Matriz Análisis Riesgo Factores Exito

614952983.
xlsx 1_Datos
Matriz de Análisis de Riesgo Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
Clasificación Actos originados por la criminalidad común y motivación política Sucesos de origen físico Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales
Falta de mecanismos de verificación

Compartir contraseñas o permisos a
Unidades portables con información
Falta de pruebas de software nuevo
Obligación por ley / Contrato / Convenio
Red inalámbrica expuesta al acceso
Falta de normas y reglas claras (no

Manejo inadecuado de contraseñas
Acceso electrónico no autorizado a

Virus / Ejecución no autorizado de
Falla de sistema / Daño disco duro
autorizados / software 'pirateado'
Falta de actualización de software

Falta de inducción, capacitación y
Infección de sistemas a través de
unidades de almacenamiento, etc
institucionalizar el estudio de los

Exposición o extravío de equipo,
Transmisión no cifrada de datos
Transmisión de contraseñas por

Orden de secuestro / Detención
Persecución (civil, fiscal, penal)
(proceso, repuestos e insumos)

unidades portables sin escaneo
inadecuado de datos de control

críticos (codificar, borrar, etc.)
Dependencia a servicio técnico

Fallas en permisos de usuarios
Red cableada expuesta para el

compartidas, BD centralizada)
Falta de mantenimiento físico

Violación a derechos de autor
Falla de corriente (apagones)
de normas y reglas / Análisis

privilegios y restricciones del
Robo / Hurto de información
sensibilización sobre riesgos
Manejo inadecuado de datos

Utilización de programas no
Falta de definición de perfil,
Ausencia de documentación
Allanamiento (ilegal, legal)
Confidencial, Privado, Sensitivo
Costo de recuperación (tiempo,
Mal manejo de sistemas y

Sabotaje (ataque físico y
económico, material, imagen,
terceros no autorizados
Sobrepasar autoridades
(inseguras, no cambiar,
Intrusión a Red interna
Magnitud de Daño:
Daños por vandalismo
con datos productivos

Inundación / deslave
acceso no autorizado
Robo / Hurto (físico)
(proceso y recursos)
[1 = Insignificante
Sobrecarga eléctrica
Falta de ventilación
(acceso a archivos)
Electromagnetismo
Datos e Información 2 = Bajo
sistemas externos
sistemas internos
Perdida de datos
3 = Mediano
Fraude / Estafa
4 = Alto]
no autorizado
herramientas
electrónico)
Infiltración
electrónica
programas
sin cifrado
Extorsión
Incendio
personal
riesgos)
teléfono
externo
críticos
emocional)
Sismo
Polvo
1 1 2 3 3 2 3 3 2 3 1 3 1 1 1 2 2 2 1 2 2 2 4 3 3 2 2 3 2 3 3 2 4 2 2 1 2 2 3 3 2 3 2 2 4 4 4 4
Documentos institucionales
(Proyectos, Planes, x x 3 3 3 6 9 9 6 9 9 6 9 3 9 3 3 3 6 6 6 3 6 6 6 12 9 9 6 6 9 6 9 9 6 12 6 6 3 6 6 9 9 6 9 6 6 12 12 12 12
Evaluaciones, Informes, etc.)
Finanzas x x 3 3 3 6 9 9 6 9 9 6 9 3 9 3 3 3 6 6 6 3 6 6 6 12 9 9 6 6 9 6 9 9 6 12 6 6 3 6 6 9 9 6 9 6 6 12 12 12 12
Servicios bancarios x x 4 4 4 8 12 12 8 12 12 8 12 4 12 4 4 4 8 8 8 4 8 8 8 16 12 12 8 8 12 8 12 12 8 16 8 8 4 8 8 12 12 8 12 8 8 16 16 16 16
RR.HH x x x 3 3 3 6 9 9 6 9 9 6 9 3 9 3 3 3 6 6 6 3 6 6 6 12 9 9 6 6 9 6 9 9 6 12 6 6 3 6 6 9 9 6 9 6 6 12 12 12 12
Directorio de Contactos x 2 2 2 4 6 6 4 6 6 4 6 2 6 2 2 2 4 4 4 2 4 4 4 8 6 6 4 4 6 4 6 6 4 8 4 4 2 4 4 6 6 4 6 4 4 8 8 8 8
Productos institucionales
(Investigaciones, Folletos, x x 3 3 3 6 9 9 6 9 9 6 9 3 9 3 3 3 6 6 6 3 6 6 6 12 9 9 6 6 9 6 9 9 6 12 6 6 3 6 6 9 9 6 9 6 6 12 12 12 12
Fotos, etc.)
Correo electrónico x 3 3 3 6 9 9 6 9 9 6 9 3 9 3 3 3 6 6 6 3 6 6 6 12 9 9 6 6 9 6 9 9 6 12 6 6 3 6 6 9 9 6 9 6 6 12 12 12 12
Bases de datos internos x x 4 4 4 8 12 12 8 12 12 8 12 4 12 4 4 4 8 8 8 4 8 8 8 16 12 12 8 8 12 8 12 12 8 16 8 8 4 8 8 12 12 8 12 8 8 16 16 16 16
Bases de datos colaborativos x x 2 2 2 4 6 6 4 6 6 4 6 2 6 2 2 2 4 4 4 2 4 4 4 8 6 6 4 4 6 4 6 6 4 8 4 4 2 4 4 6 6 4 6 4 4 8 8 8 8
Página Web interna (Intranet) x x 4 4 4 8 12 12 8 12 12 8 12 4 12 4 4 4 8 8 8 4 8 8 8 16 12 12 8 8 12 8 12 12 8 16 8 8 4 8 8 12 12 8 12 8 8 16 16 16 16
Página Web externa x x 3 3 3 6 9 9 6 9 9 6 9 3 9 3 3 3 6 6 6 3 6 6 6 12 9 9 6 6 9 6 9 9 6 12 6 6 3 6 6 9 9 6 9 6 6 12 12 12 12
Respaldos x x 4 4 4 8 12 12 8 12 12 8 12 4 12 4 4 4 8 8 8 4 8 8 8 16 12 12 8 8 12 8 12 12 8 16 8 8 4 8 8 12 12 8 12 8 8 16 16 16 16
Infraestructura (Planes,
x x 1 1 1 2 3 3 2 3 3 2 3 1 3 1 1 1 2 2 2 1 2 2 2 4 3 3 2 2 3 2 3 3 2 4 2 2 1 2 2 3 3 2 3 2 2 4 4 4 4
Documentación, etc.)
Informática (Planes,
x x 2 2 2 4 6 6 4 6 6 4 6 2 6 2 2 2 4 4 4 2 4 4 4 8 6 6 4 4 6 4 6 6 4 8 4 4 2 4 4 6 6 4 6 4 4 8 8 8 8
Documentación, etc.)
Datos e información no
x 2 2 2 4 6 6 4 6 6 4 6 2 6 2 2 2 4 4 4 2 4 4 4 8 6 6 4 4 6 4 6 6 4 8 4 4 2 4 4 6 6 4 6 4 4 8 8 8 8
institucionales
Navegación en Internet x x 3 3 3 6 9 9 6 9 9 6 9 3 9 3 3 3 6 6 6 3 6 6 6 12 9 9 6 6 9 6 9 9 6 12 6 6 3 6 6 9 9 6 9 6 6 12 12 12 12
Chat interno x 2 2 2 4 6 6 4 6 6 4 6 2 6 2 2 2 4 4 4 2 4 4 4 8 6 6 4 4 6 4 6 6 4 8 4 4 2 4 4 6 6 4 6 4 4 8 8 8 8
Chat externo x 1 1 1 2 3 3 2 3 3 2 3 1 3 1 1 1 2 2 2 1 2 2 2 4 3 3 2 2 3 2 3 3 2 4 2 2 1 2 2 3 3 2 3 2 2 4 4 4 4
Llamadas telefónicas externas x 1 1 1 2 3 3 2 3 3 2 3 1 3 1 1 1 2 2 2 1 2 2 2 4 3 3 2 2 3 2 3 3 2 4 2 2 1 2 2 3 3 2 3 2 2 4 4 4 4
Page 1
proyectos
Servidores
Cortafuego
Impresoras
614952983.xlsx
Computadoras
personal, etc.)
Memorias portátiles
(router, switch, etc.)
reunión, Bodega, etc.)

Sala de espera, Sala de
(contabilidad, manejo de
Programas de manejo de
(correo electrónico, chat,

llamadas telefónicas, etc.)
Equipos de la red cableada
Sistemas e Infraestructura
Programas de comunicación
Edificio (Oficinas, Recepción,

Programas de administración
Equipos de la red inalámbrica
(router, punto de acceso, etc.)
Matriz de Análisis de Riesgo
x
x
x
x
x
x
x
x
x
x
x
Acceso exclusivo
Acceso ilimitado
Clasificación
Costo de recuperación (tiempo,
x
x
x
x
x
x
x
x
x
económico, material, imagen,
emocional)
2 = Bajo
4 = Alto]
1
4
1
4
1
2
1
3
3
4
4
3 = Mediano
Magnitud de Daño:
[1 = Insignificante
1
4
1
4
1
2
1
3
3
4
4
1
1
4
1
4
1
2
1
3
3
4
4
1
2
8
2
8
2
4
2
6
6
8
8
2
3
3
3
6
3
9
9
3
12
12
12
12
electrónico)
3
3
3
6
3
9
9
3
12
12
12
12
2
8
2
8
2
4
2
6
6
8
8
2
Extorsión
3
3
3
6
3
9
9
3
12
12
12
12
Fraude / Estafa
3
3
3
6
3
9
9
3
12
12
12
12

2
8
2
8
2
4
2
6
6
8
8
2
electrónica
Actos originados por la criminalidad común y motivación política
3
3
3
6
3
9
9
3
12
12
12
12

1
4
1
4
1
2
1
3
3
4
4
1
Infiltración
Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]

3
3
3
6
3
9
9
3
12
12
12
12
programas
1
4
1
4
1
2
1
3
3
4
4
1

1
4
1
4
1
2
1
3
3
4
4
1
Incendio
1
4
1
4
1
2
1
3
3
4
4
1
2
8
2
8
2
4
2
6
6
8
8
2
Sismo
Sucesos de origen físico
2
8
2
8
2
4
2
6
6
8
8
2
Polvo
2
8
2
8
2
4
2
6
6
8
8
2
1
4
1
4
1
2
1
3
3
4
4
1
Electromagnetismo
Page 2
2_Sistemas
2
8
2
8
2
4
2
6
6
8
8
2
2
8
2
8
2
4
2
6
6
8
8
2

2
8
2
8
2
4
2
6
6
8
8
2

4
4
4
8
4
4
16
16
12
12
16
16

3
3
3
6
3
9
9
3
12
12
12
12
herramientas
3
3
3
6
3
9
9
3
12
12
12
12

2
8
2
8
2
4
2
6
6
8
8
2

2
8
2
8
2
4
2
6
6
8
8
2
Perdida de datos

3
3
3
6
3
9
9
3
12
12
12
12

2
8
2
8
2
4
2
6
6
8
8
2

3
3
3
6
3
9
9
3
12
12
12
12
sin cifrado

3
3
3
6
3
9
9
3
12
12
12
12
críticos

2
8
2
8
2
4
2
6
6
8
8
2

4
4
4
8
4
4
16
16
12
12
16
16

2
8
2
8
2
4
2
6
6
8
8
2
teléfono

2
8
2
8
2
4
2
6
6
8
8
2
Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales

1
4
1
4
1
2
1
3
3
4
4
1

2
8
2
8
2
4
2
6
6
8
8
2

personal

2
8
2
8
2
4
2
6
6
8
8
2

3
3
3
6
3
9
9
3
12
12
12
12

3
3
3
6
3
9
9
3
12
12
12
12
(acceso a archivos)

2
8
2
8
2
4
2
6
6
8
8
2
sistemas externos

3
3
3
6
3
9
9
3
12
12
12
12
sistemas internos

2
8
2
8
2
4
2
6
6
8
8
2

2
8
2
8
2
4
2
6
6
8
8
2
no autorizado

4
4
4
8
4
4
16
16
12
12
16
16
externo

4
4
4
8
4
4
16
16
12
12
16
16

riesgos)
4
4
4
8
4
4
16
16
12
12
16
16

4
4
4
8
4
4
16
16
12
12
16
16
interno
externo
Personal
Recepción
614952983.xlsx
Administración
Junta Directiva
Personal técnico
Soporte técnico externo

Dirección / Coordinación
Servicio de mensajería de
Servicio de limpieza de planta
Informática / Soporte técnico
Matriz de Análisis de Riesgo
Imagen pública de alto perfil,
x
x
indispensable para funcionamiento
institucional
x
x
x
Perfil medio, experto en su área
Clasificación
Perfil bajo, no indispensable para
x
x
x
x
funcionamiento institucional
2 = Bajo
4 = Alto]
2
1
2
3
1
4
4
4
4
3 = Mediano
Magnitud de Daño:
[1 = Insignificante
2
1
2
3
1
4
4
4
4
1
2
1
2
3
1
4
4
4
4
1
4
2
4
6
2
8
8
8
8
2
6
3
6
9
3
3
12
12
12
12
electrónico)
6
3
6
9
3
3
12
12
12
12
4
2
4
6
2
8
8
8
8
2
Extorsión
6
3
6
9
3
3
12
12
12
12
Fraude / Estafa
6
3
6
9
3
3
12
12
12
12

4
2
4
6
2
8
8
8
8
2
electrónica
Actos originados por la criminalidad común y motivación política
6
3
6
9
3
3
12
12
12
12

2
1
2
3
1
4
4
4
4
1
Infiltración
Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]

6
3
6
9
3
3
12
12
12
12
programas
2
1
2
3
1
4
4
4
4
1

2
1
2
3
1
4
4
4
4
1
Incendio
2
1
2
3
1
4
4
4
4
1
4
2
4
6
2
8
8
8
8
2
Sismo
Sucesos de origen físico
4
2
4
6
2
8
8
8
8
2
Polvo
4
2
4
6
2
8
8
8
8
2
2
1
2
3
1
4
4
4
4
1
Electromagnetismo
Page 3
3_Personal
4
2
4
6
2
8
8
8
8
2
4
2
4
6
2
8
8
8
8
2

4
2
4
6
2
8
8
8
8
2

8
4
8
4
4
12
16
16
16
16

6
3
6
9
3
3
12
12
12
12
herramientas
6
3
6
9
3
3
12
12
12
12

4
2
4
6
2
8
8
8
8
2

4
2
4
6
2
8
8
8
8
2
Perdida de datos

6
3
6
9
3
3
12
12
12
12

4
2
4
6
2
8
8
8
8
2

6
3
6
9
3
3
12
12
12
12
sin cifrado

6
3
6
9
3
3
12
12
12
12
críticos

4
2
4
6
2
8
8
8
8
2

8
4
8
4
4
12
16
16
16
16

4
2
4
6
2
8
8
8
8
2
teléfono

4
2
4
6
2
8
8
8
8
2
Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales

2
1
2
3
1
4
4
4
4
1

4
2
4
6
2
8
8
8
8
2

personal

4
2
4
6
2
8
8
8
8
2

6
3
6
9
3
3
12
12
12
12

6
3
6
9
3
3
12
12
12
12
(acceso a archivos)

4
2
4
6
2
8
8
8
8
2
sistemas externos

6
3
6
9
3
3
12
12
12
12
sistemas internos

4
2
4
6
2
8
8
8
8
2

4
2
4
6
2
8
8
8
8
2
no autorizado

8
4
8
4
4
12
16
16
16
16
externo

8
4
8
4
4
12
16
16
16
16

riesgos)
8
4
8
4
4
12
16
16
16
16

8
4
8
4
4
12
16
16
16
16
614952983.xlsx Análisis_Promedio
Análisis de Riesgo promedio

Probabilidad de Amenaza
Criminalidad y Sucesos de origen Negligencia y
Político físico Institucional
Datos e Información 5.7 4.4 7.2
Magnitud de Daño Sistemas e Infraestructura 5.5 4.2 7.0
Personal 6.0 4.6 7.6
Riesgo Probabilidad
Datos e Información - Negligencia y Institucional 7.2
Sistemas e Infraestructura - Negligencia y Institucional 7
Personal - Negligencia y Institucional 7.6
Página 4
614952983.xlsx Análisis_Factores
Criminalidad y Político / Sucesos de origen Sucesos de origen Negligencia y Negligencia y

Criminalidad y Político / Criminalidad y Político / Sucesos de origen Negligencia y
Etiqueta Sistemas e físico / Datos e físico / Sistemas e Institucional / Datos e Institucional / Sistemas
Datos e Información Personal físico / Personal Institucional / Personal
Infraestructura Información Infraestructura Información e Infraestructura
X 2.15384615384615 2.15384615384615 2.15384615384615 1.66666666666667 1.66666666666667 1.66666666666667 2.73076923076923 2.73076923076923 2.73076923076923
Y 2.63157894736842 2.54545454545455 2.77777777777778 2.63157894736842 2.54545454545455 2.77777777777778 2.63157894736842 2.54545454545455 2.77777777777778
Análisis de Factores de Riesgo
Criminalidad y Político / Datos e Infor-

mación
Criminalidad y Político / Sistemas e In-

fraestructura
Magnitud de Daño
Criminalidad y Político / Personal
Sucesos de origen físico / Datos e Infor-

mación
Sucesos de origen físico / Sistemas e In-

fraestructura
Sucesos de origen físico / Personal
Negligencia y Institucional / Datos e In-

formación
Negligencia y Institucional / Sistemas e In-

fraestructura
Negligencia y Institucional / Personal
Umbral Medio Riesgo
Umbral Alto Riesgo
Probalidad de Amenaza
Página 5
Fuente
Umbral
Valoración Escala Valor_min Valor_max Lineas Medio
Riesgo
Ninguna 1 1 3 7
Baja 2 4 6 x y
Mediana 3 8 9 1.0 7.0
Alta 4 12 16 1.1 6.4
1.2 5.8
1.3 5.4
1.4 5.0
1.5 4.7
1.6 4.4
1.8 4.0
1.8 3.9
1.9 3.7
2.0 3.5
2.1 3.3
2.2 3.2
2.3 3.0
2.4 2.9
2.5 2.8
2.6 2.7
2.7 2.6
2.8 2.5
2.9 2.4
3.0 2.3
3.1 2.3
3.2 2.2
3.3 2.1
3.4 2.1
3.5 2.0
3.6 1.9
3.7 1.9
3.8 1.8
3.9 1.8
4.0 1.8
Page 6
Fuente
Umbral
Alto
Riesgo
10.5
y
10.5
9.5
8.8
8.1
7.5
7.0
6.6
6.0
5.8
5.5
5.3
5.0
4.8
4.6
4.4
4.2
4.0
3.9
3.8
3.6
3.5
3.4
3.3
3.2
3.1
3.0
2.9
2.8
2.8
2.7
2.6
Page 7
MATRIZ ANÁLISIS DEL RIESGO
Número Magnitud de daño Probabilidad de amenaza Descripción Valoración Tratamiento Por qué?
El resultado Global arroja el 7,6 de probabilidad para que se materialice los riesgos producto
de las amenazas por Negligencia y Institucional X Personal, dejando este riesgo en un nivel Es el riesgo más crítico identificado a pesar que su probabilidad promedio se ubique en un rango de moderación MEDIANA de
MEDIANO. ocurrencia. Es necesario tomar acciones necesarias para administrar el riesgo.
1 Personal Negligencia y Institucional Se hace necesario la comprensión del comportamiento de las amenazas sobre el personal a 7.6 Reducir Dentro de la matriz de riesgos se observan activos con concurrencia alta, por tanto el tratamiento debe buscar REDUCIR
un nivel más detallado, en donde se observen estados de los activos con probabilidad de prioritariamente esa probabilidad de ocurrencia, en paralelo, también se debe atacar los otros riesgos que a pesar que son bajos,
ocurrencia MEDIANA y ALTA, y así, generar estrategias o planes de trabajo apropiados para siguen teniendo probabilidades de riesgo.
erradicar en lo posible el riesgo.
Para este caso, el resultado Global arroja el 7,2 de probabilidad para que se materialice los
riesgos producto de las amenazas por Negligencia y Institucional X Datos e Información,
A pesar que su probabilidad promedio se ubica en un rango de moderación MEDIANA de ocurrencia, es importante que se tomen
este resultado requiere un tratamiento y ubica a la organización sobre un nivel de riesgo
acciones para administrar el riesgo.
2 Datos e Información Negligencia y Institucional MEDIANO. 7.2 Reducir Como se puede visualizar en la matriz de riesgos, existen activos que deben tener toda la atención inmediata para su reducción de
Se debe validar el comportamiento de las amenazas sobre los activos aun nivel más
probabilidad de concurrencia
detallado con el fin de disminuir el nivel de ocurrencia MEDIANO y ALTO actual, y así,
generar estrategias o planes de trabajo apropiados para erradicar en lo posible el riesgo.
El resultado Global arroja el 7,0 de probabilidad para que se materialice los riesgos producto
A pesar que el tratamiento sugerido es el de ACEPTAR, en el nivel promedio de la probabilidad de materialización del riesgo se
de las amenazas por Negligencia y Institucional X Sistemas e Infraestructura, si bien este
pueden observar riesgos de materialización que deben tener atención respectiva.
número ubica a la organización sobre un nivel de riesgo BAJO, se hace necesario la
3 Sistemas e Infraestructura Negligencia y Institucional
comprensión del comportamiento de las amenazas sobre la infraestructura a un nivel más
7.0 Aceptar 1. Probabilidad ALTA, Generar plan y acciones que permitan de manera oportuna mitigar la materialización del riesgo.
2. Probabilidad MEDIANA de materialización del riesgo, por lo tanto, consideramos acciones de seguimiento que puedan reducir las
detallado teniendo en cuenta que se encuentra muy cerca de pasar a un riesgo MEDIANO,
probabilidades puntuales que presentan un nivel de impacto mediano.
por lo tanto, se deben generar estrategias para la erradicación respectiva
Origen del Riesgo Probabilidad de amenaza Tratamiento
Datos e Información Criminalidad y Político Reducir
Sistemas e Infraestructura Sucesos de origen físico Aceptar
Personal Negligencia y Institucional Reducir
Magnitud de Probabilidad de Clasificación
Nro Nombre Riesgo
daño amenaza Riesgo
Junta Directiva - Dirección

Negligencia y Costo de
1 Personal - Administración - Personal
Institucional recuperación
Técnico
Costo de
Datos e Negligencia y
2 Base de datos internas recuperación -
información Institucional
Confidencialidad
Datos e Negligencia y Navegación internet, chats Confidencialidad

3
información Institucional internos - Sensitivo
Datos e Negligencia y Confidencialidad

4 Correo electrónico
información Institucional - Sensitivo
Descripción Riesgo Id Control Nombre Control
Falta de inducción,
capacitación y Roles y responsabilidades para la
A.6.1.1
sensibilización sobre seguridad de información
riesgos
Falta de normas y reglas Planificación de la continuidad de

A.17.1.1
claras la seguridad de la información
Falta de mecanismos de
verificación de normas y
Políticas y procedimientos de
reglas / Análisis A.13.2.1
transferencia de información
inadecuado de datos de
control
Uso de la información de
A.9.3.1
Compartir contraseñas o autenticación secreta
permisos a terceros no
autorizados
A.13.2.3 Mensajería electrónica
Descripción Control Justificación
Es necesario que cada uno de los miembros

Control: Se deberían definir y asignar todas del proyecto conozcan cuáles son los accesos
las responsabilidades de la seguridad de la restringidos, para eso, se realizan
información. perfilamientos internos para ejercer control y
seguimiento sobre información sensible
Control: La organización debería determinar

Teniendo en cuenta que un desastre natural
sus requisitos para la seguridad de la
puede ocurrir, la organización debe garantizar
información y la continuidad de la gestión de
la perdurabilidad de la información en el
la seguridad de la información en situaciones
tiempo con el fin de no parar operaciones o
adversas, por ejemplo, durante una crisis o
sufrir pérdida de datos.
desastre.
Control: Se debería contar con políticas,

Los funcionarios deben tener controles y
procedimientos y controles de transferencia
procedimientos con el fin de hacer
formales para proteger la transferencia de
seguimiento respectivos para seguimiento y
información mediante el uso de todo tipo de
verificación de actividades
instalaciones de comunicación.
Control: Se debería exigir a los usuarios que Los colaboradores deben mantener de manera
cumplan las prácticas de la organización para confidencial sus credenciales de acceso tanto
el uso de información de autenticación aplicativos como medios de comunicación
secreta. institucionales.
Control: Se debería proteger adecuadamente Se debe proteger la información que se envía
la información incluida en la mensajería vía correo electrónico, sobre todo cuando es
electrónica. de tipo institucional.
Diseño del indicador
ID 1 Fecha Utilización 9/1/2022
Nombre Revisión de capacitaciones y reinducciones de personal
Tipo Indicador Operativo
Conocer el número de capacitaciones exitosas que se realizan en periodos de tiempos. Lo anterior con el f
Objetivo
prevenir los riesgos o conocimientos faltantes que tienen los miembros del proyecto debido a la alta rotac
Medida Porcentaje de capacitaciones exitosas que se realizan en el proyecto
Fuente de Datos Evaluación de matriz y análisis de riesgos
Fórmula de Cálculo (Número de capacitaciones exitosas /Cantidad total de capacitaciones programadas) * 100
Método de Cálculo, análisis y reporte
No. Paso
1 Identificar la cantidad de capacitaciones que se realizan
Identificar las capacitaciones que han sido exitosas mediante la asistencias y
2
evaluaciones efectivas
3 Consolidar todas las capacitaciones respectivas
4 Ejecutar la fórmula de cálculo definida
Criterios
Evaluar y clasificar las capacitaciones quepara el análisis
se realizan al de datos
Meta personal del proyecto con el fin asegurar las mejores prácticas
Valor Fórmula en el manejo de1%los riesgos
Indicador >= 95%
Versión 1.0
dos de tiempos. Lo anterior con el fin de identificar y

s del proyecto debido a la alta rotación de personal.
programadas) * 100
Responsable Frecuencia
Líder Personal Mensual
Sentido
Entre 80%-95% < 80%

Nombre Revisión amenazas controladas
Tipo Indicador Táctico
Conocer la cantidad de ataques a de software malicioso que la organización sufre y el nivel de posibl
Objetivo
Lo anterior con el fin de llevar un histórico y aplicar estrategias para la utilización de antivirus.
Medida Número de ataques detectados vs Número de ataques bloqueados
Fuente de Datos Reporte de incidencias encontradas por el personal de seguridad.
Fórmula de Cálculo Número de ataques detectados /numero de ataques bloqueados
No. Paso
1 Identificar los ataques de código malicioso
2 Identificar afectaciones sobre el proyecto
3 Identificar los ataques bloqueados
Criterios para el análisis de datos
Asegurar que los ataques de código malicioso sean
Meta
bloqueados en su totalidad
Valor Fórmula 100%
Indicador >= 100%
Versión 1
ación sufre y el nivel de posible afectación del mismo.

utilización de antivirus.
e
Líder seguridad Diaria
Sentido

Entre 90%-99% <90%
Nombre Efectividad copias de seguridad
Tipo Indicador Táctico
Objetivo Identificar información sensible y delicada para el proyecto con el fin de crear una estrategia de Backup
Medida Porcentaje de operaciones de backup exitosas.
Fuente de Datos Bases de datos
Fórmula de Cantidad de operaciones de backup que se ejecutaron con éxito / Cantidad de operaciones de backup reali
Cálculo información del proyecto
No. Paso
Identificar la información sensible y delicada del proyecto para ejecutar backup o
1
recuperación.
2 Programar los horarios y tiempo respectivo para realizar el proceso de recuperación
3 Identificar los backups que fueron exitosos en la recuperación respectiva
Asegurar que la información sensibleCriterios para el
del proyecto se análisis de datos
Meta encuentre correctamente respaldada y en el caso de cualquier
Valor Fórmula desastre, permita recuperarse
100%correctamente.

Indicador >= 99%

Versión 1
una estrategia de Backup y recuperación
peraciones de backup realizadas sobre la
Líder de
Diaria
Proyecto
Sentido

Entre 90%-99% <90%

Matriz Análisis Riesgo Factores Exito

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Matriz Análisis Riesgo Factores Exito

Cargado por

Copyright:

Formatos disponibles

614952983.

Matriz de Análisis de Riesgo Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]

Falta de mecanismos de verificación

Red inalámbrica expuesta al acceso

Falta de normas y reglas claras (no

Acceso electrónico no autorizado a

Acceso electrónico no autorizado a

Falla de sistema / Daño disco duro

autorizados / software 'pirateado'

Falta de actualización de software

Infección de sistemas a través de

unidades de almacenamiento, etc

institucionalizar el estudio de los

Transmisión de contraseñas por

(proceso, repuestos e insumos)

inadecuado de datos de control

Dependencia a servicio técnico

Red cableada expuesta para el

Falta de mantenimiento físico

Falla de corriente (apagones)

de normas y reglas / Análisis

sensibilización sobre riesgos

Manejo inadecuado de datos

Falta de definición de perfil,

Costo de recuperación (tiempo,

Mal manejo de sistemas y

Daños por vandalismo

con datos productivos

Bases de datos internos x x 4 4 4 8 12 12 8 12 12 8 12 4 12 4 4 4 8 8 8 4 8 8 8 16 12 12 8 8 12 8 12 12 8 16 8 8 4 8 8 12 12 8 12 8 8 16 16 16 16

Bases de datos colaborativos x x 2 2 2 4 6 6 4 6 6 4 6 2 6 2 2 2 4 4 4 2 4 4 4 8 6 6 4 4 6 4 6 6 4 8 4 4 2 4 4 6 6 4 6 4 4 8 8 8 8

Página Web interna (Intranet) x x 4 4 4 8 12 12 8 12 12 8 12 4 12 4 4 4 8 8 8 4 8 8 8 16 12 12 8 8 12 8 12 12 8 16 8 8 4 8 8 12 12 8 12 8 8 16 16 16 16

Página Web externa x x 3 3 3 6 9 9 6 9 9 6 9 3 9 3 3 3 6 6 6 3 6 6 6 12 9 9 6 6 9 6 9 9 6 12 6 6 3 6 6 9 9 6 9 6 6 12 12 12 12

Llamadas telefónicas externas x 1 1 1 2 3 3 2 3 3 2 3 1 3 1 1 1 2 2 2 1 2 2 2 4 3 3 2 2 3 2 3 3 2 4 2 2 1 2 2 3 3 2 3 2 2 4 4 4 4

reunión, Bodega, etc.)

(correo electrónico, chat,

Edificio (Oficinas, Recepción,

Costo de recuperación (tiempo,

Allanamiento (ilegal, legal)

Persecución (civil, fiscal, penal)

Orden de secuestro / Detención

Sabotaje (ataque físico y

Daños por vandalismo

Robo / Hurto (físico)

Robo / Hurto de información

Intrusión a Red interna

Virus / Ejecución no autorizado de

Violación a derechos de autor

Falla de corriente (apagones)

Falla de sistema / Daño disco duro

Falta de inducción, capacitación y

sensibilización sobre riesgos

Mal manejo de sistemas y

autorizados / software 'pirateado'

Falta de pruebas de software nuevo

con datos productivos

Infección de sistemas a través de

unidades portables sin escaneo

Manejo inadecuado de datos

críticos (codificar, borrar, etc.)

Unidades portables con información

Transmisión no cifrada de datos

Manejo inadecuado de contraseñas

Compartir contraseñas o permisos a

Transmisión de contraseñas por