Analisis de Riesgos

CONTEXTO DE SEGURIDAD DE LA INFORMACIÓN
Empresa o entidad
MATRIZ DE RIESGOS GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
No. RIESGO PROCESO/ÁREA
Malas prácticas en seguridad de la

1 Todos los procesos
información
Incumplimiento de responsabilidades de
2
seguridad de la información
Falta de competencia de las personas para

3 cumplir con las respnsabilidades de
seguridad de la información asignadas
Falta de competencia de las personas para
3 cumplir con las respnsabilidades de
seguridad de la información asignadas
Uso indebido, accidental o deliberado, de

4
los activos de información de la entidad
Ausencia de comunicación, reporte a

destiempo y/o mediante formatos y canales
no apropiados con autoridades (por
5
ejemplo, las encargadas de hacer cumplir
la ley, los organismos de reglamentación y
las autoridades de supervisión)
Pérdida de confidencialidad, integridad y/o

6 disponibilidad de la información en la
ejecución de proyectos de todo tipo
Acceso o divulgación no autorizada de la

información almacenada y procesada por
7 dispositivos móviles, equipos de
contratistas o equipos utilizados para
teletrabajo
Divulgación de información por parte de

8 exfuncionarios o funcionarios/contratistas
disgustados o malintencionados
Manejo inadecuado de terminación o

9
cambio de empleo
Contratación de
funcionarios/contratistas/proveedores con
10 antecedentes penales, disciplinarios y/o
financieros para cargos críticos de la
entidad
Contratación de
funcionarios/contratistas/proveedores con
10 antecedentes penales, disciplinarios y/o
financieros para cargos críticos de la
entidad
No devolución de uno o varios activos de

11
información
Incumplimiento de la Ley de Transparencia

y del Derecho de Acceso a la Información
12
Pública Nacional (Ley 1712 de 2014), sus
principios y decretos reglamentarios
Incumplimiento de la Ley 1581 de 2012

13
(Ley de Protección de Datos Personales)
Infección por malware en equipos de

14 cómputo mediante medios removibles
infectados
Divulgación de información por medios

15 removibles no cifrados extraviados o dados
de baja
Degradación de los medios removibles o

medios de almacenamiento externo
16
mientras aún se necesitan los datos
almacenados
Acceso no autorizado a sistemas y

17 servicios, o abuso de derechos de acceso
a sistemas y servicios
Ejecución de actividades regulares del
18 negocio desde cuentas de usuario
privilegiado
Uso de la misma identidad de usuario por

19
dos o más personas
Contraseñas por defecto, del fabricante, en

20
software y firmware de la entidad
Debilidades en el proceso de retiro o ajuste

de derechos de acceso cuando se termina
21
o cambia el empleo de un funcionario,
contratista y/o proveedor
contratista y/o proveedor
Aplicaciones críticas para el IDRD con

22
procedimientos de ingreso inseguro
Malas prácticas en el uso de contraseñas

23
por parte de los usuarios
Uso de programas utilitarios privilegiados,

24
sin restricción
Acceso no autorizado a códigos fuente de

25
programas
26 Uso de controles criptográficos débiles

26 Uso de controles criptográficos débiles
Pérdida y/o uso no autorizado de llaves

criptográficas, como por ejemplo, tokens
27
bancarios, tokens de acceso a sistemas de
información o certificados digitales
Acceso físico no autorizado a las

28
instalaciones
Daños en los equipos y/o interrupciones del

29
servicio
Daño de información y/o instalaciones de

30
procesamiento de información
Daños o mal funcionamiento de servidores

31 o equipos de cómputo debido a la falta de
mantenimiento
32 Retiro de activos sin autorización

32 Retiro de activos sin autorización
Fuga de información por pérdida o robo de

33
equipos fuera de las instalaciones
Acceso no autorizado a información crítica

de la entidad por equipos reutilizados o
34
dados de baja a los cuales no se les realiza
un proceso de borrado seguro
Ausencia del personal crítico que

35 administra instalaciones de procesamiento
de información
Interceptación, interferencia o daño del

36 cableado de potencia y el cableado de
comunicaciones
Fallas en sistemas o en la seguridad de los

37
mismos debido a malas configuraciones
Fallas en sistemas o en la seguridad de los
37
mismos debido a malas configuraciones
Inadecuada o inexistente gestión de

38
capacidad
Acceso no autorizado a información del

IDRD debido a puestos de trabajo
39 desatendidos, equipos sin bloquear y
escritorio lógico y físico con documentación
sensible
Acceso o cambios no autorizados en

40
ambiente de producción
Pérdida de trazabilidad de actividades del
41 usuario, excepciones, fallas y eventos de
seguridad en sistemas de información
Acceso no autorizado y/o alteración de

42
registros de eventos
43 Logs de auditoría inexactos
44 Software con vulnerabilidades conocidas

MACIÓN
CAUSA DEL RIESGO CONSECUENCIAS POTENCIALES
1. Incumplimiento norma ISO

1. Ausencia de una política general, un
27001:2013 y estrategia GEL (Modelo
alcance y objetivos de seguridad de la
de Seguridad y Privacidad de la
información, así como también un conjunto
Información)
de políticas en temas específicos de
seguridad de la información aprobados
2. Pérdida de la cultura organizacional
mediante acto administrativo.
en materia de seguridad de la
información.
2. Falta de revisión periódica de la política
general y/o el conjunto de política s de
3. Alto nivel de incidentes de
Riesgo Inicial (teniendo en cu
actuales)
CONTROLES EXISTENTES
PROBABILIDAD
(1-5)
A.5.1.1 - A.5.1.2. Se cuenta con manual de política s de TI y con una política

del SIG, que fue aprobada por resolución y tiene inmersa una directriz de
seguridad de la información.
El manual de política s fue aprobado por planeación y la dirección general. 4
+ Resolución 658 de 2014

o Inicial (teniendo en cuenta los controles
actuales)
MEDIDA DE
CONTROLES ISO
TRATAMIENTO
IMPACTO NIVEL DE RIESGO 27001:2013
DEL RIESGO
(1-5) (P*I)
A.5.1.1
2 8 Reducir
A.5.1.2
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
TIPO ZONA
Alto (A)
ACCIONES DEL PLAN DE TRATAMIENTO
Documentar una política general, alcance y objetivos de seguridad de la

información
Actualizar el manual de política s de seguridad de la información para ampliar el

alcance a toda la Entidad en lugar de Tecnología Informatica unicamente
Aprobar la política general, el alcance, los objetivos de seguridad de la

información y el manual de política s de seguridad de la información
Socializar e implementar el nuevo manual de políticas de seguridad de la
información
Revisión periódica (al menos anualmente) de la política general, alcance y
objetivos del SGSI, así como también el manual de política s de seguridad de la
información con el fin de confirmar que sigue siendo válidos para la entidad y
actualizarlos en caso de ser necesario.
ESTIM
El análisis de riesgos se realizó mediante la metodología d

valores numéricos tanto para las consecuencias como par
A continuación se presenta la matriz de riesgo a utilizar pa
siguiente fórmula:
Riesgo = Probabil
Probabilidad
Raro (1)
Improbable (2)
Posible
(3)
(3)
Probable
(4)
Casi Seguro
(5)
El riesgo está agrupado en cuatro rangos:
Bajo (B): Riesgos que deben ser objeto de seguimiento po

Moderado (M): Riesgos que deben ser objeto de adecuad
Jefes de Área.
Alto (A): Riesgos altos que requieren la atención del Direc
Extremo (E): Riesgos que deben ponerse en conocimiento
Bajo (B): Riesgos que deben ser objeto de seguimiento po
Moderado (M): Riesgos que deben ser objeto de adecuad
Jefes de Área.
Alto (A): Riesgos altos que requieren la atención del Direc
Extremo (E): Riesgos que deben ponerse en conocimiento
Teniendo en cuenta las siguientes definiciones:
• Probabilidad:
o Raro: El evento puede ocurrir solo en circunstancias exc

o Improbable: Puede ocurrir en circunstancias excepciona
o Posible: Podría ocurrir en algún momento. Al menos un
o Probable: Podría ocurrir en cualquier momento. Al men
o Casi Seguro: Se espera que ocurra en la mayoría de las c
NOTA: Es importante evaluar la probabilidad de los riesgo

interno de la entidad, como el contexto externo, es decir,
entidades del sector, a nivel regional y a nivel nacional.
• Impacto:
o Insignificante: Afecta la confidencialidad, integridad o d
ver afectada la actividad de una persona del proceso. No
o Menor: Afecta la confidencialidad, integridad o disponib
baja.
Se podría ver afectada la actividad de dos o más personas
Ocasiona pérdidas financieras bajas.
o Moderado: Afecta la confidencialidad, integridad o disp
Se podría ver afectada una o varias actividades de uno o m
Ocasiona pérdidas financieras medias.
o Mayor: Afecta la confidencialidad, integridad o disponib
Afecta la normal operación de uno o más procesos mision
Ocasiona pérdidas financieras considerables.
o Catastrófico: Afecta la confidencialidad, integridad y dis
Afecta la normal operación de la entidad.
Ocasiona pérdidas financieras altas. Puede ocasionar mul
Afecta la reputación e imagen de la entidad.
A partir del tipo de riesgo, existen 5 alternativas de tratam
- Evitar: Evitar la actividad o la acción que da origen al ries

- Transferir: Transferir a otra parte que pueda gestionar d
- Compartir: Compartir el riesgo con uno o varios terceros
- Reducir: Reducir el riesgo mediante la implementación d
- Aceptar: Retener el riesgo sin acción posterior.
De acuerdo a los cuadrantes de riesgo definidos, el tratam
Probabilidad
Raro (1)
Improbable (2)
Posible
(3)
(3)
Probable
(4)
Casi Seguro
(5)
En la Plantilla de análisis de riesgos se presenta el cálculo

riesgo seleccionada, se proponen nuevos controles.
El nivel de aceptación de los riesgos está compuesto por a

sustanciales en términos económicos, operativos o de ima
- La siguiente ilustración permite observar las zonas de rie
ZONA DE RIESGOS
Extremo
Alto
Moderado
Bajo
Todos los riesgos que se encuentren en la zonas de no ace

de acuerdo a las acciones establecidas en la anterior ilust
NOTA: En algunos casos especiales, después de aplicar los

extremo; en este caso la Dirección debe determinar la ace
Ejemplo: En el caso de un riesgo de acceso no autorizado

los controles estarán orientados a reducir la probabilidad
obtener credenciales de usuario privilegiado no se puede
seguirá siendo 4 y, por lo tanto, el nivel de riesgo será alto
ESTIMACIÓN DEL RIESGO
ediante la metodología de estimación cuantitativa del nivel de riesgo, utilizando un

consecuencias como para la probabilidad.
triz de riesgo a utilizar para la estimación del riesgo, donde el riesgo es calculado a
Riesgo = Probabilidad x Consecuencia
Insignificante (1) Menor (2) Moderado (3)
(3)
(1) (2) Aceptar
Aceptar Aceptar Evitar
Reducir
(6)
(2) (4) Aceptar
Reducir
(6) (9)
(3) Aceptar Evitar
Aceptar Evitar Transferir
Reducir Compartir
Reducir
(6) (9)
(3) Aceptar Evitar
Reducir Compartir
Reducir
(8) (12)
(4) Evitar Evitar
Aceptar Transferir Transferir
Evitar Compartir Compartir
Reducir Reducir Reducir
(5) (10) (15)

Evitar Evitar Evitar
Transferir Transferir Transferir
Compartir Compartir Compartir
rangos:
bjeto de seguimiento por parte de Jefes de Área.

en ser objeto de adecuado seguimiento por parte del Subdirector Administrativo y
ren la atención del Director, Secretario General, Subdirector Administrativo y Fina

ponerse en conocimiento del Director y ser objeto de seguimiento permanente.
n 5 alternativas de tratamiento:
ción que da origen al riesgo particular.

e que pueda gestionar de manera más eficaz el riesgo particular.
on uno o varios terceros (incluyendo contratos y financiación del riesgo).
nte la implementación de controles.
ción posterior.
esgo definidos, el tratamiento dentro de la Entidad será el siguiente:
Insignificante (1) Menor (2) Moderado (3)
(3)
(1) (2) Aceptar
Reducir
(6)
(2) (4) Aceptar
Reducir
(9)
(6) Evitar
(3) Aceptar Transferir
Aceptar Evitar Compartir
Reducir Reducir
(6) (9)
(3) Aceptar Evitar
Reducir Compartir
Reducir
(4) (8) (12)

Aceptar Evitar Evitar
Evitar Transferir Transferir
Reducir Compartir Compartir
Reducir Reducir
(5) (10) (15)

Evitar Evitar Evitar
Transferir Transferir Transferir
Compartir Compartir Compartir
os se presenta el cálculo del nivel de riesgo, y dependiendo de la alternativa de tra

nuevos controles.
os está compuesto por aquellos riesgos que no expongan a la organización a pérdi

icos, operativos o de imagen.
observar las zonas de riesgo y el nivel de aceptación del riesgo.
NA DE RIESGOS ACEPTACION DE LOS RIESGOS

Evitar, Transferir, Compartir o
Extremo Reducir
Alto Evitar, Transferir, Compartir o

Reducir
Moderado Evitar, Reducir o Aceptar
Bajo Aceptar
ren en la zonas de no aceptación, necesitarán de un tratamiento idóneo para dism

cidas en la anterior ilustración. Los riesgos aceptables deberán ser monitoreados.
es, después de aplicar los controles apropiados a un riesgo, su nivel puede seguir si
n debe determinar la aceptación del riesgo.
de acceso no autorizado calificado como extremo (probabilidad 4 e impacto 4, nive

a reducir la probabilidad de ocurrencia debido a que el impacto de que un usuario
privilegiado no se puede disminuir. Por lo anterior, aunque la probabilidad baje a 1
l nivel de riesgo será alto (nivel de riesgo 4).
ivel de riesgo, utilizando una escala con
nde el riesgo es calculado a partir de la
Mayor (4) Catastrófico (5)
(4) (5)
Evitar Evitar
Transferir Transferir
Compartir Compartir
Reducir Reducir
(8) (10)
Evitar Evitar
Compartir Compartir
Reducir Reducir
(12) (15)
Evitar Evitar
Compartir Compartir
Reducir Reducir
(12) (15)
Evitar Evitar
Compartir Compartir
Reducir Reducir
(16) (20)
Evitar Evitar
Compartir Compartir
Reducir Reducir
(20) (25)
Evitar Evitar
Compartir Compartir
Reducir Reducir
ubdirector Administrativo y Financiero y
ector Administrativo y Financiero.

eguimiento permanente.
particular.
iación del riesgo).
á el siguiente:
Mayor (4) Catastrófico (5)
(4) (5)
Evitar Evitar
Compartir Compartir
Reducir Reducir
(8) (10)
Evitar Evitar
Compartir Compartir
Reducir Reducir
(12) (15)
Evitar Evitar
Compartir Compartir
Reducir Reducir
(12) (15)
Evitar Evitar
Compartir Compartir
Reducir Reducir
(16) (20)
Evitar Evitar
Compartir Compartir
Reducir Reducir
(20) (25)
Evitar Evitar
Compartir Compartir
Reducir Reducir
ndo de la alternativa de tratamiento de
an a la organización a pérdidas
l riesgo.
tamiento idóneo para disminuir su nivel,
deberán ser monitoreados.
sgo, su nivel puede seguir siendo alto o
abilidad 4 e impacto 4, nivel de riesgo 16),

impacto de que un usuario malicioso logre
que la probabilidad baje a 1, el impacto

Analisis de Riesgos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Analisis de Riesgos

Cargado por

Copyright:

Formatos disponibles

CONTEXTO DE SEGURIDAD DE LA INFORMACIÓN

No. RIESGO PROCESO/ÁREA

Malas prácticas en seguridad de la

Falta de competencia de las personas para

Uso indebido, accidental o deliberado, de

Ausencia de comunicación, reporte a

Pérdida de confidencialidad, integridad y/o

Acceso o divulgación no autorizada de la

Divulgación de información por parte de

Manejo inadecuado de terminación o

No devolución de uno o varios activos de

Incumplimiento de la Ley de Transparencia

Incumplimiento de la Ley 1581 de 2012

Infección por malware en equipos de

Divulgación de información por medios

Degradación de los medios removibles o

Acceso no autorizado a sistemas y

Uso de la misma identidad de usuario por

Contraseñas por defecto, del fabricante, en

Debilidades en el proceso de retiro o ajuste

Aplicaciones críticas para el IDRD con

Malas prácticas en el uso de contraseñas

Uso de programas utilitarios privilegiados,

Acceso no autorizado a códigos fuente de

26 Uso de controles criptográficos débiles

Pérdida y/o uso no autorizado de llaves

Acceso físico no autorizado a las

Daños en los equipos y/o interrupciones del

Daño de información y/o instalaciones de

Daños o mal funcionamiento de servidores

32 Retiro de activos sin autorización

Fuga de información por pérdida o robo de

Acceso no autorizado a información crítica

Ausencia del personal crítico que

Interceptación, interferencia o daño del

Fallas en sistemas o en la seguridad de los

Inadecuada o inexistente gestión de

Acceso no autorizado a información del

Acceso o cambios no autorizados en

Acceso no autorizado y/o alteración de

43 Logs de auditoría inexactos

44 Software con vulnerabilidades conocidas

CAUSA DEL RIESGO CONSECUENCIAS POTENCIALES

1. Incumplimiento norma ISO

A.5.1.1 - A.5.1.2. Se cuenta con manual de política s de TI y con una política

El manual de política s fue aprobado por planeación y la dirección general. 4

+ Resolución 658 de 2014

Documentar una política general, alcance y objetivos de seguridad de la

Actualizar el manual de política s de seguridad de la información para ampliar el

Aprobar la política general, el alcance, los objetivos de seguridad de la

El análisis de riesgos se realizó mediante la metodología d

El riesgo está agrupado en cuatro rangos:

Bajo (B): Riesgos que deben ser objeto de seguimiento po

Teniendo en cuenta las siguientes definiciones:

o Raro: El evento puede ocurrir solo en circunstancias exc

NOTA: Es importante evaluar la probabilidad de los riesgo

- Evitar: Evitar la actividad o la acción que da origen al ries

De acuerdo a los cuadrantes de riesgo definidos, el tratam

En la Plantilla de análisis de riesgos se presenta el cálculo

El nivel de aceptación de los riesgos está compuesto por a

- La siguiente ilustración permite observar las zonas de rie

Todos los riesgos que se encuentren en la zonas de no ace

NOTA: En algunos casos especiales, después de aplicar los