METODOLOGIA DE GESTION DE RIESGOS DE SEGURIDAD DE INFORMACION

1. PROPÓSITO

El presente documento describe un conjunto de procedimientos y directrices a ser aplicadas para la

gestión de riesgos de Seguridad de la Información a niveles tolerables para LA COMPAÑIA S.A.

La metodología de análisis y gestión de riesgos de Seguridad de la Información tiene como objetivos:

+ Definir un adecuado proceso de gestión de riesgos de Seguridad de la Información en LA

COMPAÑIA S.A., asegurando el cumplimiento de la Política Corporativa de Seguridad de la
Información.

+ Establecer una metodología para la identificación, valoración, análisis, tratamiento, aceptación y

seguimiento de los riesgos de seguridad de la información a los cuales se encuentra expuesta la
COMPAÑIA, garantizando la operatividad y efectividad del negocio.

2. ALCANCE

El proceso de gestión de riesgos de seguridad de la información forma parte de la operación de Seguridad

de la Información y su aplicabilidad corresponde a los procesos dentro del alcance del Sistema de Gestión
de Seguridad de la Información de la COMPAÑIA.

3. DEFINICIONES

A continuación se definen algunos conceptos que deben estar claros para dar cumplimiento apropiado a
la presente política:

+ Aceptación del Riesgo: Según [ISO/IEC Guía 73:2002]: Decisión de aceptar un riesgo.

+ Activo de información: En relación con la seguridad de la información, se refiere a cualquier

información o recurso (físicos, de información, software, documentos, servicios, personas, etc.)
dentro del alcance del SGSI, que tengan valor para la COMPAÑIA y necesite por tanto ser
protegidos de potenciales riesgos de seguridad de la información. Según [ISO/IEC 13335-1:2004]:
Cualquier cosa que tiene valor para la COMPAÑIA.

+ Alcance: Ámbito de la COMPAÑIA que queda sometido al SGSI. Debe incluir la identificación clara
de las dependencias, interfaces y límites con el entorno, sobre todo si sólo incluye una sección de
la COMPAÑIA.

+ Amenaza: Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual

puede causar el daño a un sistema o la COMPAÑIA.

+ Análisis de riesgos: Según [ISO/IEC Guía 73:2002]: Uso sistemático de la información para
identificar fuentes y estimar el riesgo.

+ Análisis de riesgos cualitativo: Análisis de riesgos en el que se usa una escala de puntuaciones
para situar la gravedad del impacto.

+ Confidencialidad: Acceso a la información por parte únicamente de quienes estén autorizados.

Según [ISO/IEC 13335-1:2004]:" característica/propiedad por la que la información no está
disponible o revelada a individuos, entidades, o procesos no autorizados.

+ Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas
para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido.
(Nota: Control es también utilizado como sinónimo de salvaguarda o contramedida).
+ Disponibilidad: Acceso a la información y los sistemas de tratamiento de la misma por parte de
los usuarios autorizados cuando lo requieran. Según [ISO/IEC 13335-1:2004]: característica o
propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad
autorizada.

+ Evaluación de riesgos: Según [ISO/IEC Guía 73:2002]: proceso de comparar el riesgo estimado
contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo.

+ Gestión de riesgos: Proceso de identificación, control y minimización o eliminación, a un costo

aceptable, de los riesgos que afecten a la información de la COMPAÑIA. Incluye la valoración de
riesgos y el tratamiento de riesgos. Según [ISO/IEC Guía 73:2002]: actividades coordinadas para
dirigir y controlar una COMPAÑIA con respecto al riesgo.

+ Impacto: El costo para la empresa de un incidente -de cualquier escala-, que puede o no ser
medido en términos estrictamente financieros, por ejemplo pérdida de reputación, implicaciones
legales, entre otros.

+ Incidente: Evento único o serie de eventos de seguridad de la información inesperados o no

deseados que compromete las operaciones del negocio y amenaza la seguridad de la información.

+ Integridad: Mantenimiento de la exactitud y completitud de la información y sus métodos de

proceso. Según [ISO/IEC 13335-1:2004]: propiedad/característica de salvaguardar la exactitud y
completitud de los activos.

+ Plan de tratamiento de riesgos: Documento de gestión que define las acciones para reducir,
prevenir, transferir o asumir los riesgos de seguridad de la información inaceptables e implantar
los controles necesarios para proteger la misma.

+ Política Corporativa de seguridad de la información: Documento que establece el compromiso de

la Dirección y el enfoque de la COMPAÑIA sobre la gestión de la seguridad de la información.
Según [ISO/IEC 27000:2012]: intención y dirección general expresada formalmente por la
Dirección.

+ Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar
una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la
probabilidad de un evento y sus consecuencias.

+ Riesgo Residual: Según [ISO/IEC Guía 73:2002] El riesgo que permanece tras el tratamiento del
riesgo.

+ Seguridad de la Información: Según [ISO/IEC 27000:2012]: Preservación de la confidencialidad,

integridad y disponibilidad de la información; además, otras propiedades como la autenticidad,
responsabilidad, no repudio y fiabilidad pueden ser también consideradas.

+ SGSI: Sistema de Gestión de la Seguridad de la Información. Según [ISO/IEC 27000:2012]: parte de

un sistema gestión global basado en un enfoque de riesgos para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar la seguridad de la información. (Nota: el sistema de
gestión incluye una estructura de COMPAÑIA, políticas, planificación de actividades,
responsabilidades, procedimientos, procesos y recursos).

+ Tratamiento de riesgos: Según [ISO/IEC Guía 73:2002]: Proceso de selección e implementación de

medidas para modificar el riesgo.

+ Valoración de riesgos: Según [ISO/IEC Guía 73:2002]: Proceso completo de análisis y evaluación
de riesgos.
 + Vulnerabilidad: Debilidad en la seguridad de la información de la COMPAÑIA que potencialmente
permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un
activo o conjunto de activos que puede ser explotado por una amenaza.

4. METODOLOGÍA DE GESTIÓN DE RIESGOS

LA COMPAÑIA S.A., reconoce la necesidad de mantener los riesgos de Seguridad de la Información a los
cuales se encuentra expuesta su información. Por ello, se establece una metodología que permita la
identificación, valoración, análisis, tratamiento, aceptación y seguimiento de los riesgos de seguridad de la
información.

La metodología se define sobre la base de principios cualitativos, es decir, hace uso de valores subjetivos
de acuerdo al conocimiento y experiencia de las parte involucradas en el proceso de análisis de los riesgos
de seguridad de la información.

Dicho proceso de análisis se encuentra alineado a los principios y lineamientos genéricos expuestos en el
estándar internacional ISO 31000.

A continuación se presentan el detalle de cada etapa de la metodología implementada indicado sus

objetivos, actividades y entregables esperados.

Diagrama 01: Metodología de gestión de riesgos de seguridad de la información

4.1 COMUNICACIÓN Y CONSULTA

OBJETIVOS

La comunicación y consulta son procesos que serán ejecutados de forma transversal y durante
todas las demás etapas de la gestión de riesgos con la finalidad de mantener informado a los
procesos de negocio sobre los riesgos identificados a través del ciclo de vida de la metodología.

ACTIVIDADES

El Responsable de Seguridad de la Información de LA COMPAÑIA S.A. comunicará a los

trabajadores y terceros la necesidad de su participación en uno o más etapas del proceso de
análisis de riesgos. Dichas actividades serán comunicadas con 1 mes de anticipación al inicio de su
ejecución.

Como parte de las funciones del Responsable de Seguridad de la Información cada reunión o taller
programado con un proceso incluirá una breve inducción para asegurar y alinear los conocimientos
en riesgos de seguridad de la información y facilitar el desarrollo de las siguientes etapas.
Adicionalmente, se comunicará a cada Proceso participante, sus responsabilidades sobre la
 comunicación y consultas sobre el proceso de gestión y análisis de riesgos de seguridad de la
información, incluyendo por lo menos los siguientes aspectos:

+ Falta de entendimiento y/o conocimiento de algún concepto, criterios o formatos requeridos

para el análisis de riesgos.

+ Falta de entendimiento y/o conocimiento de los procesos, metodología y consideraciones a

tomar en cuenta como parte del análisis de riesgos.

+ Toda la información requerida para el cumplimiento de alguna de las etapas de la

metodología de análisis de riesgos.

+ Riesgos de seguridad de la información a los cuales se encuentra expuesto alguna información

o activo de información de LA COMPAÑIA S.A. y que no cuenta con los controles adecuados.

+ Retrasos en la participación y atención de alguna etapa en donde sea requerido el personal

interno o externo.

+ Cambios en la descripción y/o valoración de los riesgos existentes.

+ La aprobación o sustento de desacuerdo a los resultados obtenidos.

+ La aceptación de riesgos a los cuales se encuentra expuesto sin contar con medidas de control
adecuados.

Ante alguna consulta por parte de un proceso, el Área de Seguridad de la Información emitirá una
respuesta o remitirá la consulta en un tiempo no mayor a 5 días laborales.

Adicionalmente, el Responsable de Seguridad de la Información comunicará lo siguiente a las

partes involucradas en el análisis de riegos, filtrando solo la información de su propiedad:

+ Los resultados obtenidos del análisis de riesgos.

+ El plan de tratamiento de riesgos.

+ Las responsabilidades para el tratamiento de los riesgos no tolerables.

+ Cambios realizados en la identificación y/o valoración de riesgos, o en el plan de tratamiento.

ENTREGABLES

+ Formularios y/o correos de consultas y repuestas entre los procesos y el área de Seguridad de
la Información.

4.2 CONTEXTO

OBJETIVOS

El principal propósito de esta etapa es entender y garantizar que los objetivos y preocupaciones de
las partes involucradas internas o externas que se están tomando en consideración al desarrollar
los criterios y alcance de la evaluación de riesgos.

ACTIVIDADES

El Área de Seguridad de la información deberá tener en cuenta los siguientes aspectos antes de dar
inicio al proceso de análisis:
 + Estrategias y objetivos de la COMPAÑIA.

+ Disposiciones constitucionales y/o legales aplicables.

+ Decisiones y requerimientos de los procesos.

+ Alcance del SGSI.

+ Análisis de selección de procesos.

+ Requerimientos como resultado de proyectos relacionados.

+ Capacidades, entendidas en términos de recursos y conocimientos.

+ La cultura de la COMPAÑIA

+ Flujos de información existentes y procesos de toma de decisiones (formales e informales).

Como resultado el Responsable de Seguridad de la información generará un plan de ejecución del

análisis de riesgos que detallará el alcance de los procesos involucrados, los tiempos y actividades
requeridas por proceso.

Adicionalmente, se ejecutará el procedimiento de obtención de la Matriz de Activos de

Información sobre cada proceso dentro del alcance de la evaluación de riesgos de seguridad de la
información. Para ello se deberá hacer uso de la matriz descrita en el Anexo 01: Formato de Matriz
de Inventario de Activos de Información, del presente documento.

ENTREGABLES

+ Matrices de Activos de Información de los procesos dentro del alcance de la revisión. Hacer
uso del formato descrito en el Anexo 01: Formato de Matriz de Inventario de Activos de
Información

+ Plan de ejecución del análisis de riesgos de seguridad de la información debidamente

aprobado por el Comité Permanente de SI y posteriormente aprobado por el Comité Ejecutivo
de Seguridad de Información.

+ Invitación y programación de los talleres de riesgos de seguridad de la información con los

Procesos dentro del plan de ejecución.

4.3 IDENTIFICACIÓN DE RIESGOS

OBJETIVO

El objetivo de esta etapa es poder identificar todos los posibles riesgos de seguridad de la
información a los cuales se encuentra expuesta la información de los procesos de la COMPAÑIA
que formaran parte del alcance de la revisión.

ACTIVIDADES

La identificación de riesgos se realizará como parte de un proceso de revisión y relevamiento a

través de talleres con los procesos dentro del alcance, de acuerdo al plan de ejecución del análisis
de riesgos establecido en la etapa de Contexto (4.2).

Además, del relevamiento a través de los talleres programados en el plan descrito anteriormente,
se tendrán en cuenta los siguientes posibles catalizadores para la identificación y/o detección de
riesgos:
 + Cambios en el SGSI

+ Cambios en los Procesos

+ Revisiones Independiente

+ Informes de Auditoría Interna / Externa

+ Eventos e incidentes de Seguridad de la Información

+ Revisión y seguimiento de indicadores del SGSI

+ Resultados anteriores del tratamiento de riesgos de Seguridad de la Información

+ Propuestas de mejora por trabajadores o terceros.

Adicionalmente, como parte de la identificación de riesgos se especificarán las amenazas y

vulnerabilidades o debilidades que generan cada riesgo identificado.

ENTREGABLES

+ Listado de amenazas, vulnerabilidades y riesgos de seguridad de la información indicando la

información y activos o tipos de activos de información relacionados a cada riesgo. Hacer uso
del formato descrito en el Anexo 02: Formato de Matriz de Evaluación de Riesgos.

4.4 ANÁLISIS DE RIESGOS

OBJETIVOS

El propósito de esta etapa es permitir a los procesos de negocio analizar e identificar el valor del
riesgo de seguridad de la información al cual se encuentra expuesta su información.

ACTIVIDADES

En esta etapa cada propietario de la información o responsable de los procesos dentro del alcance
del análisis, establezca el valor del riesgo de seguridad de la información al cual se encuentra
expuesta la información del Proceso. Dicho valor se define a través de la selección del impacto y
probabilidad del riesgo que más se ajuste a la realidad del proceso, de acuerdo a los
procedimientos indicados en la sección Actividades

SELECCIÓN DEL NIVEL DE IMPACTO

La selección del nivel de impacto se realizará de acuerdo a los criterios descritos en cada nivel de la
Tabla 01: Criterios de selección de impacto relacionados con la operatividad, incumplimiento de
objetivos, pérdida de clientes, pérdida económica, regulaciones, daño reputacional y datos
personales. El usuario de negocio o responsable del riesgo analizado indicará, bajo una perspectiva
del proceso al que pertenece, que criterio más crítico se origina si la materialización del riesgo
afecta a la información o activos de información involucrados. Solo es necesario que un criterio
aplique para seleccionar el nivel de impacto al que pertenece.

Impacto
 Impacto
Criterio 1: Afecta irreversiblemente al proceso, no pudiendo continuar con la operación
Criterio 2: Origina incumplimiento de objetivos y obligaciones del proceso
Criterio 3: Origina reclamos y pérdida de clientes externos y/o internos de forma que afecte
a la continuidad de la COMPAÑIA
Criterio 4: Origina una pérdida económica no esperada como consecuencia de su
Catastrófico materialización
Criterio 5: Tiene un impacto significativo a nivel de sanciones, penalidades y cumplimiento
regulatorio
Criterio 6: Afecta irreversiblemente a la reputación de la COMPAÑIA
Criterio 7: Afecta al adecuado tratamiento de datos personales de un banco de datos
personales de forma sistemática y/o recurrente (Principios: Legalidad, Consentimiento o
Autorización, Finalidad, Proporcionalidad, Calidad, Seguridad)
Criterio 1: Afecta considerablemente al proceso, el cual puede continuar operando con
dificultades por un tiempo limitado
Criterio 2: Causa interrupciones o errores que afectan al cumplimiento de objetivos y
obligaciones del proceso
Criterio 3: Origina reclamos y pérdida de clientes externos y/o internos
Criterio 4: Origina una pérdida económica no esperada como consecuencia de su
materialización
Mayor
Criterio 5: Tiene un impacto no significativo a nivel de sanciones, penalidades y
cumplimiento regulatorio
Criterio 6: Afecta significativamente a la reputación de la COMPAÑIA y se deben tomar
acciones correctiva inmediatamente
Criterio 7: Afecta al adecuado tratamiento de datos personales de un banco de datos
personales (Principios: Legalidad, Consentimiento o Autorización, Finalidad,
Proporcionalidad, Calidad, Seguridad)
Criterio 1: Afecta al proceso, el cual puede continuar operando sin dificultades por un
tiempo limitado
Criterio 2: Causa interrupciones o errores en los procesos pero no afectan al cumplimiento
de sus objetivos y obligaciones
Criterio 3: Origina reclamos o pérdida de clientes externos y/o internos
Criterio 4: Origina una pérdida económica esperada como consecuencia de su
Moderado materialización
Criterio 5: No tiene un Impacto a nivel de sanciones, penalidades o cumplimiento
regulatorio.
Criterio 6: Afecta a la reputación de la COMPAÑIA, y se deben tomar acciones correctivas
Criterio 7: Afecta al adecuado tratamiento de datos personales de un banco de datos
personales (Principios: Legalidad, Consentimiento o Autorización, Finalidad,
Proporcionalidad, Calidad, Seguridad)
Criterio 1: El proceso puede seguir operando sin dificultades por un tiempo prolongado
Criterio 2: Causa mínimas interrupciones o errores en los procesos pero no afectan al
cumplimiento de sus objetivos y obligaciones
Criterio 3: Origina reclamos de clientes externos y/o internos
Criterio 4: Puede originar una pérdida económica mínima como consecuencia de su
Menor
materialización
Criterio 5: No tiene un Impacto a nivel de sanciones, penalidades o cumplimiento
regulatorio.
Criterio 6: Puede originar un Impacto mínimo sobre la reputación de la COMPAÑIA
Criterio 7: No afecta a datos personales
Criterio 1: No afecta la operatividad del proceso
Criterio 2: No causa interrupciones o errores en los procesos operativos que afecten el
cumplimiento de objetivos y obligaciones
Criterio 3: No origina reclamos o pérdida de clientes externos o internos
Poco
Criterio 4: No origina pérdidas económicas como consecuencia de su materialización
significativo
Criterio 5: No tiene un Impacto a nivel de sanciones, penalidades o cumplimiento
regulatorio.
Criterio 6: No afecta a la reputación de la COMPAÑIA
Criterio 7: No afecta a datos personales
Tabla 01: Criterios de selección de impacto relacionados
SELECCCIÓN DEL NIVEL DE PROBABILIDAD

La selección del nivel de probabilidad se realizará, de igual forma que el impacto; es decir, de
acuerdo a los criterios descritos en cada nivel de la Tabla 02: Criterios de selección de
probabilidad relacionados con la ocurrencia y condiciones que favorezcan la materialización del
riesgo. El usuario de negocio o responsable del riesgo analizado indicará, bajo una perspectiva del
proceso al que pertenece, que criterio más crítico se ajusta más a la realidad del riesgo que afecta
a la información o activos de información involucrados. Solo es necesario que un criterio sea
identificado para seleccionar el nivel de probabilidad al que pertenece.

Probabilidad
Criterio 1: Ha ocurrido al menos una vez al día
Casi Seguro Criterio 2: Existen condiciones que favorecen altamente la materialización del riesgo (No
existen controles)
Criterio 1: Ha ocurrido al menos una vez al mes y/o es probable que ocurra los próximos
meses
Probable
Criterio 2: Existen condiciones que favorecen medianamente la materialización del riesgo
(Los controles existentes no son suficientes)
Criterio 1: Ha ocurrido al menos una vez en el último año y/o es probable que ocurra el
próximo año
Posible
Criterio 2: Existen pocas condiciones para la materialización del riesgo (Existen controles que
podrían ser mejores)
Criterio 1: Ha ocurrido al menos una vez en los últimos 2 años y/o es probable que ocurra los
próximos 2 años
Improbable
Criterio 2: No existen condiciones pero podría ocurrir la materialización del riesgo (Existen
controles suficientes pero podría fallar)
Criterio 1: Ha ocurrido al menos una vez en los últimos 5 años y/o es probable que ocurra los
próximos 5 años
Raro
Criterio 2: No existen condiciones para la materialización del riesgo (Existen controles
suficientes)
Tabla 02: Criterios de selección de probabilidad

VALORACIÓN DEL RIESGO DE SEGURIDAD DE LA INFORMACIÓN

El valor del riesgo o nivel de exposición se obtiene de la relación impacto / probabilidad

seleccionado por el proceso de acuerdo a la siguiente Tabla 03: Matriz de valoración de riesgos y
nivel de tolerancia.

Mapa de Riesgos
Seguro
Casi

Alto Alto Extremo Extremo Extremo

Probable

Medio Alto Alto Extremo Extremo

Probabilidad
Posible

Bajo Medio Alto Extremo Extremo

Improbabl

Bajo Bajo Medio Alto Extremo

e
Raro

Bajo Bajo Medio Alto Alto

Poco
Menor Moderado Mayor Catastrófico
Significativo
Impacto
Tabla 03: Matriz de valoración de riesgos y nivel de tolerancia
 ENTREGABLES

+ Matriz de riesgos de seguridad de la información complementando el entregable de la etapa

anterior con la información del impacto, probabilidad, valor del riesgo, situaciones y controles
existentes en LA COMPAÑIA S.A. Hacer uso del formato descrito en el Anexo 02: Formato de
Matriz de Evaluación de Riesgos.

4.5 EVALUACIÓN DE RIESGOS

OBJETIVO

El propósito de esta etapa es definir, para los riesgos obtenidos en las etapas anteriores, cuáles
deberán ser tomados en consideración dentro del plan de tratamiento de riesgos.

ACTIVIDADES

La actividad descrita anteriormente es responsabilidad del Responsable de Seguridad de la

Información. Para definir qué riesgos serán tratados, se ha establecido que los riesgos no tolerables
corresponden a aquellos que presenten los siguientes niveles de riesgo, de acuerdo a lo mostrado
en la Tabla 03: Matriz de valoración de riesgos y nivel de tolerancia:

+ Alto

+ Extremo

Los riesgos con un valor inferior a los no tolerables, se considerarán como riesgos aceptables, sin
embargo, formarán parte de la etapa de revisión de cumplimiento para una adecuada gestión de
riesgos.

Finalmente, se formalizará adecuadamente la información proporcionada por los procesos en las

Matrices de Evaluación de Riesgos. Para ello se solicitará contar con un acta o correo electrónico
de conformidad dirigido a los participantes en el desarrollo de cada matriz.

ENTREGABLES

+ Matriz de riesgos de seguridad de la información completa. Hacer uso del formato descrito en
el Anexo 02: Formato de Matriz de Evaluación de Riesgos.

+ Acta o correo de aprobación de la información proporcionada en la Matriz de Evaluación de

Riesgos por parte del Proceso.

4.6 TRATAMIENTO DE RIESGOS

OBJETIVOS

El propósito de esta etapa es definir los planes de acción a seguir para el tratamiento de cada
riesgo to tolerable identificado en las etapas anteriores.

ACTIVIDADES

Se hará uso de la matriz descrita en el Anexo 03: Formato del Plan de Tratamiento de Riesgos.
Dicho documento será completado con toda la información relevante obtenida de las etapas
anteriores y del entendimiento de la situación actual por parte del Responsable de Seguridad de la
Información de LA COMPAÑIA S.A.

RIESGO INHERENTE
El riesgo inherente es el riesgo en su estado natural, antes de considerar los controles que tenga
asociados. El nivel de este riesgo se obtiene del producto de la probabilidad con la que podría
materializarse un riesgo y el impacto que este podría suponer.

De acuerdo al nivel de riesgo inherente identificado, se debe tomar alguna de las siguientes
estrategias:

+ Reducir el riesgo: Se deben evaluar y establecer controles que permitan mitigar el riesgo
asociado

+ Transferir el riesgo: La responsabilidad es transferida a un área diferente o, en última

instancia, a un tercero.

+ Aceptar el riesgo: En este caso, el líder usuario o propietario de la información, acepta el

riesgo de seguridad de la información.

Toda aceptación se deberá establecer formalmente por parte del responsable del proceso.
Para ello se deberá registrar haciendo uso del formato en el Anexo 04: Formato del Acta de
Aceptación de Riesgo. En dicho documento, se especifica la justificación de no aplicar una
medida de tratamiento al riesgo no tolerable de acuerdo a la metodología. El documento
debe ser visado adecuadamente por el propietario del proceso.

+ Eliminar el riesgo: En caso sea factible, se identifica la causa del riesgo para establecer
medidas que lo eviten e impidan su materialización absoluta.

EVALUACIÓN DE CONTROLES Y ESTIMACIÓN DEL NIVEL DE RIESGO RESIDUAL

Los controles identificados para cada uno de los riesgos son evaluados para determinar el aporte
que tienen en la mitigación de los riesgos inherentes y cuál será el nuevo nivel del riesgo residual.

La calificación del control se realiza en base a sus características. Para cada característica se han
definido opciones que tienen asignado un peso ponderado; y la sumatoria de estos pesos será el
valor final del propietario

Para ello se evaluarán, por cada control, las siguientes características:

+ Tipo

+ Nivel de automatización

+ Frecuencia

+ Persona que ejecuta el control

+ Documentación del control

+ Evidencia que deja el control

+ Suficiencia

Como resultado de la evaluación de controles asociados, se obtiene el riesgo residual. El detalle

sobre cómo realizar la calificación de controles se encuentra en el Anexo 03: Formato del Plan de
Tratamiento de Riesgos.

Luego de completar el plan de tratamiento de riesgos se presentará el resultado al Comité

Ejecutivo de Seguridad de la Información para contar con su aprobación ante de ser presentado a
 los procesos involucrados, para poder contar con su aprobación sobre la necesidad de la ejecución
de los planes de acción, antes de dar inicio a la implementación de cada propuesta de tratamiento.

Finalmente, se debe asegurar a través de los medios formales la aprobación de los recursos
solicitados para la implementación de los tratamientos requeridos.

ENTREGABLES

+ Plan de tratamiento de riesgos de seguridad de la información. Hacer uso del formato

descrito en el Anexo 03: Formato Plan de Tratamiento de Riesgos.

+ Declaración formal de aprobación de recursos para la implementación de tratamientos de

riesgos.

+ En caso aplique: Formato de aceptación de riesgos debidamente visado por el representante

del proceso. Hacer uso del formato descrito en el Anexo 04: Formato del Acta de Aceptación
de Riesgo.

4.7 REVISIÓN DE CUMPLIMIENTO

OBJETIVOS

El objetivo de esta etapa es mantener informada adecuadamente a las partes involucradas para
una oportuna toma de decisiones. La etapa deberá ser ejecutada durante todo el ciclo de la gestión
de riesgos.

ACTIVIDADES

La etapa de revisión de cumplimiento busca cumplir, como mínimo, con las siguientes actividades:

+ Informar a los Comité de Seguridad de la Información eventos que puedan perjudicar al

proceso de análisis y gestión de riesgos.

+ Asegurar que los controles de seguridad de la información son eficientes y eficaces en su

diseño y operación.

+ Captar oportunidades de mejora sobre el proceso de análisis y gestión de riesgos, a través de

comunicaciones, sesiones de lecciones aprendidas, cambios, eventos, éxitos y fracasos.

+ Detectar cambios por motivos internos o externos, e identificar si afecta la existencia, valor o
prioridad de tratamiento de algún riesgo.

+ Evaluar y detectar eventos haciendo uso de las métricas establecidas para cada tratamiento
de riesgo.

+ Mantener actualizada la Matriz de Tratamiento de riesgos.

Adicionalmente, el Responsable de Seguridad de la Información mantendrá un registro de todos

los hallazgos y eventos que requieran de algún tipo de atención. Dicho registro será presentado de
forma periódica a los Comités de Seguridad de la Información con el fin de acordar las mejores
medidas de acción a ejecutar.

Finalmente, se deberá establecer y mantener un proceso de revisión de cumplimiento sobre el Plan

de Tratamiento de Riesgos, dicho proceso incluirá, como mínimo de forma trimestral, la revisión,
actualización y presentación del avance al Comité Ejecutivo de Seguridad de la Información.
Además, se actualizará el Plan de Tratamiento ante la necesidad o cambio que se pueda presentar
en todo momento durante la ejecución de algún tratamiento o proyecto acordado.
ENTREGABLES

+ Informe formal de revisión de cumplimiento del proceso de análisis y gestión de riesgos,

debidamente presentados y sustentado al Comité ejecutivo de Seguridad de la Información.

+ Plan de Tratamiento de Riesgos debidamente actualizada.

 ANEXO 01

FORMATO DE MATRIZ DE INVENTARIO DE ACTIVOS DE INFORMACIÓN

Macro- Activo de
Proceso Descripción Ubicación Propietario Custodio Tipo Subtipo Clasificación Tasación
proceso Información

+ Macro proceso: Constituyen un primer nivel de operación y es un conjunto de procesos establecido por la COMPAÑIA.

+ Proceso: Conjunto de actividades que tienen un fin y que pertenece a un Macro-proceso.

+ Activo de Información: Todo objeto que emita, manipule, transporte y/o almacene información con valor para la COMPAÑIA, sus colaboradores o terceros
bajo algún medio físico o digital, como documentación impresa, archivos office, sistemas de información, personas internas o externas.

+ Descripción: Descripción del activo de información indicando el detalle del uso dado por el proceso.

+ Unidad Organizativa: Las unidades organizativas son los centros y/o establecimientos en los cuales LA COMPAÑIA realiza sus diversos procesos de negocio. La
Compañia cuenta con tres unidades COMPAÑIA, Unidad de Negocio y Operación.

+ Ubicació. Debe completarse los siguiente datos:

+ Ubicación Física: La ubicación física es el lugar tangible donde se encuentra el activo de información.

+ Ubicación Digital: La ubicación digital es el lugar donde se almacena el conjunto de datos personales y/o sensibles computarizado o automatizado.

+ Propietario: Es el colaborador dueño de la información o activo de información Es el responsable de rendir cuentas ante la pérdida de la confidencialidad,
integridad o disponibilidad de la información, definir y supervisar los controles necesarios para salvaguardar dichos activos.
 + Custodio: El custodio es el colaborador responsable del resguardo, almacenamiento y/o
manipulación de activos de información, designado por el dueño de la información.

+ Tipos y subtipo de Activos de Información: Los tipos de activos dependen del estado y si cambia
con el tiempo y para cada tipo existe un subtipo.

Tipo de Activos Definición Sub-Tipo Definición

Conjunto de elementos orientados al
tratamiento y administración de datos
Sistema de
e información, organizados y listos
Información
para su uso posterior, generados para
cubrir una necesidad o un objetivo.
Persona natural que es considerado
Persona
activo para la organización.
Organización o persona distinta a la
COMPAÑIA y sus colaboradores, que
Tercero mantiene alguna relación comercial,
contractual, regulatoria y/o legal con
la COMPAÑIA.
Modelo de aplicación distribuida en el que las
Cliente - Servidor tareas se reparten entre los proveedores de
recursos o servicios
Una página web es el nombre de un documento o
información electrónica capaz de contener texto,
Web sonido, vídeo, programas, enlaces y muchas otras
cosas, adaptada para la World Wide Web y que
puede ser accedida mediante un navegador
Interfaz que provee acceso a las funciones del
Consola de
Servidor de Administración, de manera local o
Administración
remotamente a través de la red.
Tipo de computadora de tamaño pequeño, con
capacidades de procesamiento, con conexión a
Móvil Internet, con memoria, diseñado específicamente
para una función, pero que pueden llevar a cabo
otras funciones más generales
Personal Interno Personas pertenecientes a la empresa
Personal Externo Personas externas a la empresa
Proveedor de
Proveedor que brinda servicios a la empresa
Servicio
Entidad que consume productos/servicios de la
Clientes
empresa
Fiscalizadores Ente que se encarga de inspeccionar la empresa
Reguladores Ente que se encarga de regular la empresa
Tipo de documento lógico en el que se pueden
Hoja de Cálculo
realizar cuadros, tablas, gráficos, estadísticas.
Tipo de documento lógico en el que se redacta
Hoja de Texto
información

Información Tipo de información automatizada o PDF Tipo de documento realizado en Adobe PDF
Digital computarizada. Imagen Archivo gráfico
Video Archivo con imágenes en movimiento
Audio Archivo de sonido.
File Server Ruta compartida dentro de un computador.
Base de Datos Lugar lógico de almacenamiento de información
Documentos Todo documento que es impreso y contiene
Impresos información.
Todo documento considerado como contrato con
Contratos
personal interno o terceros.
Información Física Tipo de información tangible
Todo documento utilizado para recopilar cierto
Formatos
grupo de datos.
Grupo de documentos físicos impresos, contratos
Files
y/o formatos.
+ Criterios de Tasación: La tasación es el proceso de estimar el valor de un activo de información. Esto
se realiza en base a los criterios de Confidencialidad, Integridad y Disponibilidad con valores del 0 (No
relevante) al 3 (Alto).

Criterios de la
Valor Clase Descripción
Valoración

Activo que solo puede ser de conocimiento estrictamente por

Confidencialidad 3 Alta
algunas personas en particular.
 Activo disponible dentro de la organización con restricciones
2 Media
variadas para ciertas áreas.

Activo que puede ser publicado a cualquier persona de la

1 Baja
compañía.

0 No relevante Activo que puede ser publicado al público en general

3 Alta El activo debe estar disponible en todo momento.

2 Media El activo puede no estar disponible por menos de un día.

Disponibilidad
1 Baja El activo puede no estar disponible por más de un día.

0 No relevante El activo puede no estar disponible.

El daño o modificación no autorizada generará un fuerte

3 Alta impacto en la empresa y podría conllevar a consecuencias
críticas.
El daño o modificación no autorizada generará un impacto
2 Media
significativo en la empresa.
Integridad
El daño o modificación no autorizada generará un impacto
1 Baja
insignificante o menor en la empresa.

El daño o modificación no autorizada no generará un impacto

0 No relevante
negativo en la empresa.

+ Criterios de Clasificación: Calificativo otorgado a la información o activo de información

establecido por la COMPAÑIA que determina el tratamiento adecuado que todo colaborador o
tercero debe cumplir y/o hacer cumplir.

+ Secreto

+ La información provee una ventaja competitiva.

+ La información contiene estrategias específicas de negocio.

+ La información es vital para la comercialización de los productos ofrecidos por la

COMPAÑIA.

+ La pérdida de la confidencialidad, integridad o disponibilidad de la información

representa un riesgo significativo para la COMPAÑIA, debido a que afecta la
continuidad del negocio.

+ La información requiere contar con controles de accesos al personal adecuado.

Además, todo acceso deberá ser autorizado y monitoreado por el propietario de
la información.

+ La información contiene datos personales sensibles de acuerdo a la Ley de

Protección de Datos Personales N°29733 vigente.

+ Confidencial

+ La información provee una ventaja competitiva.

+ La información contiene estrategias específicas de negocio para un periodo de

tiempo.
 + La información es importante pero la comercialización de los productos
ofrecidos por la COMPAÑIA.

+ La pérdida de la confidencialidad, integridad o disponibilidad del activo de

información representa un riesgo para la COMPAÑIA, pero no afecta la
continuidad del negocio.

+ La información requiere contar con controles de accesos al personal adecuado.

Además, todo acceso deberá ser autorizado y monitoreado por el propietario de
la información.

+ La información contiene datos personales no sensibles de acuerdo a la Ley de

Protección de Datos Personales N°29733 vigente.

+ Privada

+ Todo colaborador de la COMPAÑIA puede tener acceso a la información.

+ La pérdida de la confidencialidad, integridad o disponibilidad del activo de

información representa un bajo riesgo para la COMPAÑIA.

+ La información requiere contar con controles de accesos al personal de la

COMPAÑIA de acuerdo a sus funciones, sin necesidad de la autorización del
propietario de la información.

+ La información no contiene datos personales de acuerdo a la Ley de Protección

de Datos Personales N°29733 vigente.

+ Público

+ La información no requiere contar con restricciones de acceso.

+ Información que es de conocimiento público y no representa riesgos para la

COMPAÑIA.
 ANEXO 02

FORMATO DE MATRIZ DE EVALUACIÓN DE RIESGOS

EVALUACIÓN DEL RIESGO

Tipo de Activos Riesgo
Código de Riesgo Amenaza Vulnerabilidad Riesgo Impacto Probabilidad
Afectados Inherente

La identificación, sustento y valoración de los riesgos de seguridad de la información deben ser registrados por lo menos incluyendo los datos solicitados por el formato
de matriz de evaluación de riesgos. Esta matriz incluye como parte de sus columnas la siguiente información:

+ Código de Riesgo: Nomenclatura secuencial de identificación del riesgo. El código estará compuesto por la letra R más un número de 2 dígitos de forma
secuencial en relación a cada riesgo existente. Por ejemplo: R01, R02…R12, R13, etc.

+ Amenaza: Descripción del evento que potencialmente puede causar algún daño.

+ Vulnerabilidad: Descripción de la debilidad que puede ser explotada por la amenaza para materializar el riesgo.

+ Tipo de Activos Afectados: Descripción de los tipos de activos de información que se podrían ver afectados por la materialización del riesgo. Los valores que
puede tomar este campo son: Información Física, Información Digital, Persona, Sistema de Información y Tercero.

+ Riesgo: Descripción del riesgo de seguridad de la información identificado que puede afectar a la información o activos de información de la COMPAÑIA.

+ Impacto: Selección del nivel en el que es afectado LA COMPAÑIA S.A. debido a la materialización del riesgo. Para la selección del impacto de deben utilizar los
criterios descritos en la Tabla 01: Criterios de selección de Impacto del presente documento.

+ Probabilidad: Selección de la posibilidad de ocurrencia o condiciones para que se materialice el riesgo. Para la selección de la probabilidad de deben utilizar los
criterios descritos en la Tabla 02: Criterios de selección de probabilidad del presente documento.

+ Riesgo Inherente: Valor asignado al riesgo evaluado en relación al impacto y probabilidad seleccionados de acuerdo a la valoración de riesgos de seguridad de
la información descrita en la Tabla 03: Matriz de valorización del riesgo y nivel de tolerancia del presente documento.
 ANEXO 03

FORMATO DEL PLAN DE TRATAMIENTO DE RIESGOS

TRATAMIENTO DEL RIESGO EVALUACION DEL CONTROL

Controles Reduce la Nivel de Riesgo
Detalle de Descripción Reduce el Persona que Métricas e Mejora Nivel del Riesgo
Estrategia Justificación ISO/IEC Tipo vulnerabili automatizaci Frecuencia Documentado Registros Impacto Probabilidad Residual
Justificación del Control impacto ejecuta Indicadores Continua Control Residual
27001:2013 dad ón Acumulado

+ Estrategia: Opción o acción de tratamiento del riesgo de acuerdo a las necesidades o requerimiento de negocio, legales y regulatorios identificados por el
personal de negocio responsable del tratamiento. Los valores que puede tomar este campo son: Reducir, Transferir, Aceptar y Eliminar.

Estrategia Descripción Criterio

Reducir Se deben evaluar y establecer controles que permitan mitigar el riesgo asociado.
Transferir La responsabilidad es transferida a un área diferente o, en última instancia, a un tercero.
Aceptar En este caso, el líder usuario o propietario de la información, acepta el riesgo de seguridad de la información.
Eliminar En caso sea factible, se identifica la causa del riesgo para establecer medidas que lo eviten e impidan su materialización absoluta.

+ Justificación: Razón o motivo de decisión de selección de la estrategia de tratamiento. Las posibles justificaciones deben ser: Estrategia u objetivos del
negocio, Estrategia u objetivos de Seguridad de la Información, Requerimiento legal, regulatorio o contractual y Observación de auditoría o revisiones.

+ Detalle de la Justificación: Descripción o sustento de la justificación seleccionada.

+ Controles NTP-ISO/IEC 27001:2014: Listado de controles del Anexo A de la NTP-ISO/IEC 27001:2014 relacionados a la mitigación del riesgo.

+ Descripción del Control: Narración que permita detallar la información correspondiente al control existente o control que se planea implementar como
respuesta a la estrategia de tratamiento. La información mínima del control debe contar con la siguiente información:

+ Tipo: Valor que asume el tipo de control según corresponda su naturaleza. Los valores que puede tomar son: Correctivo, Detectivo y Preventivo.

+ Reduce el impacto: Valor que es obtenido mediante la evaluación del control con respecto a la reducción del impacto. Este valor es condicionado al tipo
de control que previamente se ha definido es decir que, solo cuando el control sea de tipo: Correctivo, los valores que puede tomar este campo son: No
la reduce, Reduce parcialmente y Reduce adecuadamente.
+ Reduce la vulnerabilidad: Valor que es obtenido mediante la evaluación del control con respecto a la vulnerabilidad asociada. Este valor se ve
condicionado al tipo de control que previamente se ha definido es decir que, solo cuando el control sea de tipo: Detectivo y Preventivo, los valores que
puede tomar este campo son: No la reduce, Reduce parcialmente y Reduce adecuadamente.

+ Nivel de automatización: Valor que es obtenido a través de la evaluación del control con respecto a su nivel de automatización. Los valores que pueden
que puede tomar este campo son: Manual, Mixto y Automático.

+ Frecuencia: Valor que representa la frecuencia del control. Los valores que puede tomar este campo son: Esporádico, Periódico inadecuado y Periódico
adecuado.

+ Persona que ejecuta: Valor que representa el responsable con respecto a la ejecución del control. Los valores que puede tomar este campo son: La
misma persona, Es una persona diferente y es una persona de un área distinta.

+ Documentado: Valor que representa la documentación referente al control. Los valores que puede tomar este campo son: No Documentado, Documento
Interno y Documento Formal.

+ Registros: Valor que es obtenido a través de la evaluación del control con respecto a los registros que este pueda generar. Los valores que puede tomar
este campo son: No genera registros, Genera registro no conservado y Genera registro conservado.

+ Métricas e Indicadores: Valor que representa la evaluación del control con respecto a las métricas e indicadores asociados a este. Los valores que puede
tomar este campo son: No es medible, Se mide parcialmente y Se mide adecuadamente.

+ Mejora continua: Valor que representa la evaluación de la mejora continua del control. Los valores que puede tomar este campo son: No se aplica y
Posee mejora continua.

+ Nivel de Control: Valor que es obtenido mediante la medición del control mitigante a nivel de diseño e implementación con su respectiva tasación. Los
valores que puede tomar son: Alto, Medio, Baja y Nulo.

+ Impacto: Valor que representa el nivel de impacto asociado al riesgo después de la aplicación del control mitigante. Los valores que puede tomar este
campo son asociado al riesgo de acuerdo a los criterios descritos en cada nivel de la Tabla 01: Criterios de selección de impacto.

+ Probabilidad: Valor que representa el nivel de probabilidad asociado al riesgo después de la aplicación del control mitigante. Los valores que puede
tomar este campo son asociado al riesgo de acuerdo a los criterios descritos en cada nivel de la Tabla 02: Criterios de selección de probabilidad.
+ Riesgo Residual: Valor del riesgo actual como resultado de la implementación de la estrategia de tratamiento seleccionada. Los posibles valores del
riesgo corresponden a los descritos en la Tabla 03: Matriz de valoración de riesgos del presente documento, y debe ser calculado en relación a la
estrategia seleccionada, el tipo de control y su nivel de madurez.

+ Riesgo Residual acumulado: Valor del riesgo actual acumulado como resultado de la implementación de la estrategia de tratamiento seleccionada. Los
posibles valores del riesgo corresponden a los descritos en la Tabla 03: Matriz de valoración de riesgos del presente documento, y debe ser calculado en
relación a la estrategia seleccionada, el tipo de control y su nivel de madurez.
 Valor por Peso
Característica Nivel
Característica Característica
Correctivo Reduce el impacto No la reduce 0 50%
Reduce parcialmente 1
Reduce adecuadamente 3
Detectivo Reduce la No la reduce 0
Tipo vulnerabilidad Reduce parcialmente 1
Reduce adecuadamente 3
Preventivo Reduce la No la reduce 0
vulnerabilidad Reduce parcialmente 2
Reduce adecuadamente 4
Manual 1 5%
Nivel de Automatización Mixto 3
Automático 5
Esporádico 0 13%
Frecuencia Periódico inadecuado 1
Periódico adecuado 5
La misma persona 3 15%
Persona que ejecuta el
Es una persona diferente 4
control
Es una persona de un área distinta 5
No Documentado 0 5%
Documentación del control
Documento interno 3
(procedimientos)
Documento formal 5
No genera registros 0 5%
Registros Genera registro no conservado 2
Genera registro conservado 5
No es medible 0 4%
Métricas e indicadores Se mide parcialmente 2
Se mide adecuadamente 5
No se aplica 0 4%
Mejora continua
Posee mejora continua 5

El cálculo de la fortaleza de un control mitigante, se establece en base a los criterios de la tabla anterior:

(50%*Tipo) + (5%.*Nivel de Automatización) +

(10%*Frecuencia) + (13%*Persona que ejecuta el
% Fortaleza de control mitigante = control) + (5%*Documentación del control) +
(5%*Registros) + (4%*Métricas indicadores) +
(4%*Mejora continua)
 El resultado de la fórmula de la fortaleza del control mitigante se contrasta contra los siguientes rangos.
Valor Mínimo Maximo
Nulo 0 0.99
Baja 1.00 2.49
Medio 2.50 3.49
Alto 3.50 5.00
NIVEL DE RIESGO RESIDUAL

El riesgo residual considera los controles mitigantes que existen sobre los riesgos inherentes. En otras palabras, se trata del riesgo luego de aplicar el tratamiento
del riesgo inherente adecuadamente. Para hallar el valor del riesgo residual, se sigue la siguiente fórmula:

Riesgo residual = vRiesgo Inherente - vControl Mitigante

 El valor del riesgo inherente, se obtiene haciendo uso del siguiente recuadro por valor de impacto y probabilidad seleccionados:
Riesgo Inherente (valor) por nivel de riesgo
Casi Seguro 2.20 3.20 4.00 4.60 5.00
Probable 1.40 2.60 3.40 4.40 4.80
Posible 0.80 1.60 3.00 3.80 4.20
Improbable 0.40 1.00 1.80 2.80 3.60
Raro 0.20 0.60 1.20 2.00 2.40
Probabilidad/ Poco Significativo Menor Moderado Mayor Catastrófico
Impacto

Finalmente, el resultado de la fórmula de riesgo residual se contrasta contra los siguientes rangos para obtener la descripción del valor:
Valor Mínimo Maximo
Extremo 4.00 5.00
Alto 3.00 3.99
Moderado 2.00 2.99
Bajo 1.00 1.99

SEGUIMIENTO DE LA IMPLEMENTACIÓN DEL TRATAMIENTO

Fecha de Inicio Fecha de Fin
Proyecto Plan de Acción Observaciones Recursos Costo Responsable Prioridad Indicador Estado
Implementación Implementación

+ Seguimiento de la Implementación: Se debe detallar la información necesaria para dar un adecuado seguimiento a la implementación de la estrategia de
tratamiento seleccionada en caso aplique. La información mínima del seguimiento debe contar con la siguiente información:

+ Proyecto: Nombre o descripción del proyecto en ejecución o por ejecutar para la implementación de la estrategia.

+ Plan de Acción: Descripción o detalle de las actividades a ejecutar como parte del proyecto indicado.

+ Observaciones: Descripción de información relevante con respecto al riesgo obtenida por los procesos que participaron en el proceso de valoración de los
riesgos.

+ Recursos: Descripción o detalle de los recursos (Presupuesto, personal, herramientas, etc.) necesarios para la ejecución de las actividades descritas en el plan
de acción.
+ Costo: Costo calculado o aproximado del proyecto de implementación.

+ Responsable: Nombre y Cargo del personal responsable de la ejecución y clave para el éxito del mismo.

+ Prioridad: Indicador de prioridad o relevancia de implementar el proyecto. Las posibles prioridades deben ser: Alta, Media y Baja.

+ Fecha de Inicio Implementación: Fecha de inicio de implementación del proyecto.

+ Fecha de Fin Implementación: Fecha estimada de cierre de la implementación del proyecto

+ Indicador: Descripción de la medición y métricas para detectar la eficacia, retrasos o inconvenientes en la implementación del proyecto. Ante la identificación
de una alerta, se deben presentar las causas al COSI y definir qué acción correctiva tomar.

+ Estado: Estado actual de implementación del proyecto. Los posibles estados son: Pendiente, En Espera, En Ejecución, Implementado, Suspendido o Cancelado.
 ANEXO 04

FORMATO DE ACEPTACIÓN DE RIESGOS

1. Lugar, Fecha y Hora:

2. Datos del Proceso:

Descripción :

3. Datos del trabajador que se responsabiliza por la aceptación del riesgo

Nombres :

Apellido Paterno :

Apellido Materno :

Cargo ;

4. Cláusulas de aceptación

+ Entiendo que la análisis de riesgos de seguridad de la información es vital para el adecuado

tratamiento de la información de LA COMPAÑIA S.A. y para la adecuada operación del sistema de
gestión de seguridad de la información de acuerdo a lo expuesto en R.M. N° 129-2014/CNB-INDECOPI
que dispone el uso obligatorio de la NTP-ISO/IEC 27001:2014.

+ Además entiendo que la estrategia de aceptar el riesgo podría mantiene el nivel de exposición de la
confidencialidad, disponibilidad e integridad de la información de LA COMPAÑIA S.A., lo cual podría
generar pérdida o robo de información, daño reputacional o fraude interno o externo.

5. Riesgo aceptado

Detalle del Riesgo Aceptado

Valor del Tipos de activos de Información
Código Amenazas Vulnerabilidades Riesgo
Riesgo afectados

6. Justificación de la aceptación del riesgo

|

Firma del trabajador responsable Firma del Responsable de Seguridad de la

Información

Nota: Este formato y sus responsabilidades expiraran en un año a partir de la fecha de firma de este
documento.