Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. PROPÓSITO
2. ALCANCE
3. DEFINICIONES
A continuación se definen algunos conceptos que deben estar claros para dar cumplimiento apropiado a
la presente política:
+ Aceptación del Riesgo: Según [ISO/IEC Guía 73:2002]: Decisión de aceptar un riesgo.
+ Alcance: Ámbito de la COMPAÑIA que queda sometido al SGSI. Debe incluir la identificación clara
de las dependencias, interfaces y límites con el entorno, sobre todo si sólo incluye una sección de
la COMPAÑIA.
+ Análisis de riesgos: Según [ISO/IEC Guía 73:2002]: Uso sistemático de la información para
identificar fuentes y estimar el riesgo.
+ Análisis de riesgos cualitativo: Análisis de riesgos en el que se usa una escala de puntuaciones
para situar la gravedad del impacto.
+ Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas
para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido.
(Nota: Control es también utilizado como sinónimo de salvaguarda o contramedida).
+ Disponibilidad: Acceso a la información y los sistemas de tratamiento de la misma por parte de
los usuarios autorizados cuando lo requieran. Según [ISO/IEC 13335-1:2004]: característica o
propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad
autorizada.
+ Evaluación de riesgos: Según [ISO/IEC Guía 73:2002]: proceso de comparar el riesgo estimado
contra un criterio de riesgo dado con el objeto de determinar la importancia del riesgo.
+ Impacto: El costo para la empresa de un incidente -de cualquier escala-, que puede o no ser
medido en términos estrictamente financieros, por ejemplo pérdida de reputación, implicaciones
legales, entre otros.
+ Plan de tratamiento de riesgos: Documento de gestión que define las acciones para reducir,
prevenir, transferir o asumir los riesgos de seguridad de la información inaceptables e implantar
los controles necesarios para proteger la misma.
+ Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar
una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la
probabilidad de un evento y sus consecuencias.
+ Riesgo Residual: Según [ISO/IEC Guía 73:2002] El riesgo que permanece tras el tratamiento del
riesgo.
+ Valoración de riesgos: Según [ISO/IEC Guía 73:2002]: Proceso completo de análisis y evaluación
de riesgos.
+ Vulnerabilidad: Debilidad en la seguridad de la información de la COMPAÑIA que potencialmente
permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un
activo o conjunto de activos que puede ser explotado por una amenaza.
LA COMPAÑIA S.A., reconoce la necesidad de mantener los riesgos de Seguridad de la Información a los
cuales se encuentra expuesta su información. Por ello, se establece una metodología que permita la
identificación, valoración, análisis, tratamiento, aceptación y seguimiento de los riesgos de seguridad de la
información.
La metodología se define sobre la base de principios cualitativos, es decir, hace uso de valores subjetivos
de acuerdo al conocimiento y experiencia de las parte involucradas en el proceso de análisis de los riesgos
de seguridad de la información.
Dicho proceso de análisis se encuentra alineado a los principios y lineamientos genéricos expuestos en el
estándar internacional ISO 31000.
OBJETIVOS
La comunicación y consulta son procesos que serán ejecutados de forma transversal y durante
todas las demás etapas de la gestión de riesgos con la finalidad de mantener informado a los
procesos de negocio sobre los riesgos identificados a través del ciclo de vida de la metodología.
ACTIVIDADES
Como parte de las funciones del Responsable de Seguridad de la Información cada reunión o taller
programado con un proceso incluirá una breve inducción para asegurar y alinear los conocimientos
en riesgos de seguridad de la información y facilitar el desarrollo de las siguientes etapas.
Adicionalmente, se comunicará a cada Proceso participante, sus responsabilidades sobre la
comunicación y consultas sobre el proceso de gestión y análisis de riesgos de seguridad de la
información, incluyendo por lo menos los siguientes aspectos:
+ La aceptación de riesgos a los cuales se encuentra expuesto sin contar con medidas de control
adecuados.
Ante alguna consulta por parte de un proceso, el Área de Seguridad de la Información emitirá una
respuesta o remitirá la consulta en un tiempo no mayor a 5 días laborales.
ENTREGABLES
+ Formularios y/o correos de consultas y repuestas entre los procesos y el área de Seguridad de
la Información.
4.2 CONTEXTO
OBJETIVOS
El principal propósito de esta etapa es entender y garantizar que los objetivos y preocupaciones de
las partes involucradas internas o externas que se están tomando en consideración al desarrollar
los criterios y alcance de la evaluación de riesgos.
ACTIVIDADES
El Área de Seguridad de la información deberá tener en cuenta los siguientes aspectos antes de dar
inicio al proceso de análisis:
+ Estrategias y objetivos de la COMPAÑIA.
+ La cultura de la COMPAÑIA
ENTREGABLES
+ Matrices de Activos de Información de los procesos dentro del alcance de la revisión. Hacer
uso del formato descrito en el Anexo 01: Formato de Matriz de Inventario de Activos de
Información
OBJETIVO
El objetivo de esta etapa es poder identificar todos los posibles riesgos de seguridad de la
información a los cuales se encuentra expuesta la información de los procesos de la COMPAÑIA
que formaran parte del alcance de la revisión.
ACTIVIDADES
Además, del relevamiento a través de los talleres programados en el plan descrito anteriormente,
se tendrán en cuenta los siguientes posibles catalizadores para la identificación y/o detección de
riesgos:
+ Cambios en el SGSI
+ Revisiones Independiente
ENTREGABLES
OBJETIVOS
El propósito de esta etapa es permitir a los procesos de negocio analizar e identificar el valor del
riesgo de seguridad de la información al cual se encuentra expuesta su información.
ACTIVIDADES
En esta etapa cada propietario de la información o responsable de los procesos dentro del alcance
del análisis, establezca el valor del riesgo de seguridad de la información al cual se encuentra
expuesta la información del Proceso. Dicho valor se define a través de la selección del impacto y
probabilidad del riesgo que más se ajuste a la realidad del proceso, de acuerdo a los
procedimientos indicados en la sección Actividades
La selección del nivel de impacto se realizará de acuerdo a los criterios descritos en cada nivel de la
Tabla 01: Criterios de selección de impacto relacionados con la operatividad, incumplimiento de
objetivos, pérdida de clientes, pérdida económica, regulaciones, daño reputacional y datos
personales. El usuario de negocio o responsable del riesgo analizado indicará, bajo una perspectiva
del proceso al que pertenece, que criterio más crítico se origina si la materialización del riesgo
afecta a la información o activos de información involucrados. Solo es necesario que un criterio
aplique para seleccionar el nivel de impacto al que pertenece.
Impacto
Impacto
Criterio 1: Afecta irreversiblemente al proceso, no pudiendo continuar con la operación
Criterio 2: Origina incumplimiento de objetivos y obligaciones del proceso
Criterio 3: Origina reclamos y pérdida de clientes externos y/o internos de forma que afecte
a la continuidad de la COMPAÑIA
Criterio 4: Origina una pérdida económica no esperada como consecuencia de su
Catastrófico materialización
Criterio 5: Tiene un impacto significativo a nivel de sanciones, penalidades y cumplimiento
regulatorio
Criterio 6: Afecta irreversiblemente a la reputación de la COMPAÑIA
Criterio 7: Afecta al adecuado tratamiento de datos personales de un banco de datos
personales de forma sistemática y/o recurrente (Principios: Legalidad, Consentimiento o
Autorización, Finalidad, Proporcionalidad, Calidad, Seguridad)
Criterio 1: Afecta considerablemente al proceso, el cual puede continuar operando con
dificultades por un tiempo limitado
Criterio 2: Causa interrupciones o errores que afectan al cumplimiento de objetivos y
obligaciones del proceso
Criterio 3: Origina reclamos y pérdida de clientes externos y/o internos
Criterio 4: Origina una pérdida económica no esperada como consecuencia de su
materialización
Mayor
Criterio 5: Tiene un impacto no significativo a nivel de sanciones, penalidades y
cumplimiento regulatorio
Criterio 6: Afecta significativamente a la reputación de la COMPAÑIA y se deben tomar
acciones correctiva inmediatamente
Criterio 7: Afecta al adecuado tratamiento de datos personales de un banco de datos
personales (Principios: Legalidad, Consentimiento o Autorización, Finalidad,
Proporcionalidad, Calidad, Seguridad)
Criterio 1: Afecta al proceso, el cual puede continuar operando sin dificultades por un
tiempo limitado
Criterio 2: Causa interrupciones o errores en los procesos pero no afectan al cumplimiento
de sus objetivos y obligaciones
Criterio 3: Origina reclamos o pérdida de clientes externos y/o internos
Criterio 4: Origina una pérdida económica esperada como consecuencia de su
Moderado materialización
Criterio 5: No tiene un Impacto a nivel de sanciones, penalidades o cumplimiento
regulatorio.
Criterio 6: Afecta a la reputación de la COMPAÑIA, y se deben tomar acciones correctivas
Criterio 7: Afecta al adecuado tratamiento de datos personales de un banco de datos
personales (Principios: Legalidad, Consentimiento o Autorización, Finalidad,
Proporcionalidad, Calidad, Seguridad)
Criterio 1: El proceso puede seguir operando sin dificultades por un tiempo prolongado
Criterio 2: Causa mínimas interrupciones o errores en los procesos pero no afectan al
cumplimiento de sus objetivos y obligaciones
Criterio 3: Origina reclamos de clientes externos y/o internos
Criterio 4: Puede originar una pérdida económica mínima como consecuencia de su
Menor
materialización
Criterio 5: No tiene un Impacto a nivel de sanciones, penalidades o cumplimiento
regulatorio.
Criterio 6: Puede originar un Impacto mínimo sobre la reputación de la COMPAÑIA
Criterio 7: No afecta a datos personales
Criterio 1: No afecta la operatividad del proceso
Criterio 2: No causa interrupciones o errores en los procesos operativos que afecten el
cumplimiento de objetivos y obligaciones
Criterio 3: No origina reclamos o pérdida de clientes externos o internos
Poco
Criterio 4: No origina pérdidas económicas como consecuencia de su materialización
significativo
Criterio 5: No tiene un Impacto a nivel de sanciones, penalidades o cumplimiento
regulatorio.
Criterio 6: No afecta a la reputación de la COMPAÑIA
Criterio 7: No afecta a datos personales
Tabla 01: Criterios de selección de impacto relacionados
SELECCCIÓN DEL NIVEL DE PROBABILIDAD
La selección del nivel de probabilidad se realizará, de igual forma que el impacto; es decir, de
acuerdo a los criterios descritos en cada nivel de la Tabla 02: Criterios de selección de
probabilidad relacionados con la ocurrencia y condiciones que favorezcan la materialización del
riesgo. El usuario de negocio o responsable del riesgo analizado indicará, bajo una perspectiva del
proceso al que pertenece, que criterio más crítico se ajusta más a la realidad del riesgo que afecta
a la información o activos de información involucrados. Solo es necesario que un criterio sea
identificado para seleccionar el nivel de probabilidad al que pertenece.
Probabilidad
Criterio 1: Ha ocurrido al menos una vez al día
Casi Seguro Criterio 2: Existen condiciones que favorecen altamente la materialización del riesgo (No
existen controles)
Criterio 1: Ha ocurrido al menos una vez al mes y/o es probable que ocurra los próximos
meses
Probable
Criterio 2: Existen condiciones que favorecen medianamente la materialización del riesgo
(Los controles existentes no son suficientes)
Criterio 1: Ha ocurrido al menos una vez en el último año y/o es probable que ocurra el
próximo año
Posible
Criterio 2: Existen pocas condiciones para la materialización del riesgo (Existen controles que
podrían ser mejores)
Criterio 1: Ha ocurrido al menos una vez en los últimos 2 años y/o es probable que ocurra los
próximos 2 años
Improbable
Criterio 2: No existen condiciones pero podría ocurrir la materialización del riesgo (Existen
controles suficientes pero podría fallar)
Criterio 1: Ha ocurrido al menos una vez en los últimos 5 años y/o es probable que ocurra los
próximos 5 años
Raro
Criterio 2: No existen condiciones para la materialización del riesgo (Existen controles
suficientes)
Tabla 02: Criterios de selección de probabilidad
Mapa de Riesgos
Seguro
Casi
Poco
Menor Moderado Mayor Catastrófico
Significativo
Impacto
Tabla 03: Matriz de valoración de riesgos y nivel de tolerancia
ENTREGABLES
OBJETIVO
El propósito de esta etapa es definir, para los riesgos obtenidos en las etapas anteriores, cuáles
deberán ser tomados en consideración dentro del plan de tratamiento de riesgos.
ACTIVIDADES
+ Alto
+ Extremo
Los riesgos con un valor inferior a los no tolerables, se considerarán como riesgos aceptables, sin
embargo, formarán parte de la etapa de revisión de cumplimiento para una adecuada gestión de
riesgos.
ENTREGABLES
+ Matriz de riesgos de seguridad de la información completa. Hacer uso del formato descrito en
el Anexo 02: Formato de Matriz de Evaluación de Riesgos.
OBJETIVOS
El propósito de esta etapa es definir los planes de acción a seguir para el tratamiento de cada
riesgo to tolerable identificado en las etapas anteriores.
ACTIVIDADES
Se hará uso de la matriz descrita en el Anexo 03: Formato del Plan de Tratamiento de Riesgos.
Dicho documento será completado con toda la información relevante obtenida de las etapas
anteriores y del entendimiento de la situación actual por parte del Responsable de Seguridad de la
Información de LA COMPAÑIA S.A.
RIESGO INHERENTE
El riesgo inherente es el riesgo en su estado natural, antes de considerar los controles que tenga
asociados. El nivel de este riesgo se obtiene del producto de la probabilidad con la que podría
materializarse un riesgo y el impacto que este podría suponer.
De acuerdo al nivel de riesgo inherente identificado, se debe tomar alguna de las siguientes
estrategias:
+ Reducir el riesgo: Se deben evaluar y establecer controles que permitan mitigar el riesgo
asociado
Toda aceptación se deberá establecer formalmente por parte del responsable del proceso.
Para ello se deberá registrar haciendo uso del formato en el Anexo 04: Formato del Acta de
Aceptación de Riesgo. En dicho documento, se especifica la justificación de no aplicar una
medida de tratamiento al riesgo no tolerable de acuerdo a la metodología. El documento
debe ser visado adecuadamente por el propietario del proceso.
+ Eliminar el riesgo: En caso sea factible, se identifica la causa del riesgo para establecer
medidas que lo eviten e impidan su materialización absoluta.
Los controles identificados para cada uno de los riesgos son evaluados para determinar el aporte
que tienen en la mitigación de los riesgos inherentes y cuál será el nuevo nivel del riesgo residual.
La calificación del control se realiza en base a sus características. Para cada característica se han
definido opciones que tienen asignado un peso ponderado; y la sumatoria de estos pesos será el
valor final del propietario
+ Tipo
+ Nivel de automatización
+ Frecuencia
+ Suficiencia
Finalmente, se debe asegurar a través de los medios formales la aprobación de los recursos
solicitados para la implementación de los tratamientos requeridos.
ENTREGABLES
OBJETIVOS
El objetivo de esta etapa es mantener informada adecuadamente a las partes involucradas para
una oportuna toma de decisiones. La etapa deberá ser ejecutada durante todo el ciclo de la gestión
de riesgos.
ACTIVIDADES
La etapa de revisión de cumplimiento busca cumplir, como mínimo, con las siguientes actividades:
+ Detectar cambios por motivos internos o externos, e identificar si afecta la existencia, valor o
prioridad de tratamiento de algún riesgo.
+ Evaluar y detectar eventos haciendo uso de las métricas establecidas para cada tratamiento
de riesgo.
Macro- Activo de
Proceso Descripción Ubicación Propietario Custodio Tipo Subtipo Clasificación Tasación
proceso Información
+ Macro proceso: Constituyen un primer nivel de operación y es un conjunto de procesos establecido por la COMPAÑIA.
+ Activo de Información: Todo objeto que emita, manipule, transporte y/o almacene información con valor para la COMPAÑIA, sus colaboradores o terceros
bajo algún medio físico o digital, como documentación impresa, archivos office, sistemas de información, personas internas o externas.
+ Descripción: Descripción del activo de información indicando el detalle del uso dado por el proceso.
+ Unidad Organizativa: Las unidades organizativas son los centros y/o establecimientos en los cuales LA COMPAÑIA realiza sus diversos procesos de negocio. La
Compañia cuenta con tres unidades COMPAÑIA, Unidad de Negocio y Operación.
+ Ubicación Física: La ubicación física es el lugar tangible donde se encuentra el activo de información.
+ Ubicación Digital: La ubicación digital es el lugar donde se almacena el conjunto de datos personales y/o sensibles computarizado o automatizado.
+ Propietario: Es el colaborador dueño de la información o activo de información Es el responsable de rendir cuentas ante la pérdida de la confidencialidad,
integridad o disponibilidad de la información, definir y supervisar los controles necesarios para salvaguardar dichos activos.
+ Custodio: El custodio es el colaborador responsable del resguardo, almacenamiento y/o
manipulación de activos de información, designado por el dueño de la información.
+ Tipos y subtipo de Activos de Información: Los tipos de activos dependen del estado y si cambia
con el tiempo y para cada tipo existe un subtipo.
Información Tipo de información automatizada o PDF Tipo de documento realizado en Adobe PDF
Digital computarizada. Imagen Archivo gráfico
Video Archivo con imágenes en movimiento
Audio Archivo de sonido.
File Server Ruta compartida dentro de un computador.
Base de Datos Lugar lógico de almacenamiento de información
Documentos Todo documento que es impreso y contiene
Impresos información.
Todo documento considerado como contrato con
Contratos
personal interno o terceros.
Información Física Tipo de información tangible
Todo documento utilizado para recopilar cierto
Formatos
grupo de datos.
Grupo de documentos físicos impresos, contratos
Files
y/o formatos.
+ Criterios de Tasación: La tasación es el proceso de estimar el valor de un activo de información. Esto
se realiza en base a los criterios de Confidencialidad, Integridad y Disponibilidad con valores del 0 (No
relevante) al 3 (Alto).
Criterios de la
Valor Clase Descripción
Valoración
+ Secreto
+ Confidencial
+ Privada
+ Público
La identificación, sustento y valoración de los riesgos de seguridad de la información deben ser registrados por lo menos incluyendo los datos solicitados por el formato
de matriz de evaluación de riesgos. Esta matriz incluye como parte de sus columnas la siguiente información:
+ Código de Riesgo: Nomenclatura secuencial de identificación del riesgo. El código estará compuesto por la letra R más un número de 2 dígitos de forma
secuencial en relación a cada riesgo existente. Por ejemplo: R01, R02…R12, R13, etc.
+ Amenaza: Descripción del evento que potencialmente puede causar algún daño.
+ Vulnerabilidad: Descripción de la debilidad que puede ser explotada por la amenaza para materializar el riesgo.
+ Tipo de Activos Afectados: Descripción de los tipos de activos de información que se podrían ver afectados por la materialización del riesgo. Los valores que
puede tomar este campo son: Información Física, Información Digital, Persona, Sistema de Información y Tercero.
+ Riesgo: Descripción del riesgo de seguridad de la información identificado que puede afectar a la información o activos de información de la COMPAÑIA.
+ Impacto: Selección del nivel en el que es afectado LA COMPAÑIA S.A. debido a la materialización del riesgo. Para la selección del impacto de deben utilizar los
criterios descritos en la Tabla 01: Criterios de selección de Impacto del presente documento.
+ Probabilidad: Selección de la posibilidad de ocurrencia o condiciones para que se materialice el riesgo. Para la selección de la probabilidad de deben utilizar los
criterios descritos en la Tabla 02: Criterios de selección de probabilidad del presente documento.
+ Riesgo Inherente: Valor asignado al riesgo evaluado en relación al impacto y probabilidad seleccionados de acuerdo a la valoración de riesgos de seguridad de
la información descrita en la Tabla 03: Matriz de valorización del riesgo y nivel de tolerancia del presente documento.
ANEXO 03
+ Estrategia: Opción o acción de tratamiento del riesgo de acuerdo a las necesidades o requerimiento de negocio, legales y regulatorios identificados por el
personal de negocio responsable del tratamiento. Los valores que puede tomar este campo son: Reducir, Transferir, Aceptar y Eliminar.
+ Justificación: Razón o motivo de decisión de selección de la estrategia de tratamiento. Las posibles justificaciones deben ser: Estrategia u objetivos del
negocio, Estrategia u objetivos de Seguridad de la Información, Requerimiento legal, regulatorio o contractual y Observación de auditoría o revisiones.
+ Controles NTP-ISO/IEC 27001:2014: Listado de controles del Anexo A de la NTP-ISO/IEC 27001:2014 relacionados a la mitigación del riesgo.
+ Descripción del Control: Narración que permita detallar la información correspondiente al control existente o control que se planea implementar como
respuesta a la estrategia de tratamiento. La información mínima del control debe contar con la siguiente información:
+ Tipo: Valor que asume el tipo de control según corresponda su naturaleza. Los valores que puede tomar son: Correctivo, Detectivo y Preventivo.
+ Reduce el impacto: Valor que es obtenido mediante la evaluación del control con respecto a la reducción del impacto. Este valor es condicionado al tipo
de control que previamente se ha definido es decir que, solo cuando el control sea de tipo: Correctivo, los valores que puede tomar este campo son: No
la reduce, Reduce parcialmente y Reduce adecuadamente.
+ Reduce la vulnerabilidad: Valor que es obtenido mediante la evaluación del control con respecto a la vulnerabilidad asociada. Este valor se ve
condicionado al tipo de control que previamente se ha definido es decir que, solo cuando el control sea de tipo: Detectivo y Preventivo, los valores que
puede tomar este campo son: No la reduce, Reduce parcialmente y Reduce adecuadamente.
+ Nivel de automatización: Valor que es obtenido a través de la evaluación del control con respecto a su nivel de automatización. Los valores que pueden
que puede tomar este campo son: Manual, Mixto y Automático.
+ Frecuencia: Valor que representa la frecuencia del control. Los valores que puede tomar este campo son: Esporádico, Periódico inadecuado y Periódico
adecuado.
+ Persona que ejecuta: Valor que representa el responsable con respecto a la ejecución del control. Los valores que puede tomar este campo son: La
misma persona, Es una persona diferente y es una persona de un área distinta.
+ Documentado: Valor que representa la documentación referente al control. Los valores que puede tomar este campo son: No Documentado, Documento
Interno y Documento Formal.
+ Registros: Valor que es obtenido a través de la evaluación del control con respecto a los registros que este pueda generar. Los valores que puede tomar
este campo son: No genera registros, Genera registro no conservado y Genera registro conservado.
+ Métricas e Indicadores: Valor que representa la evaluación del control con respecto a las métricas e indicadores asociados a este. Los valores que puede
tomar este campo son: No es medible, Se mide parcialmente y Se mide adecuadamente.
+ Mejora continua: Valor que representa la evaluación de la mejora continua del control. Los valores que puede tomar este campo son: No se aplica y
Posee mejora continua.
+ Nivel de Control: Valor que es obtenido mediante la medición del control mitigante a nivel de diseño e implementación con su respectiva tasación. Los
valores que puede tomar son: Alto, Medio, Baja y Nulo.
+ Impacto: Valor que representa el nivel de impacto asociado al riesgo después de la aplicación del control mitigante. Los valores que puede tomar este
campo son asociado al riesgo de acuerdo a los criterios descritos en cada nivel de la Tabla 01: Criterios de selección de impacto.
+ Probabilidad: Valor que representa el nivel de probabilidad asociado al riesgo después de la aplicación del control mitigante. Los valores que puede
tomar este campo son asociado al riesgo de acuerdo a los criterios descritos en cada nivel de la Tabla 02: Criterios de selección de probabilidad.
+ Riesgo Residual: Valor del riesgo actual como resultado de la implementación de la estrategia de tratamiento seleccionada. Los posibles valores del
riesgo corresponden a los descritos en la Tabla 03: Matriz de valoración de riesgos del presente documento, y debe ser calculado en relación a la
estrategia seleccionada, el tipo de control y su nivel de madurez.
+ Riesgo Residual acumulado: Valor del riesgo actual acumulado como resultado de la implementación de la estrategia de tratamiento seleccionada. Los
posibles valores del riesgo corresponden a los descritos en la Tabla 03: Matriz de valoración de riesgos del presente documento, y debe ser calculado en
relación a la estrategia seleccionada, el tipo de control y su nivel de madurez.
Valor por Peso
Característica Nivel
Característica Característica
Correctivo Reduce el impacto No la reduce 0 50%
Reduce parcialmente 1
Reduce adecuadamente 3
Detectivo Reduce la No la reduce 0
Tipo vulnerabilidad Reduce parcialmente 1
Reduce adecuadamente 3
Preventivo Reduce la No la reduce 0
vulnerabilidad Reduce parcialmente 2
Reduce adecuadamente 4
Manual 1 5%
Nivel de Automatización Mixto 3
Automático 5
Esporádico 0 13%
Frecuencia Periódico inadecuado 1
Periódico adecuado 5
La misma persona 3 15%
Persona que ejecuta el
Es una persona diferente 4
control
Es una persona de un área distinta 5
No Documentado 0 5%
Documentación del control
Documento interno 3
(procedimientos)
Documento formal 5
No genera registros 0 5%
Registros Genera registro no conservado 2
Genera registro conservado 5
No es medible 0 4%
Métricas e indicadores Se mide parcialmente 2
Se mide adecuadamente 5
No se aplica 0 4%
Mejora continua
Posee mejora continua 5
El cálculo de la fortaleza de un control mitigante, se establece en base a los criterios de la tabla anterior:
El riesgo residual considera los controles mitigantes que existen sobre los riesgos inherentes. En otras palabras, se trata del riesgo luego de aplicar el tratamiento
del riesgo inherente adecuadamente. Para hallar el valor del riesgo residual, se sigue la siguiente fórmula:
Finalmente, el resultado de la fórmula de riesgo residual se contrasta contra los siguientes rangos para obtener la descripción del valor:
Valor Mínimo Maximo
Extremo 4.00 5.00
Alto 3.00 3.99
Moderado 2.00 2.99
Bajo 1.00 1.99
+ Seguimiento de la Implementación: Se debe detallar la información necesaria para dar un adecuado seguimiento a la implementación de la estrategia de
tratamiento seleccionada en caso aplique. La información mínima del seguimiento debe contar con la siguiente información:
+ Proyecto: Nombre o descripción del proyecto en ejecución o por ejecutar para la implementación de la estrategia.
+ Plan de Acción: Descripción o detalle de las actividades a ejecutar como parte del proyecto indicado.
+ Observaciones: Descripción de información relevante con respecto al riesgo obtenida por los procesos que participaron en el proceso de valoración de los
riesgos.
+ Recursos: Descripción o detalle de los recursos (Presupuesto, personal, herramientas, etc.) necesarios para la ejecución de las actividades descritas en el plan
de acción.
+ Costo: Costo calculado o aproximado del proyecto de implementación.
+ Responsable: Nombre y Cargo del personal responsable de la ejecución y clave para el éxito del mismo.
+ Prioridad: Indicador de prioridad o relevancia de implementar el proyecto. Las posibles prioridades deben ser: Alta, Media y Baja.
+ Indicador: Descripción de la medición y métricas para detectar la eficacia, retrasos o inconvenientes en la implementación del proyecto. Ante la identificación
de una alerta, se deben presentar las causas al COSI y definir qué acción correctiva tomar.
+ Estado: Estado actual de implementación del proyecto. Los posibles estados son: Pendiente, En Espera, En Ejecución, Implementado, Suspendido o Cancelado.
ANEXO 04
Descripción :
Nombres :
Apellido Paterno :
Apellido Materno :
Cargo ;
4. Cláusulas de aceptación
+ Además entiendo que la estrategia de aceptar el riesgo podría mantiene el nivel de exposición de la
confidencialidad, disponibilidad e integridad de la información de LA COMPAÑIA S.A., lo cual podría
generar pérdida o robo de información, daño reputacional o fraude interno o externo.
5. Riesgo aceptado
Nota: Este formato y sus responsabilidades expiraran en un año a partir de la fecha de firma de este
documento.