Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MATRICES DE RIESGO
rzo de 2023
Nombre Ponderación
Evelyn Azucena 10
Josefina 10
Henry Geovanny 10
Michael Eduardo 10
Juan Carlos 10
Kimberly Fabiola Michell 10
Kevin Estuardo 10
Karla Johana 10
Entidad:
Periodo:
Área:
PT
Hecho por: GRUPO 5
Revisado Por:
ANÁLISIS
sintoma
Probabilidad Impacto priorida
No se cuenta con sistemas actualizados a la
necesidad de la empresa, centro de datos y
M A 1
servidores especializados de acuerdo a la operación
de la organización.
responsable de la accion
RESPUESTA de respuesta
3 Robo de equipos
4 Licencias y sofware
autorizados
Páginas no
5
autorizadas
6
Respaldo de la
información
Seguro de los
equipos
Falta de mecanismos
de control
(USUARIOS,
CONTRASEÑAS,
ROLES)
1. Ausencia de
inventario de
equipos. 2. Ausencia
de Bitàcora de
prestamo y
asignaciòn de
equipos
10
Suplantacion
11
Almacenamiento de
equipo en lugares de
acceso publico
12
Poca ventilación
13
14
Mapa de calor
PROBABILIDAD A 4 8 9
M 3 5 7
B 1 2 6
B M A
IMPACTO
MATRIZ DE RIESGO DE ROBO O PÉRDIDA DE EQUIPO
Bajas y altas en la
perdida parcial o total en
energía electrica que
equipos de computo y/o 1 3
puede causar daños en
servidores
circuitos internos
Descargas de licencias
Perida de tarjetas gráficas, discos y/ó programas no
3 3
duro y sistema de operación autorizadas por el
departamento
Plagio de la infomracion
Manejar información restringida. Perdida de la
Acceder a perfiles no 1 3
Imformacion Hurto
autorizados.
Informacion
Resguardo inadecuado
de Hardware con acceso
Hurto de equipo, manupulacion indeguro y con vigilacia
2 3
indebida escaza que beneficie al
Hurto de los equipos e
informacion
Daño severo del
hardware que ocasiona
Sobrecalentamiento de equipos 1 3
la perdida del equipo y
de la información
Contener información
de archivos
encriptados o con Gerencia y jefe o supervisor autorizado por
6
contraseñas que Gerencia del departamento.
posean las personas
responsables o de alta
Realización de
pruebas en UPS para cada uno en sus areas y llevar un control
3 verificación que esten por un encargado
en buen estado
Restringir las
9 descargas sin Gerencia
autorización del
administrador
Restricción de paginas
en las que no sean
6 necesarias para Gerencia
resguardar equipos
de computo
Se deben dar
capacitaciones y dar
6 seguimiento al Jefe del departamento
cuidado de los
equipos
Se debe tener un
respaldo de la
4 informacion en la Jefe del departamento
nube o en algun disco
duro designado.
Contratar un seguro
que pueda cubrir el Jefe del departamento, gerencia del
9
robo o la perdida de departamento
los equipos
Constituir nuevas
politicas de trabajo y
politicas de seguridad Jefe del departamento, gerencia del
3
digital. Control departamento
centralizado de
equipos informàticos.
Constituir nuevas
politicas de trabajo y
politicas de seguridad Jefe del departamento, gerencia del
3 digital. Control
departamento
centralizado de
equipos informàticos.
Establecer un lugar
fisico, adeciado que
propicie el resguardo Jefe del departamento, gerencia del
6 seguro, con acceso
departamento
restringido al publico
en general
Mantener un
3 ambiente adecuado Jefe del departamento
para los equipos
3 Que
web
instalen un Malware en el sitio Infectar a los usuarios que lo visitan y
comprometer sus dispositivos
Falsificación de datos,
10 Spoofing modificándolos para poder obtener
beneficios.
MATRIZ DE RIESGOS
INFILTRACIÓN SITIO WEB
Implementar la herramienta de
Captcha para mejorar la seguridad itio
El encargado de IT
web y disminuir los ataques por bots y
crawlers
Establecer una política de restricción
de descargas
de programas de fabricantes
desconocidos. Y realizar una inversión El encargado de IT
en la adquisición de un software de
pago para
incrementar la seguridad.
Usurpación de identidades o
1 Robo de informacion
mal uso de datos
compartir informacion
llamadas y mensajes a confidencial y caer en
5
personas errones personas que no les
corresponde
incrementar politicas de
seguridad brindando alta
Gerente de
capacitacion al personal a cargo
sistemas
del sistema informatico para
evitar ataques ciberneuticos
Incrementar Politicas de
capacitacion adecuadas y Tener
una contraseña de acceso para
Gerente de
proteger la información
sistemas
contenida en tu dispositivo móvil
que evitará que alguien pueda
tener acceso a tu información
A 4 8 9
M 3 5 7
B 1 2 6
B M A
IMPACTO
GRUPO NO. 4
MATRIZ DE RIESGO
ATAQUES DE VIRUS
PONDERACIÓN DE RIESGO
NO. ÁREA OBEJTIVO DESCRIPCIÓN DEL RIESGO
PROBABI.
Todos los Mantener los equipos informaticos Mala higiene informatica y carencia de
3 departamentos de la actualizados y libres de cualquier herramientas antimalware en los 5
empresa amenaza traducida en virus informatico equipos de computo
Todos los No tener copias de la información
4 departamentos de la Protección de Sistemas de Archivo desde la fuente del arranque del entorno 5
empresa en el sistema de archivo crítico.
Responsable de
Pérdida financiera, posible Actualización de software de seguridad y Compras, Responsable
5 15
interrupción del servicio backup de sistemas e información críticos de Departamento de
Informatica
La perdida de inoformación,
Actualizar y proyeger los sistemas de Depatamento de TI y
5 25 acceso a la base de datos y
seguridad, Operaciones.
fraudes.
Interrupción de las
operaciones del negocio, Utilizar software de seguridad, como antivirus y
Departamento de
5 15 tiempo y costos adicionales firewalls, para proteger los sistemas
Técnologia
para reparar los sistemas informáticos.
afectados.
No. Tipo de Riesgo Probabilidad Consecuencia
1 Alta Menor
2 Media Critico
3 Media Catastrofico
4 Baja Moderada
MATRIZ DE RIESGOS
Consecuencia
Minima Menor Moderada Critico Catastrofico
Probabilidad 1 2 3 4 5
Muy baja 1 1 2 3 4 5
Baja 2 2 4 6 8 10
Media 3 3 6 9 12 15
Alta 4 4 8 12 16 20
Muy Alta 5 5 10 15 20 25
Nivel de Riesgo Calificación
8 8
12 12
15 15
6 6
No.
1
7
EVENTO OBJETIVO DEL PROCESO
Perdida de accesos al equipo y archivos almacenados, lo cual conlleva a
CONTROL
no saber como administrar y retomar labores
Aprobó
20.03.2023
Versión
1
RIESGO RESIDUAL
No. De Riesgo
PROBA BILIDAD
IMPACTO
DESCRIPCION DEL
PROCESO POSIBLES CONSECUENCIAS CONTROL EXISTENTE ACCIONES RESPONSABL ES PERIODICIDAD INDICADORES
RIESGO
32
Aprobó
20.03.2023
Versión
1
RIESGO RESIDUAL
No. De Riesgo
PROBA BILIDAD
IMPACTO
DESCRIPCION DEL
PROCESO POSIBLES CONSECUENCIAS CONTROL EXISTENTE ACCIONES RESPONSABL ES PERIODICIDAD INDICADORES
RIESGO
24 Trabajo ineficiente,. Retraso en los
procesos, errores significativos en
puestos claves.
24
Aprobó
20.03.2023
Versión
1
RIESGO RESIDUAL
No. De Riesgo
24
PROBA BILIDAD
IMPACTO
DESCRIPCION DEL Se evalua porACCIONES
parte de la RRHH quien
PROCESO POSIBLES CONSECUENCIAS CONTROL EXISTENTE RESPONSABL ES PERIODICIDAD INDICADORES
RIESGO recomienda si la persona tiene la aptitud
para el cargo a ocupar
Se realiza la entrevista por parte del Jefe
inmediato para evaluar y recomendar
1. Deficiencia en la calidad del
cumplimiento de funciones en caso de
Inexistencia de trabajo asignado. Verificación de los requisitos
quedar elegido. Check list Verificación de los
planes de Ineficiencia en las actividades a 2. Bajo rendimiento en las tareas Moderado Mayor de acuerdo al perfil del cargo,
Administración Cuando sea requisitos de acuerdo al perfil del
6 promociones desarrollar por parte del asiganadas y proceso interno para
General requerido cargo, y y check list de documentos
profesionales y personal 3. Desgaste en tiempo y recursos culminar el proceso de
a completar para ser dado de alta.
escala de salarios del área administrativa y selkección y recluitamiento.
capacitación
Riesgo Critico
20
Aprobó
20.03.2023
Versión
20 1
RIESGO RESIDUAL
No. De Riesgo
PROBA BILIDAD
personal
1. Demora en el proceso de selección
IMPACTO
Publicaciòn de las vacantes a
No existen los canales
DESCRIPCION DEL y reclutamiento de personal
PROCESO traves de bolsas de empleo, o AdministraciónES Cada vez que sea
8 para dar a conocer POSIBLES CONSECUENCIAS
adecuadosRIESGO . 2. Perdida de Muy Alto Moderada CONTROL EXISTENTE ACCIONES RESPONSABL PERIODICIDAD INDICADORES
promociones dentro de la General necesario
las ofertas laborales. captaciòn de personal idoneo para
institución
la vacante requerida
24 Nº de subprocesos de selección
realizados/ Nº de subprocesos de
selecciòn que se deben realizar
Aprobó
20.03.2023
Versión
1
RIESGO RESIDUAL
No. De Riesgo
PROBA BILIDAD
contrato utilizado por cada puesto de
IMPACTO
trabajo.
DESCRIPCION DEL
PROCESO POSIBLES CONSECUENCIAS CONTROL EXISTENTE ACCIONES RESPONSABL ES PERIODICIDAD INDICADORES
RIESGO
Aprobó
20.03.2023
Versión
1
RIESGO RESIDUAL
No. De Riesgo
PROBA BILIDAD
IMPACTO
DESCRIPCION DEL
PROCESO POSIBLES CONSECUENCIAS CONTROL EXISTENTE ACCIONES RESPONSABL ES PERIODICIDAD INDICADORES
RIESGO
Riesgo Alto # de personas con resultados de
evaluación de desempeño favorables
Encuesta de satisfacción de las
capacitaciones seguimiento plan de
capacitaciones evaluación de la
eficacia de las capacitaciones
1, Actualización de información que
alimente el indicador
2, Realizar seguimiento de las
Seguimiento y Revisión al
capacitaciones impartidas en la entidad a
1. Desactualizaciòn de los indicador de cumplimiento
traves encuesta de satisfacción 3, Realizar
trabajadores en temas necesarios Verificación del Plan de Administración
Evaluación del plan seguimiento a las capacitaciones a través
para la realizaciòn adecuada de sus Capacitaciones y colegiado General
de capacitaciones de los certificados de estudio /o
funciones. activo cuando lo amerite el
evaluación de la eficacia
cargo del profesional.
Inadecuada inducciòn general y 4, Realizar seguimiento a los resultados
12 especifica al personal de nuevo del ítem prueba de conocimiento para Cuatrimestre
ingreso de la Entidad determinar cumplimiento de objetivo de
MA
Área: SISTEMAS
Fecha de elaboración:
Fecha de actualización:
8 Mal resguardo del servidor Fallo del sistema durante un tiempo determinado.
Probabilidad
prioridad
Impacto
Sintoma
Pérdida de la información. M A 2
Que la información sea expuesta, y que personas incorrectas
M A 3
la utilicen.
Falta de conocimiento del proceso. B M 5
Que el servidor deje de funcionar debido a una sobre carga
B M 9
por tormenta electrica
Responsable de la acción de
Respuesta al riesgo
respuesta
4 Se identifico que la empresa tiene un falsa publidad en redes sociales, la cual no se esta aplicando.
Se encontró un perfil en redes sociales falso, haciendose pasar por la empresa, ofreciendo descuentos y
pidiendo datos personales innecesarios.
Correos electronicos que parecen confiables, pero contienen URL a paginas poco confiables donde pueden
5 hackear información de los computadores.
6 Robo de activos como aparatos tecnológicos importantes para la empresa.
7 Se indentificó un mal cuidado del equipo tecnológico brindado al personal en Home Office.
Hace mas de un año que no se realiza Hacking Ético (para medir el nivel de seguridad de la empresa), Con
8 el fin de evaluar si se está preparado para cualquier ataque de robo de información externo por lo que no se
tiene conocimiento que tipo de posibles vulnerabilidades posee los sistemas.
11 No se cuenta con un control por medio de algun programa para verificar la autenticidad del sitio web.
Se permite la conexión de computadoras que no pertenecen a la institucion y no se cuenta con un control
12 para autorizar computadoras personales.
Hecho
Revisado
Autorizado
Riesgo de perdida en
Negativo General 4
informacion
4 16 Alto
4 16 Alto
4 16 Alto
5 20 Alto
4 16 Alto
3 15 Medio
4 20 Alto
4 16 Alto
3 15 Medio
4 12 Medio
4 16 Alto
4 20 Alto
4 20 Alto
4 16 Alto
3 12 Medio
Empresa: Nombre de la empresa
Matriz para la Gestión de Riesgos
MAT
Área:
Fecha de elaboración:
Fecha de actualización:
1 Ataques deVirus
4 Phishing
8 Rotación de personal
La empresa no cuenta con una red estable y los colaboradores Los empleados tienen dificultad al usar aplicaciones que
constantemente se quejan utilicen internet porque se desconecta constantemente
El sistema tecnologico dejan de funcionar por el Se puede realizar un diagnositico simple en base a los
cibercrimen, falla de hardware y problemas en su propio conocimientos de la persona, para lograr saber si todo esta
software. en su funcionamiento normal.
Probabilidad
Prioridad
Impacto
Síntoma
Responsable de la acción de
Respuesta al riesgo
respuesta
MATRIZ DE RIESGO
PROBABILIDAD
IMPACTO
NO. EVENTO DEPARTAMENTO TIPO DE RIESGO EFECTO RESPUESTA AL RIESGO RIESGO PONDERADO
El origen de la vulnerabilidad
radica en la incorrecta
La aplicación es vulnerable a un SQL comprobación o filtrado de las Se puede evitar de las siguientes
2 IT Financiero, Operacional maneras: a) Escapar los
Injection. variables utilizadas en un
programa que contiene, o bien caracteres especiales utilizados
en las consultas SQL b) Delimitar
genera, código SQL. los valores de las consultas
c)Verificar siempre los datos que
introduce el usuario d) Asignar
mìnimos privilegios al usuario
que conectará con la base de
datos e) Programar bien 5 5 25
Perdida de base de
1 datos y fuestes de
informacion
Ausencia de
controles en los
2
sistemas de
informacion
Manipulacion,
modificacion o
alteracion sin
3 autorizacion de la
informacion
registrada en los
sistemas.
Erronea gestion de la
4 infraestructura
tecnologica.
No cumplir con los
lineamientos del
5 modelo de segridad
y provacidad de la
informacion y de las
politicas.
No disponibilidad de
los sitemas
tecnologicos y los de
informacion.
Insuficiencias
operativas de
sofware.
Ataques ciberneticos
Acceso a cuentas de
correo
9
perdida de equipos
de informaticos
10
Mapa de calor
PROBABILIDAD A 4 8 9
M 3 5 7
B 1 2 6
B M A
IMPACTO
MATRIZ DE RIESGO DE GESTION SEGURIDA DIGITAL
Perdida de autenticidad
en la informacion que se
No ejecutar el debido respaldo maneja.
de toda la información y no Perder la 3 3
contar con la proteccion de esta continuidad en el buen
funcionamiento de las
areas.
Perdida de informacion
Manejar información restringida. privada.
Acceder a perfiles no Posibles sanciones por 3 3
autorizados. no teportar informacion
a tiempo.
Fallas en la coneccion de
los sistemas de
informacion tanto
interno como externo.
Gestionar losndistintos procesos Fallas en la
2 3
de infraestructura tecnologica. conectividad, paginas
web, correos
electronicos y demas
sistemas de
comunicacion.
Posibles sanciones por
Supervision de los contratos con mal manejo de las
terceros qu eprestan los politicas de la seguridad
servicios de infraestructura de la informacion. 3 3
tecnologica de los sistemas de Plan de mejora
informacion. continua de la seguridad
digital.
Resultados
desactualizados y no en
No tener un registro de los tiempo real.
componentes que se utilizan en Falta de herramientas 4 2
los procesos que utilizan
semaforo para temas de
sistemas de informacion.
vencimiento en
correspondencia.
Plagio de la infomracion
Manejar informacion restringida.
Perdida de la
Acceder a perfiles no 3 3
Imformacion Hurto
autorizados.
Informacion
Plagio de la infomracion
No tener control sobre que
Perdida de la
equipos de computo tienen los 2 3
Imformacion Hurto
colaboradores.
Informacion
A DIGITAL
Realización de
6 pruebas en UPS para cada uno en sus areas y llevar un control
verificación que esten por un encargado
en buen estado
Cambios periodicos
de contraseña.
9 Capacitar a los Gerente de Tecnologia
funcionarios para la
solicitud de
requerimiento.
Supervision de los
contratos con
terceros que prestan
los servicios de
6 Gerente de Tecnologia
infraestructura
tecnologica de los
sistemas de
informacion.
Ejecucion al plan de
trabajo de politicas
9 digital. Gerencia de Tecnologia
Entrega de informes y
porcentajes de
avances.
Bitacora de revision y
8 lista de chequeo en Gerencia de Tecnologia
instalacion y vigencias
de software.
Monitoreo y
seguimiento a los
9 proveedores Gerencia de Tecnologia
tecnologicos de los
sistemas de antivirus
vigentes en equipos.
Seguimiento de
9 bitacora contractual- Gerencia de Tecnologia
usuario.
Seguimiento de
bitacora de
6 prestamos de Gerencia de Tecnologia
equipos.