Formato Riesgos

No.
Riesgo Descripción de Riesgos Vulnerabilidad Agente de amaneza Evento de amenaza Consecuencia / Impacto Impacto Probabilidad Riesgo Inherente Código del Control Descripción del Control
CIS 4.4 Utilizar contraseñas unicas
Perdida de Debilidades en el control El outsider podria tener motivaciones para explotar la

Exponer datos que puedan afectar la
RF-001 confidencialidad de la de acceso y Outsider vulnerabilidad de la falta de controles para poder acceder a 7 6 42
informacion por: autenticación imagen del dueño del activo Registrar y alertar los inicios de sesión fallidos a cuentas
mi activo y poder consultar la informacion que desee. CIS 4.9
administrativas
CIS 5.4 Implementar herramientas de gestión de configuración de

Debilidades en el control Por la debilidad en el control de acceso, sistema
Perdida de integridad de El usuario deja su dispositivo en un lugar publico donde Registrar y alertar los inicios de sesión fallidos a cuentas
RF-002 de acceso y Usuario descuidado dicha persona puede acceder a toda la 8 5.6 44.8 CIS 4.9
la informacion por: autenticación alguien mas lo puede tomar. administrativas
información que este en el celular.
CIS 4.4 Utilizar contraseñas unicas
Debido a la vulnerabilidad en el control de acceso y Se pueden 'secuestrar' datos importantes CIS 5.3 Almacenar las imágenes de forma segura
Debilidades en el control
RF-003 Perdida de disponibilidad de acceso y Captura de informacion autenticacion se podria realizar una captura de informacion para el usuario y realizar extorciones para 6.5 5.8 37.7
de la informacion por: autenticación de manera relativamente sencilla ya sea por phising, devolverle sus datos o no ser expuestos y
backdoor o cualquiera de estos malware. generar una perdida de confidencialidad CIS 5.4 Implementar herramientas de gestión de configuración de
sistema
CIS 7.4 Bloquear tipos de archivos innecesarios

Perdida de Puede tener problemas legales o perdida de Monitorear y bloquear el tráfico de red no autorizado
Proteccion inadecuada Poder firmar documentos o archivos que puedan ser CIS 13.3
RF-004 confidencialidad de la de datos criticos
Suplantacion de Usuario clientes, adicional a esto perdida de la 5.9 7.1 41.89 Monitorear y detectar cualquier uso no autorizado de
informacion por: perjudiciales para la persona y/o organizacion. CIS 13.5
condifencialidad de la firma. cifrado
CIS 4.4 Usar contraseñas únicas
CIS 13.3 Monitorear y bloquear el tráfico de red no autorizado
un trabajador que tiene problemas con la empresa por estar Obtener informacion confidencial que ponen CIS 13.5 Monitorear y detectar cualquier uso no autorizado de
Perdida de disponibilidad Proteccion inadecuada mal remunerado, intenta mejorar su estilo de vida llevando en riesgo la informacion, ademas de la cifrado
RF-005 Insider insatisfecho 5.9 7.9 46.61
de la informacion por: de datos criticos esa informacion a entidades en los cuales se encargaran de exposicion de datos que dañen el nombre y
utilizar dicha informacion para beneficio propio. el prestigio de la empresa
CIS 20.1 Establecer un programa de prueba de penetración
CIS 20.2 Llevar a cabo pruebas periódicas de penetración externa e

Una persona es la unica quetiene el control y acceso de una interna
Obtener informacion confidencial que ponen CIS 14.6 Proteger la información mediante lista de control de acceso
Perdida de informacion confidencial, asi que decide compartirla con
Proteccion inadecuada en riesgo la informacion de la empresa,
RF-006 confidencialidad de la de datos criticos
Abuso de privilegios otra persona externa de la empresa para asi aprovecharse 5.375 5.5 29.5625 CIS 17.3 Implementar un programa de concientización de seguridad
informacion por: ademas de la exposicion de datos que
de ella, nadie se da cuenta por ser el unico que maneja CIS 17.7 Capacitar a la fuerza laboral en manejo de datos sensibles
dañen el nombre y el prestigio
dicha informacion.
CuantoCódigo:
se Fecha de Aprobación:
Mueve
-Miguel
Angel Espinosa
Cuellar
Definición del Frecuencia de CALIFICACIÓN CALIFICACIÓN Ejecución del EJECUCIÓN CALIFICACIÓN CALIFICACIÓN EFECTIVIDAD EJECUCIÓN Desempeño NIVEL DE
control % Tipo de control % Naturaleza % aplicación % EFECTIVIDAD EFECTIVIDAD control CONTROL CONTROL CONTROL Qué mitiga? CONSOLIDADA CONSOLIDADA del control RIESGO I F Impacto Probabilidad Riesgo Residual
% # RESIDUAL
A-Preventivo - B-Manual - A-En línea -

Adecuado 25% Adecuado 25% Adecuado 15% Adecuado 25% 90% 3 B-Media 2 6 Fuerte Frecuencia
3 2 6 2 7 4 7 4 28
C-Detectivo - A-Automático - A-En línea -

C-Detectivo - A-Automático - A-En línea -

Adecuado 25% Adecuado 15% Adecuado 25% Adecuado 25% 90% 3 B-Media 2 6 Fuerte Frecuencia 3 2 6 2 6 3.6 6 3.6 21.6

A-Preventivo - A-Automático - A-En línea -

Adecuado 25% Adecuado 25% Adecuado 25% Adecuado 25% 100% 3 B-Media 2 6 Fuerte Impacto
3 2 6 2 4.5 3.8 4.5 3.8 17.1
A-Preventivo - A-Automático - A-En línea -

B-Correctivo - B-Manual - A-En línea -

Adecuado 25% Adecuado - 15% Adecuado- 15% Adecuado 25% 80% 2 B-Media 2 4 Moderado Frecuencia
C-Detectivo B-Manual A-En línea - 2 2 4 1 5.9 6.1 5.9 6.1 35.99
Adecuado 25% Adecuado 15% Adecuado 15% Adecuado 25% 80% 2 B-Media 2 4 Moderado Frecuencia
B-Correctivo - B-Manual - A-En línea -
C-Detectivo - B-Manual - A-En línea -
2 2 5 1 5.9 6.9 5.9 6.9 40.71
A-Preventivo - B-Manual - B-Aleatorio -

Adecuado 25% Adecuado - 25% Adecuado- 15% Adecuado 25% 90% 3 B-Media 2 6 Fuerte Frecuencia
A-Preventivo B-Manual A-En línea -
Adecuado 25% Adecuado - 25% Adecuado- 15% Adecuado 25% 90% 3 B-Media 2 6 Fuerte Frecuencia 3 2 6 2 5.375 3.5 5.375 3.5 18.8125
A-Preventivo B-Manual A-En línea -
Código:
Matriz de Riesgo de Seguridad
Versión:
Muy Alta
5
P Alta
R 4
O
B
A
B
I Moderada
L 3
I
D
A
D Baja
2
Muy Baja
1
Inferior Menor Importante Mayor Superior

1 2 3 4 5
IMPACTO
Fecha de aprobación:
MEGA
Variable Medición %
Documentación Si 5%
No 0%
Tipo Automático 20%
Manual 10%
Naturaleza Preventivo 10%
Correctivo 5%
Población Censo 15%
Muestra 10%
Efectividad Alta > = 40
Media > = 25 y < 40
Baja < 25
Ejecución Alta 3 50
Media 2 25
Baja 1 10
1) Calificación de riesgo residual de frecuencia = Frecuencia Inherente - ( Frecuencia Inherente * Porcentaje de mitig
2) Calificación de riesgo residual de impacto = Impacto Inherente - ( Impacto Inherente * Porcentaje de mitigación d
F I Color F: I: Color
1 1 Verde 1-1 Verde

2 1 Verde 2-1 Verde
3 1 Verde 3-1 Verde
4 1 Verde 4-1 Verde
5 1 Verde 5-1 Verde
1 2 Verde 1-2 Verde
2 2 Verde 2-2 Verde
1 3 Azul 1-3 Azul
2 3 Azul 2-3 Azul
3 3 Azul 3-3 Azul
3 2 Azul 3-2 Azul
4 2 Azul 4-2 Azul
5 2 Azul 5-2 Azul
1 4 Amarillo 1-4 Amarillo
5 4 Rojo 5-4 Rojo
1 5 Rojo 1-5 Rojo
2 5 Rojo 2-5 Rojo
3 5 Rojo 3-5 Rojo
4 5 Rojo 4-5 Rojo
5 5 Rojo 5-5 Rojo
Riesgo Residual
5
Frecuencia
2
Frec
1
1 2 3 4
Impacto
DEFINICIÓN TIPO DE
% % NATURALEZA %
DEL CONTROL CONTROL
A-Preventivo - A-Automático -
Adecuado 25% 25% 25%
Adecuado -
B-Correctivo Adecuado-
B-Manual
Inadecuado 0% 15% 15%
Adecuado -
C-Preventivo Adecuado -
C-Automático
0% 0%
Inadecuado Inadecuado
e * Porcentaje de mitigación de frecuencia )

centaje de mitigación de impacto )
Zona de
F I Color F: I:
Riesgo
Bajo 1 1 Verde 1-1

Bajo 2 1 Verde 2-1
Bajo 3 1 Verde 3-1
Bajo 2 1 Verde 2-1
Bajo 2 2 Verde 2-2
Bajo 1 3 Verde 1-3
Bajo 4 1 Amarilla 4-1
Moderado 3 2 Amarilla 3-2
Moderado 5 1 Naranja 5-1
Alto 2 4 Naranja 2-4
Alto 5 2 Rojo 5-2
Alto 4 3 Rojo 4-3
Alto 5 3 Rojo 5-3
Alto 3 4 Rojo 3-4
Extremo 4 4 Rojo 4-4
al Riesgo Residual
5
Frecuencia
2
Frec
1
5 1 2 3
Impacto
NASE
FRECUENCIA
CALIFICACIÓN CALIFICACIÓN EJECUCIÓN EJECUCIÓN CALIFICACIÓN CALIFICACIÓN
DE % QUE MITIGA?
A-En línea - EFECTIVIDAD EFECTIVIDAD CONTROL CONTROL CONTROL CONTROL
APLICACIÓN 25% 0 1 A-Alta 3 0 Débil Frecuencia
Adecuado -
B-Aleatorio
15% 51% 2 B-Media 2 3 Moderado Impacto
Adecuado
C-En línea -
0% 81% 3 C-Baja 1 6 Fuerte Frec e Imp
Inadecuado
Zona de
Color
Riesgo
Verde Bajo
Verde Bajo
Verde Bajo
Verde Bajo
Verde Bajo
Verde Bajo
Amarilla Medio
Amarilla Medio
Amarilla Medio
Amarilla Medio
Naranja Alto
Naranja Alto
Naranja Alto
Naranja Alto
Naranja Alto
Rojo Extremo
Rojo Extremo
Rojo Extremo
Rojo Extremo
Rojo Extremo
Rojo Extremo
Rojo Extremo
Rojo Extremo
Rojo Extremo
Rojo Extremo
o Residual
4 5
mpacto
Variable Medición %
Documentación Si 5%
No 0%
Tipo Automático 20%
Manual 10%
Naturaleza Preventivo 10%
Correctivo 5%
Población Censo 15%
Muestra 10%
Efectividad Alta > = 40
Media > = 25 y < 40
Baja < 25
Ejecución Alta 3 50
Media 2 25
Baja 1 10
1) Calificación de riesgo residual de frecuencia = Frecuencia Inherente - ( Frecuencia Inherente * Porcentaje de mitig
2) Calificación de riesgo residual de impacto = Impacto Inherente - ( Impacto Inherente * Porcentaje de mitigación d
F I Color F: I: Color
1 1 Verde 1-1 Verde

2 1 Verde 2-1 Verde
3 1 Verde 3-1 Verde
4 1 Verde 4-1 Verde
5 1 Verde 5-1 Verde
1 2 Verde 1-2 Verde
2 2 Verde 2-2 Verde
1 3 Azul 1-3 Azul
2 3 Azul 2-3 Azul
3 3 Azul 3-3 Azul
3 2 Azul 3-2 Azul
4 2 Azul 4-2 Azul
5 2 Azul 5-2 Azul
5 4 Rojo 5-4 Rojo
1 5 Rojo 1-5 Rojo
2 5 Rojo 2-5 Rojo
3 5 Rojo 3-5 Rojo
4 5 Rojo 4-5 Rojo
5 5 Rojo 5-5 Rojo
Riesgo Residual
5
Frecuencia
2
Frec
1
1 2 3 4
Impacto
DEFINICIÓN TIPO DE
% % NATURALEZA %
DEL CONTROL CONTROL
A-Preventivo - A-Automático -
Adecuado 25% 25% 25%
Adecuado -
B-Correctivo Adecuado-
B-Manual
Inadecuado 0% 15% 15%
Adecuado -
C-Detectivo Adecuado -
C-Automático
10% 0%
Adecuado Inadecuado
e * Porcentaje de mitigación de frecuencia )

centaje de mitigación de impacto )
Zona de
F I Color F: I:
Riesgo
Bajo 1 1 Verde 1-1

Bajo 2 1 Verde 2-1
Bajo 3 1 Verde 3-1
Bajo 2 1 Verde 2-1
Bajo 2 2 Verde 2-2
Bajo 1 3 Verde 1-3
Bajo 4 1 Amarilla 4-1
Alto 5 2 Rojo 5-2
Alto 4 3 Rojo 4-3
Alto 5 3 Rojo 5-3
Alto 3 4 Rojo 3-4
al Riesgo Residual
5
Frecuencia
2
Frec
1
5 1 2 3
Impacto
FRECUENCIA CALIFICACIÓN CALIFICACIÓN EJECUCIÓN EJECUCIÓN CALIFICACIÓN CALIFICACIÓN
DE % QUE MITIGA?
A-En línea - EFECTIVIDAD EFECTIVIDAD CONTROL CONTROL CONTROL CONTROL
APLICACIÓN 25% 0 1 A-Alta 3 0 Débil Frecuencia
Adecuado -
B-Aleatorio
15% 51% 2 B-Media 2 3 Moderado Impacto
Adecuado
C-En línea -
0% 81% 3 C-Baja 1 6 Fuerte Frec e Imp
Inadecuado
Zona de
Color
Riesgo
Verde Bajo
Verde Bajo
Verde Bajo
Verde Bajo
Verde Bajo
Verde Bajo
Amarilla Medio
Amarilla Medio
Amarilla Medio
Amarilla Medio
Naranja Alto
Naranja Alto
Naranja Alto
Naranja Alto
Naranja Alto
Rojo Extremo
Rojo Extremo
Rojo Extremo
Rojo Extremo
Rojo Extremo
Rojo Extremo
Rojo Extremo
Rojo Extremo
Rojo Extremo
Rojo Extremo
o Residual
4 5
mpacto

Idioma

Formato Riesgos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Formato Riesgos

Título original:

Cargado por

Copyright:

Formatos disponibles

No.

CIS 4.4 Utilizar contraseñas unicas

Perdida de Debilidades en el control El outsider podria tener motivaciones para explotar la

CIS 5.4 Implementar herramientas de gestión de configuración de

CIS 7.4 Bloquear tipos de archivos innecesarios

CIS 20.2 Llevar a cabo pruebas periódicas de penetración externa e

A-Preventivo - B-Manual - A-En línea -

A-Preventivo - B-Manual - A-En línea -

C-Detectivo - A-Automático - A-En línea -

A-Preventivo - B-Manual - A-En línea -

A-Preventivo - A-Automático - A-En línea -

A-Preventivo - A-Automático - A-En línea -

B-Correctivo - B-Manual - A-En línea -

A-Preventivo - B-Manual - A-En línea -

Inferior Menor Importante Mayor Superior

1 1 Verde 1-1 Verde

e * Porcentaje de mitigación de frecuencia )

Bajo 1 1 Verde 1-1

1 1 Verde 1-1 Verde

e * Porcentaje de mitigación de frecuencia )

Bajo 1 1 Verde 1-1

Intereses relacionados

También podría gustarte