s) el(los) responsable(s) de la

¿Se encuentra establecida la frecuencia de ejecución

¿En el tiempo que lleva el control ha demostrado ser

¿Existen manuales, instructivos o procedimientos Si 30

¿Está(n) definido(s) el(los) responsable(s) de la Si 5