Documentos de Académico
Documentos de Profesional
Documentos de Cultura
xlsx 1_Datos
Clasificación Actos originados por la criminalidad común y motivación política Sucesos de origen físico Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales
Ausencia de documentación
Allanamiento (ilegal, legal)
Confidencial, Privado, Sensitivo
terceros no autorizados
Sobrepasar autoridades
(inseguras, no cambiar,
Intrusión a Red interna
Magnitud de Daño:
acceso no autorizado
Robo / Hurto (físico)
(proceso y recursos)
[1 = Insignificante
Sobrecarga eléctrica
Falta de ventilación
(acceso a archivos)
Electromagnetismo
Datos e Información 2 = Bajo
sistemas externos
sistemas internos
Perdida de datos
3 = Mediano
Fraude / Estafa
4 = Alto]
no autorizado
herramientas
electrónico)
Infiltración
electrónica
programas
sin cifrado
Extorsión
Incendio
personal
riesgos)
teléfono
externo
críticos
emocional)
Sismo
Polvo
1 1 2 3 3 2 3 3 2 3 1 3 1 1 1 2 2 2 1 2 2 2 4 3 3 2 2 3 2 3 3 2 4 2 2 1 2 2 3 3 2 3 2 2 4 4 4 4
Documentos institucionales
(Proyectos, Planes, x x 3 3 3 6 9 9 6 9 9 6 9 3 9 3 3 3 6 6 6 3 6 6 6 12 9 9 6 6 9 6 9 9 6 12 6 6 3 6 6 9 9 6 9 6 6 12 12 12 12
Evaluaciones, Informes, etc.)
Finanzas x x 3 3 3 6 9 9 6 9 9 6 9 3 9 3 3 3 6 6 6 3 6 6 6 12 9 9 6 6 9 6 9 9 6 12 6 6 3 6 6 9 9 6 9 6 6 12 12 12 12
Servicios bancarios x x 4 4 4 8 12 12 8 12 12 8 12 4 12 4 4 4 8 8 8 4 8 8 8 16 12 12 8 8 12 8 12 12 8 16 8 8 4 8 8 12 12 8 12 8 8 16 16 16 16
RR.HH x x x 3 3 3 6 9 9 6 9 9 6 9 3 9 3 3 3 6 6 6 3 6 6 6 12 9 9 6 6 9 6 9 9 6 12 6 6 3 6 6 9 9 6 9 6 6 12 12 12 12
Directorio de Contactos x 2 2 2 4 6 6 4 6 6 4 6 2 6 2 2 2 4 4 4 2 4 4 4 8 6 6 4 4 6 4 6 6 4 8 4 4 2 4 4 6 6 4 6 4 4 8 8 8 8
Productos institucionales
(Investigaciones, Folletos, x x 3 3 3 6 9 9 6 9 9 6 9 3 9 3 3 3 6 6 6 3 6 6 6 12 9 9 6 6 9 6 9 9 6 12 6 6 3 6 6 9 9 6 9 6 6 12 12 12 12
Fotos, etc.)
Correo electrónico x 3 3 3 6 9 9 6 9 9 6 9 3 9 3 3 3 6 6 6 3 6 6 6 12 9 9 6 6 9 6 9 9 6 12 6 6 3 6 6 9 9 6 9 6 6 12 12 12 12
Respaldos x x 4 4 4 8 12 12 8 12 12 8 12 4 12 4 4 4 8 8 8 4 8 8 8 16 12 12 8 8 12 8 12 12 8 16 8 8 4 8 8 12 12 8 12 8 8 16 16 16 16
Infraestructura (Planes,
x x 1 1 1 2 3 3 2 3 3 2 3 1 3 1 1 1 2 2 2 1 2 2 2 4 3 3 2 2 3 2 3 3 2 4 2 2 1 2 2 3 3 2 3 2 2 4 4 4 4
Documentación, etc.)
Informática (Planes,
x x 2 2 2 4 6 6 4 6 6 4 6 2 6 2 2 2 4 4 4 2 4 4 4 8 6 6 4 4 6 4 6 6 4 8 4 4 2 4 4 6 6 4 6 4 4 8 8 8 8
Documentación, etc.)
Datos e información no
x 2 2 2 4 6 6 4 6 6 4 6 2 6 2 2 2 4 4 4 2 4 4 4 8 6 6 4 4 6 4 6 6 4 8 4 4 2 4 4 6 6 4 6 4 4 8 8 8 8
institucionales
Navegación en Internet x x 3 3 3 6 9 9 6 9 9 6 9 3 9 3 3 3 6 6 6 3 6 6 6 12 9 9 6 6 9 6 9 9 6 12 6 6 3 6 6 9 9 6 9 6 6 12 12 12 12
Chat interno x 2 2 2 4 6 6 4 6 6 4 6 2 6 2 2 2 4 4 4 2 4 4 4 8 6 6 4 4 6 4 6 6 4 8 4 4 2 4 4 6 6 4 6 4 4 8 8 8 8
Chat externo x 1 1 1 2 3 3 2 3 3 2 3 1 3 1 1 1 2 2 2 1 2 2 2 4 3 3 2 2 3 2 3 3 2 4 2 2 1 2 2 3 3 2 3 2 2 4 4 4 4
Page 1
proyectos
Servidores
Cortafuego
Impresoras
614952983.xlsx
Computadoras
personal, etc.)
Memorias portátiles
(router, switch, etc.)
Programas de manejo de
Programas de comunicación
x
x
x
x
x
x
x
x
x
x
x
Acceso exclusivo
Acceso ilimitado
Clasificación
x
x
x
x
x
x
x
x
x
económico, material, imagen,
emocional)
2 = Bajo
4 = Alto]
1
4
1
4
1
2
1
3
3
4
4
3 = Mediano
Magnitud de Daño:
[1 = Insignificante
1
4
1
4
1
2
1
3
3
4
4
1
1
4
1
4
1
2
1
3
3
4
4
1
2
8
2
8
2
4
2
6
6
8
8
2
3
3
3
6
3
9
9
3
12
12
12
12
electrónico)
3
3
3
6
3
9
9
3
12
12
12
12
2
8
2
8
2
4
2
6
6
8
8
2
Extorsión
3
3
3
6
3
9
9
3
12
12
12
12
Fraude / Estafa
3
3
3
6
3
9
9
3
12
12
12
12
electrónica
Actos originados por la criminalidad común y motivación política
3
3
3
6
3
9
9
3
12
12
12
12
Infiltración
Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
12
12
12
12
programas
1
4
1
4
1
2
1
3
3
4
4
1
Incendio
1
4
1
4
1
2
1
3
3
4
4
1
Inundación / deslave
2
8
2
8
2
4
2
6
6
8
8
2
Sismo
Sucesos de origen físico
2
8
2
8
2
4
2
6
6
8
8
2
Polvo
2
8
2
8
2
4
2
6
6
8
8
2
Falta de ventilación
1
4
1
4
1
2
1
3
3
4
4
1
Electromagnetismo
Page 2
2_Sistemas
2
8
2
8
2
4
2
6
6
8
8
2
Sobrecarga eléctrica
2
8
2
8
2
4
2
6
6
8
8
2
16
16
12
12
16
16
12
12
12
12
herramientas
Utilización de programas no
3
3
3
6
3
9
9
3
12
12
12
12
Perdida de datos
12
12
12
12
12
12
12
12
sin cifrado
12
12
12
12
críticos
(inseguras, no cambiar,
compartidas, BD centralizada)
16
16
12
12
16
16
terceros no autorizados
teléfono
Sobrepasar autoridades
12
12
12
12
(proceso y recursos)
12
12
12
12
(acceso a archivos)
sistemas externos
12
12
12
12
sistemas internos
acceso no autorizado
no autorizado
16
16
12
12
16
16
externo
16
16
12
12
16
16
16
16
12
12
16
16
16
16
12
12
16
16
Ausencia de documentación
interno
externo
Personal
Recepción
614952983.xlsx
Administración
Junta Directiva
Personal técnico
Servicio de mensajería de
Servicio de limpieza de planta
Informática / Soporte técnico
Matriz de Análisis de Riesgo
x
x
indispensable para funcionamiento
institucional
x
x
x
Perfil medio, experto en su área
Clasificación
x
x
x
x
funcionamiento institucional
2 = Bajo
4 = Alto]
2
1
2
3
1
4
4
4
4
3 = Mediano
Magnitud de Daño:
[1 = Insignificante
2
1
2
3
1
4
4
4
4
1
2
1
2
3
1
4
4
4
4
1
4
2
4
6
2
8
8
8
8
2
6
3
6
9
3
3
12
12
12
12
electrónico)
6
3
6
9
3
3
12
12
12
12
4
2
4
6
2
8
8
8
8
2
Extorsión
6
3
6
9
3
3
12
12
12
12
Fraude / Estafa
6
3
6
9
3
3
12
12
12
12
electrónica
Actos originados por la criminalidad común y motivación política
6
3
6
9
3
3
12
12
12
12
Infiltración
Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
12
12
12
12
programas
2
1
2
3
1
4
4
4
4
1
Incendio
2
1
2
3
1
4
4
4
4
1
Inundación / deslave
4
2
4
6
2
8
8
8
8
2
Sismo
Sucesos de origen físico
4
2
4
6
2
8
8
8
8
2
Polvo
4
2
4
6
2
8
8
8
8
2
Falta de ventilación
2
1
2
3
1
4
4
4
4
1
Electromagnetismo
Page 3
3_Personal
4
2
4
6
2
8
8
8
8
2
Sobrecarga eléctrica
4
2
4
6
2
8
8
8
8
2
12
16
16
16
16
12
12
12
12
herramientas
Utilización de programas no
6
3
6
9
3
3
12
12
12
12
Perdida de datos
12
12
12
12
12
12
12
12
sin cifrado
12
12
12
12
críticos
(inseguras, no cambiar,
compartidas, BD centralizada)
12
16
16
16
16
terceros no autorizados
teléfono
Sobrepasar autoridades
12
12
12
12
(proceso y recursos)
12
12
12
12
(acceso a archivos)
sistemas externos
12
12
12
12
sistemas internos
acceso no autorizado
no autorizado
12
16
16
16
16
externo
12
16
16
16
16
12
16
16
16
16
12
16
16
16
16
Ausencia de documentación
614952983.xlsx Análisis_Promedio
Riesgo Probabilidad
Datos e Información - Negligencia y Institucional 7.2
Sistemas e Infraestructura - Negligencia y Institucional 7
Personal - Negligencia y Institucional 7.6
Página 4
614952983.xlsx Análisis_Factores
Probalidad de Amenaza
Página 5
Fuente
Umbral
Valoración Escala Valor_min Valor_max Lineas Medio
Riesgo
Ninguna 1 1 3 7
Baja 2 4 6 x y
Mediana 3 8 9 1.0 7.0
Alta 4 12 16 1.1 6.4
1.2 5.8
1.3 5.4
1.4 5.0
1.5 4.7
1.6 4.4
1.8 4.0
1.8 3.9
1.9 3.7
2.0 3.5
2.1 3.3
2.2 3.2
2.3 3.0
2.4 2.9
2.5 2.8
2.6 2.7
2.7 2.6
2.8 2.5
2.9 2.4
3.0 2.3
3.1 2.3
3.2 2.2
3.3 2.1
3.4 2.1
3.5 2.0
3.6 1.9
3.7 1.9
3.8 1.8
3.9 1.8
4.0 1.8
Page 6
Fuente
Umbral
Alto
Riesgo
10.5
y
10.5
9.5
8.8
8.1
7.5
7.0
6.6
6.0
5.8
5.5
5.3
5.0
4.8
4.6
4.4
4.2
4.0
3.9
3.8
3.6
3.5
3.4
3.3
3.2
3.1
3.0
2.9
2.8
2.8
2.7
2.6
Page 7
MATRIZ ANÁLISIS DEL RIESGO
Número Magnitud de daño Probabilidad de amenaza Descripción Valoración Tratamiento Por qué?
El resultado Global arroja el 7,6 de probabilidad para que se materialice los riesgos producto
de las amenazas por Negligencia y Institucional X Personal, dejando este riesgo en un nivel Es el riesgo más crítico identificado a pesar que su probabilidad promedio se ubique en un rango de moderación MEDIANA de
MEDIANO. ocurrencia. Es necesario tomar acciones necesarias para administrar el riesgo.
1 Personal Negligencia y Institucional Se hace necesario la comprensión del comportamiento de las amenazas sobre el personal a 7.6 Reducir Dentro de la matriz de riesgos se observan activos con concurrencia alta, por tanto el tratamiento debe buscar REDUCIR
un nivel más detallado, en donde se observen estados de los activos con probabilidad de prioritariamente esa probabilidad de ocurrencia, en paralelo, también se debe atacar los otros riesgos que a pesar que son bajos,
ocurrencia MEDIANA y ALTA, y así, generar estrategias o planes de trabajo apropiados para siguen teniendo probabilidades de riesgo.
erradicar en lo posible el riesgo.
Para este caso, el resultado Global arroja el 7,2 de probabilidad para que se materialice los
riesgos producto de las amenazas por Negligencia y Institucional X Datos e Información,
A pesar que su probabilidad promedio se ubica en un rango de moderación MEDIANA de ocurrencia, es importante que se tomen
este resultado requiere un tratamiento y ubica a la organización sobre un nivel de riesgo
acciones para administrar el riesgo.
2 Datos e Información Negligencia y Institucional MEDIANO. 7.2 Reducir Como se puede visualizar en la matriz de riesgos, existen activos que deben tener toda la atención inmediata para su reducción de
Se debe validar el comportamiento de las amenazas sobre los activos aun nivel más
probabilidad de concurrencia
detallado con el fin de disminuir el nivel de ocurrencia MEDIANO y ALTO actual, y así,
generar estrategias o planes de trabajo apropiados para erradicar en lo posible el riesgo.
El resultado Global arroja el 7,0 de probabilidad para que se materialice los riesgos producto
A pesar que el tratamiento sugerido es el de ACEPTAR, en el nivel promedio de la probabilidad de materialización del riesgo se
de las amenazas por Negligencia y Institucional X Sistemas e Infraestructura, si bien este
pueden observar riesgos de materialización que deben tener atención respectiva.
número ubica a la organización sobre un nivel de riesgo BAJO, se hace necesario la
3 Sistemas e Infraestructura Negligencia y Institucional
comprensión del comportamiento de las amenazas sobre la infraestructura a un nivel más
7.0 Aceptar 1. Probabilidad ALTA, Generar plan y acciones que permitan de manera oportuna mitigar la materialización del riesgo.
2. Probabilidad MEDIANA de materialización del riesgo, por lo tanto, consideramos acciones de seguimiento que puedan reducir las
detallado teniendo en cuenta que se encuentra muy cerca de pasar a un riesgo MEDIANO,
probabilidades puntuales que presentan un nivel de impacto mediano.
por lo tanto, se deben generar estrategias para la erradicación respectiva
Origen del Riesgo Probabilidad de amenaza Tratamiento
Datos e Información Criminalidad y Político Reducir
Sistemas e Infraestructura Sucesos de origen físico Aceptar
Personal Negligencia y Institucional Reducir
Magnitud de Probabilidad de Clasificación
Nro Nombre Riesgo
daño amenaza Riesgo
Costo de
Datos e Negligencia y
2 Base de datos internas recuperación -
información Institucional
Confidencialidad
Falta de inducción,
capacitación y Roles y responsabilidades para la
A.6.1.1
sensibilización sobre seguridad de información
riesgos
Falta de mecanismos de
verificación de normas y
Políticas y procedimientos de
reglas / Análisis A.13.2.1
transferencia de información
inadecuado de datos de
control
Uso de la información de
A.9.3.1
Compartir contraseñas o autenticación secreta
permisos a terceros no
autorizados
A.13.2.3 Mensajería electrónica
Descripción Control Justificación
Control: Se debería exigir a los usuarios que Los colaboradores deben mantener de manera
cumplan las prácticas de la organización para confidencial sus credenciales de acceso tanto
el uso de información de autenticación aplicativos como medios de comunicación
secreta. institucionales.
Control: Se debería proteger adecuadamente Se debe proteger la información que se envía
la información incluida en la mensajería vía correo electrónico, sobre todo cuando es
electrónica. de tipo institucional.
Diseño del indicador
ID 1 Fecha Utilización 9/1/2022
Nombre Revisión de capacitaciones y reinducciones de personal
Tipo Indicador Operativo
Conocer el número de capacitaciones exitosas que se realizan en periodos de tiempos. Lo anterior con el f
Objetivo
prevenir los riesgos o conocimientos faltantes que tienen los miembros del proyecto debido a la alta rotac
Medida Porcentaje de capacitaciones exitosas que se realizan en el proyecto
Fuente de Datos Evaluación de matriz y análisis de riesgos
Fórmula de Cálculo (Número de capacitaciones exitosas /Cantidad total de capacitaciones programadas) * 100
Método de Cálculo, análisis y reporte
No. Paso
1 Identificar la cantidad de capacitaciones que se realizan
Identificar las capacitaciones que han sido exitosas mediante la asistencias y
2
evaluaciones efectivas
3 Consolidar todas las capacitaciones respectivas
4 Ejecutar la fórmula de cálculo definida
Criterios
Evaluar y clasificar las capacitaciones quepara el análisis
se realizan al de datos
Meta personal del proyecto con el fin asegurar las mejores prácticas
Valor Fórmula en el manejo de1%los riesgos
Indicador >= 95%
Versión 1.0
programadas) * 100
Responsable Frecuencia
Sentido
e
Responsable Frecuencia
Sentido
Entre 90%-99% <90%
Diseño del indicador
ID 3 Fecha Utilización 7/1/2022
Nombre Efectividad copias de seguridad
Tipo Indicador Táctico
Objetivo Identificar información sensible y delicada para el proyecto con el fin de crear una estrategia de Backup
Medida Porcentaje de operaciones de backup exitosas.
Fuente de Datos Bases de datos
Fórmula de Cantidad de operaciones de backup que se ejecutaron con éxito / Cantidad de operaciones de backup reali
Cálculo información del proyecto
Método de Cálculo, análisis y reporte
No. Paso
Identificar la información sensible y delicada del proyecto para ejecutar backup o
1
recuperación.
2 Programar los horarios y tiempo respectivo para realizar el proceso de recuperación
3 Identificar los backups que fueron exitosos en la recuperación respectiva
4 Ejecutar la fórmula de cálculo definida
Asegurar que la información sensibleCriterios para el
del proyecto se análisis de datos
Meta encuentre correctamente respaldada y en el caso de cualquier
Valor Fórmula desastre, permita recuperarse
100%correctamente.
Responsable Frecuencia
Líder de
Diaria
Proyecto
Sentido