Gestor de Riesgo: Jaime Perez

Fecha:

Nombre del
No. Nombre del riesgo Causa que origina
proceso

Errores en la asignación o creación,

Divulgación o alteración de información por
modificación, bloqueo o eliminación de
R1 ACCESOS acceso no autorizado a aplicativos y bases de
usuarios para las bases de datos y
datos por errores en la gestión de usuarios.
aplicativos

Divulgación o alteración de información por

Aplicativos sin claves de acceso para su
R2 ACCESOS acceso no autorizado a aplicativos y bases de
ingreso
datos debido a aplicativos sin clave de acceso.

Divulgación o alteración de información por

Uso inadecuado de usuarios y claves de
acceso no autorizado a aplicativos y bases de
R3 ACCESOS
datos debido a uso inadecuado de usuarios y
acceso a aplicativos y bases de datos por
parte de los funcionarios del Banco
claves de acceso por parte de los funcionarios.

Pérdida o alteración de información por acceso a

Ingresos indebidos a las Bases de Datos
R4 ACCESOS bases de datos debido a ingresos indebidos por
por personal con atribuciones
personal con atribuciones.

Divulgación o alteración de información por Uso inadecuado de usuarios privilegiados

acceso no autorizado a aplicativos y bases de o generación de usuarios genéricos
R5 ACCESOS
datos debido a uso inadecuado de usuarios (Comunicaciones, Infraestructura, Bases
privilegiados o generación de usuarios genéricos de Datos)

Pérdida de la integridad o confidencialidad de la Nuevas vulnerabilidades identificadas y no

R6 ACCESOS información por vulnerabilidades asociadas a la actualización de software o parches de
plataforma técnica que soporta procesos críticos. seguridad en los sistemas

Pérdida económica por la no disponibilidad de

los sistemas, interrupción de las operaciones o Ataques externos a la plataforma
R7 ACCESOS
defraudación al Banco a causa de ataques tecnológica del Banco (Hacker)
externos a la plataforma tecnológica.
 Pérdida económica por la no disponibilidad de
Ataques internos a la plataforma
los sistemas o interrupción de las operaciones a
R8 ACCESOS
causa de ataques internos a la plataforma
tecnológica del Banco (Ingreso de virus; o
instalación de software malicioso)
tecnológica.

Pérdida económica por la no disponibilidad de Desactualización o errores en la

los sistemas o interrupción de las operaciones configuración de los elementos de
R9 ACCESOS por desactualización o errores en la seguridad lógica (Antivirus; Proxy;
configuración de los elementos de seguridad Firewall, entre otros), sin los cuales el
lógica. Banco es mas vulnerable

Pérdida económica por la no disponibilidad de

Fallas tecnológicas en los elementos de
los sistemas o interrupción de las operaciones
R10 ACCESOS
por fallas tecnológicas de los elementos de
seguridad lógica (Antivirus; Proxy;
Firewall, entre otros)
seguridad lógica.

Pérdida económica por robo o daño de equipos

Ingreso no autorizado de personal al Data
R11 ACCESOS por ingreso de personal no autorizado al Data
Center alterno o principal
Center Principal o Alterno.

Pérdidas económicas por multas o sanciones

por incumplimiento legal de los derechos del
R12 ACCESOS
software debido a instalación no autorizada del
Instalación de software no autorizada
mismo.

Pérdida de integridad de la información por daño

o alteración de datos contenidos en hojas de Uso de hojas de calculo sin los elementos
R13 ACCESOS
cálculo a causa de su uso sin los elementos de de seguridad y protección adecuados
seguridad y protección adecuados.

Pérdida de integridad por datos e información

Errores o fallas en el proceso de
incompleta o inconsistente en los sistemas de
R14 ACCESOS
Banco a causa de errores o fallas en el proceso
migración de información de una
aplicación a otra.
de migración de información.

Fallas técnicas en la ejecución de los

Pérdida de información confidencial por
backup por problemas no detectados en
R15 OPERACIONES imposibilidad de recuperar información debido a su ejecución o fallas en los medios
fallas en los Backup o medios.
magnéticos (cintas)
 Afectación a clientes por la no disponibilidad de
Falla en la programación o
R16 OPERACIONES los sistemas o saldos en el horario convenido
parametrización de los cierres
por fallas en el proceso Batch

Afectación a clientes por información errada o no

Los procesos batchs no se ejecutan
disponible debido a fallas en la ejecución de
R17 OPERACIONES procesos Batch por errores o ausencia en los completa y correctamente por errores en
los archivos de terceros
archivos de terceros.

Pérdidas económicas e interrupción de los

Catástrofes que afecten las máquinas,
servicios tecnológicos del Banco por fallas a
R18 OPERACIONES nivel de hardware debido a condiciones externas servidores, equipos del centro de cómputo
(Incendio, Terremoto)
que afecten la plataforma tecnológica

Fallas en los dispositivos ambientales en

los centro de cómputo (aires
Pérdida de económica debido a daños en los
acondicionados, sistemas de extinción de
equipos del centro de cómputo por fallas en los
R19 OPERACIONES sistemas que mantienen el medio ambiente incendios, detectores humo, sistemas de
control de temperatura y humedad, piso
apropiado para la operación de TI
falso, techo falso, sistemas de suministro
y regulación de energía)
 MAT
Jaime Perez Gerencia: Tecnología

Área / Cargo: Operaciones Tecnológicas

Factor Categoría Tipo de Impacto

Consecuencia para la
Evento de Riesgo (Asociado a la (Asociado al (Asociado a la
compañía
Causa) Riesgo) Consecuencia)

Divulgación o
Acceso no autorizados a Alteración de
Recurso Humano Fraude interno Seguridad Información
aplicaciones y bases de datos información
confidencial

Divulgación o
Acceso no autorizados a Alteración de Situaciones
Fraude interno Seguridad Información
aplicaciones y bases de datos información Externas
confidencial

Divulgación o
Acceso no autorizados a Alteración de
Recurso Humano Fraude interno Seguridad Información
aplicaciones y bases de datos información
confidencial

Pérdida de información
Acceso no autorizados a las bases
o Alteración de Recurso Humano Fraude interno Seguridad Información
de datos
Información

Pérdida de información
Acceso no autorizados a
o Alteración de Recurso Humano Fraude interno Seguridad Información
aplicaciones y bases de datos
Información

Fallas
Vulnerabilidades técnicas Pérdida de información Tecnología Seguridad Información
tecnológicas

Pérdida de disponibilidad de la
Situaciones Fallas
plataforma tecnológica o intentos de Pérdida económica Perdidaeconomica
Externas tecnológicas
fraude externo
Pérdida de disponibilidad de la
Pérdida económica Recurso Humano Fraude interno Perdidaeconomica
plataforma tecnológica

Pérdida de disponibilidad de la Fallas

Pérdida económica Recurso Humano Perdidaeconomica
plataforma tecnológica tecnológicas

Pérdida de disponibilidad de la Fallas

Pérdida económica Tecnología Perdidaeconomica
plataforma tecnológica tecnológicas

Robo o daño sobre equipos Situaciones Daños a activos

Pérdida económica Perdidaeconomica
tecnológicos del Data Center Externas físicos

Ejecución y
Incumplimiento normativo sobre los Pérdida económica por
Recurso Humano administración Perdidaeconomica
derechos de software Multa o Sanción
de procesos

Daño o alteración de información Pérdida de integridad Fallas

Procesos Seguridad Información
contenida en hojas de cálculo de la Información tecnológicas

Datos e información incompleta o

Pérdida de integridad Fallas
inconsistente en los sistemas del Recurso Humano Seguridad Información
de la información tecnológicas
Banco.

Pérdida de información Fallas

Falla en la restauración de backup Tecnología Seguridad Información
confidencial tecnológicas
Retrasos en la ejecución de los
Afectación al cliente Tecnología Clientes Atención del Cliente
procesos batch

Información de clientes no
Afectación al cliente Recurso Humano Clientes Atención del Cliente
disponibles o errada

Destrucción física total o parcial de Pérdidas económicas e

las instalaciones en el centro de interrupción de los Situaciones Daños a activos
Perdidaeconomica
cómputo y de los equipos servicios tecnológicos Externas físicos
tecnológicos del Banco

Daños a activos
Daños en los equipos de computo Pérdidas económicas Tecnología Perdidaeconomica
físicos
 MATRIZ DE RIESGOS TECNOLÓGICOS
Versión: 1.0

IMPACTO MAGNITUD DEL IMPACTO

Vida Humana (Daño a

Legal y Penal Reputacional Pérdida Económica % IMPACTO
personas)

SI SI SI NO 100% CATASTRÓFICO

NO SI SI SI 70% MAYOR

NO NO NO SI 20% INSIGNIFICANTE

0%

0%

0%

0%
0%

0%

0%

0%

0%

0%

0%

0%
0%

0%

0%

0%
MAGNITUD DEL IMPACTO NIVEL DE RIESGO INHERENTE
PROBABILIDAD DE
GRADO IMPACTO GRADO OCURRENCIA NIVEL DE RIESGO
IMPACTO FINAL
AJUSTADO IMPACTO FINAL INHERENTE

1 10 CATASTRÓFICO CONSTANTE 50

9 9 CATASTRÓFICO CONSTANTE 45

1 2 INSIGNIFICANTE IMPROBABLE 2

CONSTANTE

CONSTANTE

CONSTANTE

CONSTANTE
CONSTANTE

CONSTANTE

POSIBLE

CONSTANTE

CONSTANTE

CONSTANTE

CONSTANTE

CONSTANTE
CONSTANTE

CONSTANTE

CONSTANTE

CONSTANTE
VEL DE RIESGO INHERENTE

# de veces en las
NIVEL DE RIESGO que se podría Área Responsable del Cantidad de
Cargo del Gestor Responsable
INHERENTE presentar el Riesgo Controles
evento en un año

Subgerente de Seguridad
ALTO 72 de la Información y Harold Martinez 5
Continuidad del Negocio

Subgerente de Seguridad
ALTO 1 de la Información y Harold Martinez 1
Continuidad del Negocio

Subgerente de Seguridad
BAJO 36 de la Información y Harold Martinez 6
Continuidad del Negocio

Subgerente de Seguridad
6 de la Información y Harold Martinez 5 controles
Continuidad del Negocio

Subgerente de Seguridad
6 de la Información y Harold Martinez 5 controles
Continuidad del Negocio

Subgerente de Seguridad
50 de la Información y Harold Martinez 2 controles
Continuidad del Negocio

Subgerente de Seguridad
365 de la Información y Harold Martinez 2 controles
Continuidad del Negocio
 Subgerente de Seguridad
24 de la Información y Harold Martinez 5 controles
Continuidad del Negocio

Subgerente de Seguridad
365 de la Información y Harold Martinez 2 controles
Continuidad del Negocio

Subgerente de Seguridad
365 de la Información y Harold Martinez 2 controles
Continuidad del Negocio

Subgerente de
12 Jaime Osorio 6 controles
Producción

Subgerente de Seguridad
1 de la Información y Harold Martinez 2 controles
Continuidad del Negocio

Subgerente de Seguridad
5 de la Información y Harold Martinez 2 controles
Continuidad del Negocio

Subgerente de Seguridad
12 de la Información y Harold Martinez 2 controles
Continuidad del Negocio

Centro de procesamiento
12 Jaime Osorio 4 controles
de datos
 Centro de procesamiento
37 Jaime Osorio 5 controles
de datos

Centro de procesamiento
37 Jaime Osorio 5 controles
de datos

Centro de procesamiento
1 Jaime Osorio 3 controles
de datos

Subgerente de Seguridad y
1 Harold Martinez 6 controles
Continuidad
Código Riesgo Control

Antes de crear o modificar un usuario en el directorio activo se

Divulgación o alteración de información por acceso no
verifica que tenga las atribuciones correspondientes para la
R1 autorizado a aplicativos y bases de datos por errores
solicitud contra la Matriz de Perfiles, en caso contrario se
en la gestión de usuarios.
rechaza y no se crea o modifica el usuario.

El Jefe y Analista de base de datos solo crean usuarios en las

Divulgación o alteración de información por acceso no
bases de datos si las solicitudes tienen las aprobaciones del
R1 autorizado a aplicativos y bases de datos por errores
Subgerente de producción y Subgerente de Seguridad de
en la gestión de usuarios.
información
 CONTROLES
Estado del Forma del Tipo de Ejecución Evidencia Efecto sobre el
Responsable
Control control Control del Control del control Riesgo

Analista junior de Implementado no Solo algunas

Semiautomático Preventivo Algunas veces Mitiga Frecuencia
ingeniería documentado veces

Mitiga Ambos
Jefe de BD y Implementado y Solo algunas
Automático Preventivo Algunas veces (Frecuencia e
Analistas de BD documentado veces
Impacto)
% Mitigación % Mitigación Riesgo
% Eficiencia
Frecuencia Impacto Residual

50% 2% 26% 37 Alto

10% 15% 13% 44 Alto

 Observación sobre el control

Se recomienda indicar contra que verifica las

atribuciones

Se recomienda validar si se incluyen monitoreos a las

actividades de los DBA.
 MAPAS D

MAPA DE RIESGO INHERENTE

Constante

Moderado
Probabilidad

Ocasional

Posible

Improbable R10; R7;

Insignificante Menor Crítico Mayor

Impacto
 MAPAS DE RIESGO

MAPA DE RIESGO RESIDUAL

R1 Constante

Probabilidad Moderado R1

Ocasional

Posible

R8; Improbable

Catastrófico Insignificante Menor Crítico

Impacto
 RESIDUAL

Mayor Catastrófico

mpacto