C4 A HS Gestion Riesgos

FORMATO
MATRIZ GESTIÓN DE RIESGOS D
VARIABLE
TIPO AMENAZA VULNERABILIDAD

Incumplimiento en el mantenimiento del Mantenimiento insuficiente/instalación
sistema de información fallida de los medios de almacenamiento.
Ausencia de esquemas de reemplazo
Destrucción de equipos o medios
periódico
Susceptibilidad a la humedad, el polvo o la
Polvo o corrosión
suciedad
Ausencia de un eficiente control de
Error en el uso
HARDWARE cambios en la configuración
Perdida en el suministro de energía Susceptibilidad a la variación de voltaje
Fenómenos meteorológicos
Susceptibilidad a la variación de
Condiciones medioambientales del Data
temperatura
Center
Almacenamiento sin protección
Hurto de medios o documentos Falla de cuidado en la disposición final
Copia no controlada
Ausencia o insuficiencia de pruebas de
software
Defectos conocidos en el software
Ausencia de política de cierre de sesión

cuando se abandona la estación de trabajo
Abuso de los derechos Disposición o reutilización de los medios

de almacenamiento sin borrado adecuado
Gestión de pistas de auditoria

Vulnerabilidades asociadas a software
tercero
Asignación errada de los derechos de
acceso
Software ampliamente distribuido
Corrupción de datos En términos de tiempos utilización de

datos errados en los programas de
aplicación
Interfaz de usuario compleja
SOFTWARE Ausencia de documentación
Error en el uso
Configuración incorrecta de parámetros
Fechas incorrectas
Ausencia de mecanismos de identificación
y autenticación
Falsificación de derechos
Tablas de contraseñas sin protección
Gestión deficiente de las contraseñas
Procesamiento ilegal de datos Habilitación de servicios innecesarios
Software nuevo
Especificaciones incompletas o no claras
Mal funcionamiento del software
para los desarrolladores
Ausencia de control de cambio
Manipulación con software Descarga y uso no controlado de software
Ausencia de copias de respaldo

Ausencia de protección física de la
Hurto de medios o documentos
edificación
Falla en la producción de informes de
Uso no autorizado del equipo
gestión
Ausencia de pruebas de envió o recepción
Negación de acciones
de mensajes
Líneas de comunicación sin protección
Envío de datos sin cifrado
Escucha encubierta
Ausencia de protocolos de cifrado de datos
Conexión deficiente de los cables

Falla del equipo de telecomunicaciones
Punto único de falla
RED Ausencia de identificación y autenticación
de emisor y receptor
Arquitectura insegura de red
Espionaje remoto Transferencia de contraseñas en texto
plano
Saturación del sistema de información Gestión inadecuada de la red
Ausencia de controles contra ataques DoS
Uso no autorizado del equipo Conexiones de red publica sin protección

Incumplimiento en la disponibilidad del
Ausencia de personal
personal
Procedimientos inadecuados de
Destrucción de equipos o medios
contratación
Falta de capacitación en seguridad de la
información
Error en el uso Uso incorrecto de software y hardware
PERSONAL Falta de conciencia acerca de la seguridad

de la información
Procesamiento ilegal de datos Ausencia de mecanismos de monitoreo
Trabajo no supervisado del personal

Hurto de medios o documentos
externo o terceros
Ausencia de políticas para el uso correcto
Uso no autorizado del equipo de los medios de comunicaciones y
mensajería
Uso inadecuado o descuido del control de
Destrucción del equipo
acceso físico a las edificaciones y oficinas
Ubicación en un área susceptible de

LUGAR Inundación
inundación
Perdida del suministro de energía Red energética inestable
Ausencia de protección física de la
Hurto del equipo
edificación
Ausencia de procedimiento formal para el
registro y retiro de usuarios
Ausencia de proceso formal para revisión
de los derechos de acceso
Ausencia o insuficiencia de disposiciones

en los contratos con clientes y terceros
Ausencia de procedimiento de monitoreo

Abuso de derechos
de los recursos de procesamiento de
información
Ausencia de auditorias
Ausencia de procedimientos de
identificación y valoración de riesgos
Ausencia de reportes de fallas en los

registros de administradores y operadores
Respuesta inadecuada de mantenimiento

del servicio
Incumplimiento en el mantenimiento del Ausencia de acuerdos de nivel de servicio
sistema de información o insuficiencia de los mismos
Ausencia de procedimiento de control de
cambios
Ausencia de procedimiento formal para el
control de documentación SGSI
Corrupción de datos
Ausencia de procedimiento formal para la
supervisión del registro del SGSI
Ausencia de procedimiento formal para la
Datos provenientes de fuentes no confiables autorización de la información disponible al
publico
Ausencia de asignación adecuada de
Negación de acciones responsabilidades en la seguridad de la
información
Falla del equipo Ausencia de planes de continuidad
Ausencia de políticas sobre el uso de
correo electrónico
ORGANIZACIÓN
Ausencia de procedimientos para la
introducción de software en sistemas
operativos
Ausencia de registros (logs) de
Error en el uso
administrador y usuarios
Ausencia de procedimientos para el
manejo de información clasificada
Error en el uso
Ausencia de responsabilidades en la
seguridad de la información en la
descripción de cargos
Ausencia en las disposiciones en los
Procesamiento ilegal de datos
contratos con los empelados
Ausencia de procesos disciplinarios
definidos en caso de incidentes de
seguridad de la información
Hurto de equipo Ausencia de política formal sobre la

utilización de computadores y dispositivos
portátiles
Ausencia de control de los activos que se
encuentran fuera de las instalaciones
Ausencia de política sobre limpieza de
escritorio y pantalla despejada
Ausencia de autorización de los recursos
Hurto de medios o documentos de procesamiento de información
Ausencia de mecanismos de monitoreo
establecidos para las brechas de
seguridad
Ausencia de revisiones regulares por parte
de la gerencia
Uso no autorizado del equipo Ausencia de procedimientos para la
presentación de informes sobre las
debilidades de seguridad
Ausencia de procedimientos del
Uso de software pirata cumplimiento de las disposiciones con los
derechos intelectuales
FORMATO Código:
GESTIÓN DE RIESGOS DE SEGURIDAD DIGITAL Revisión No: 0
VARIABLES Fecha:
Pagina: 3 DE 5
RIESGOS TABLA DE RIESGOS
Averías en los equipos Alteración de la información
Fuga de información Averías en los equipos
Desgaste del equipo Denegación del servicio
Fuga de información Desgaste del equipo
Averías en los equipos Desgaste de la infraestructura o red
Averías en los equipos Fuga de información
Fuga de información Perdida parcial/total de equipo

Fuga de información Perdida parcial/total de la información
Fuga de información Propagación de los impactos
Fuga de información Sanciones
Fuga de información Incumplimiento a los requisitos legales
Daños al buen nombre - afectación de la

Fuga de información
imagen de la entidad
Alteración de la
información
Alteración de la
información
Perdida parcial/total de la
información
Denegación del servicio
información
información
Incumplimientos legales

Alteración de la
información
Perdida total de equipo
Perdida parcial/total de
información
información
No disponibilidad del
servicio
Alteración de la
información
Alteración de la
información
Alteración de la
información
Alteración de la
información
No disponibilidad de la
información
información
Perdida total de equipo
Sanciones
VALOR DEL ACTIVO DE INFORMACIÓN
VALOR
IMPACTO
NIVEL VALOR
NIVEL VALOR
Insignificante 1
Menor 2
Moderado 3
Mayor 4
Catastrófico 5
NIVEL DE PROBABILIDAD DEL RIESGO
NIVEL DE PROBABILIDAD
5
NIVELES Y RESPUESTA AL RIESGO
Límite Inferior Límite Superior
3 43
44 104
105 175
176 279
280 375
FORMATO
MATRIZ GESTIÓN DE RIESGOS D

TABLAS DE REFER
NIVEL CONFIDENCIALIDAD
El acceso no autorizado al activo de

información y a la información que este
MUY BAJA gestiona no genera ningún impacto negativo
en el proceso evaluado.

BAJA gestiona impacta negativamente de manera
leve al proceso evaluado.

MEDIA gestiona impacta negativamente al proceso
evaluado.

ALTA información y a la información que este
gestiona impacta negativamente a la entidad.

MUY ALTA gestiona impacta negativamente a la entidad
y a terceros asociados.
FINANCIERO CONTINUIDAD OPERATIVA

La pérdida de ingresos directa y los costos u
Tiempo en que se ve afectada la operación de
otros gastos financieros indirectos que se
los procesos de la entidad.
generarían para la entidad.
Si el hecho llegara a presentarse, la entidad no

Si el hecho llegara a presentarse, el proceso
tendría consecuencias económicas que
de la entidad no se vería afectado en su
impacten el funcionamiento, por tanto se
continuidad.
asumirán las perdidas.

Si el hecho llegara a presentarse, la entidad
de la entidad se vería afectado en su
tendría bajas consecuencias económicas.
continuidad de manera mínima.
tendría medianas consecuencias económicas.
continuidad de manera moderada.

continuidad de manera considerable
tendría altas consecuencias económicas.
interrumpiendo periódicamente el proceso y
otros.

Si el hecho llegara a presentarse, la entidad de la entidad se vería afectado en su
tendría nefastas consecuencias económicas.
continuidad de manera total.
NIVEL DE PROBABILIDAD DESCRIPCIÓN
La amenaza ha ocurrido más de una vez en el

Raro último año.
La amenaza ha ocurrido una sola vez en el último

Improbable año.
Posible La amenaza no ha ocurrido en el último año.
La amenaza no ha ocurrido en los últimos dos (2)

Probable años
La amenaza no ha ocurrido en los últimos tres (3)

Casi Seguro años.
NIVELES DE RIESGO RESPUESTA A LOS RIESGOS
BAJO Asumir el riesgo
BAJO Asumir el riesgo
MODERADO Asumir el riesgo
ALTO Mitigar el riesgo, Evitar, Compartir
EXTREMO Mitigar el riesgo, Evitar, Compartir

FORMATO
MATRIZ GESTIÓN DE RIESGOS DE SEGURIDAD DIGITAL

TABLAS DE REFERENCIA
INTEGRIDAD DISPONIBILIDAD
La pérdida de la exactitud y el estado La ausencia del activo de información y la

completo del activo de información y la información que este gestiona no genera
información que este gestiona no genera ningún impacto negativo en el proceso
impacto negativo en el proceso evaluado. evaluado.
La pérdida de la exactitud y el estado

completo del activo de información y la La ausencia del activo de información y la
información que este gestiona impacta información que este gestiona impacta
negativamente de manera leve al proceso
negativamente de manera leve al proceso
evaluado.
evaluado.

completo del activo de información y la La ausencia del activo de información y la
información que este gestiona impacta información que este gestiona impacta
negativamente al proceso evaluado.
negativamente al proceso evaluado.

La ausencia del activo de información y la
completo del activo de información y la
información que este gestiona impacta
negativamente a la entidad.
negativamente a la entidad.

La ausencia del activo de información y la
completo del activo de información y la
negativamente a la entidad y a terceros
negativamente a la entidad y a terceros
asociados.
asociados.
IMAGEN LEGAL
Emisión de resoluciones administrativas
Afectación sobre la imagen y reputación
y/o judiciales por el incumplimiento de
de la entidad.
normas, regulaciones u obligaciones.
Si el hecho llegara a presentarse, tendría

Si el hecho llegara a presentarse, la
consecuencias o efectos sobre un grupo
entidad tendría multas.
de funcionarios de manera interna.

un impacto leve en la entidad que seria
entidad tendría demandas.
reparable a corto plazo
Si el hecho llegara a presentarse, tendría Si el hecho llegara a presentarse, la
un impacto medio en la entidad de entidad tendría una investigación
manera local. disciplinaria.

un impacto alto en la entidad a nivel
entidad tendría una investigación fiscal.
gremial.
Si el hecho llegara a presentarse, tendría Si el hecho llegara a presentarse, la

un impacto catastrófico en la entidad a entidad tendría sanciones legales. Podría
nivel nacional/ internacional. generar el cierre definitivo de la entidad.
TIPO DE RIESGO
Lógico
FRECUENCIA Físico
Amenaza > 1 al año Locativo
Amenaza = 1 al año Legal
Amenaza = 0 al año Reputacional
Amenaza = 0 en 2 años Financiero
Amenaza = 0 en 3 años
TRATAMIENTO DE
RIESGOS
DESCRIPCIÓN Asumir el riesgo
El nivel de riesgo es Admisible y se

encuentra controlado en la entidad. Los
Mitigar el riesgo
riesgos en este nivel se deben revisar
periódicamente.
El nivel de riesgo es Aceptable y se

encuentra controlado en la entidad. Los
Evitar el riesgo
riesgos en este nivel se deben revisar
periódicamente.
El nivel de riesgo es Tolerable de acuerdo

a los criterios de aceptación de la entidad.
Los riesgos en este nivel deben ser
Compartir el riesgo
monitoreados para identificar
oportunamente los cambios en su
valoración.
El nivel del riesgo es Inaceptable, por lo

que es necesario implementar controles
en la entidad para mitigar, evitar o
compartir el riesgo y llevar a niveles
aceptables.
El nivel del riesgo es Inadmisible, por lo

que es necesario implementar controles
en la entidad para mitigar, evitar o
compartir el riesgo y llevar a niveles
aceptables.
Código:
Revisión No: 0
Fecha:
Pagina: 4 DE 5
MEDIO DE
ALACENAMIENTO
Físico
Digital
Combinado
TIPO DE IMPACTO TIPO DE IMPACTO
Financiero PROCESO 1
Continuidad Operativa PROCESO 2
Imagen PROCESO 3
Legal PROCESO 4
PROCESO 5
PROCESO 6
PROCESO 7
PROCESO 8
PROCESO 9
PROCESO 10
RIESGO ASOCIADO A
CID
NA
ROL DE DUEÑO DE
Tiempo estimado
RIESGO
Rol 1 Máximo 1 mes
Rol 2 3 meses
Rol 3 6 meses
Rol 4 1 año o más

Fecha de
Causas (un riesgo puede tener mas de una Definición de los efectos de materialización Riesgo afecta
No. identificación Código del riesgo Riesgo Definición y Descripción del riesgo
causa) Vulnerabilidad - Amenazas del riesgo identificado infraestructua crítica
riesgo
2
Riesgo asociado
Rol del dueño o
Tipo de activo Dueño o propietario del Tipo de
Activos de Información Asociados Criticidad del activo Proceso propietario del Tipo de Riesgo
vinculado riesgo Impacto
riesgo Confidencialidad Integridad Disponibilidad
0
Medición: Septiembre 2018
Tratamiento Opción de tratamiento
Controles existentes ¿SE ACEPTA? Tipo de control
Controles a implementar del riesgo
Posibilidad de Ocurrencia Impacto Zona de riesgo
1 RARO 1 INSIGNIFICANTE 1 BAJA SI Preventivo
2 IMPROBABLE 2 MENOR 4 MODERADA SI Preventivo

Seguimiento a los controles implementados Existen manuales, Están definidos los
Posee una herramienta o En el tiempo que lleva el La frecuencia de la ejecución
Tiempo estimado de instructivos o responsables para la
mecanismo para ejercer el control del control y seguimiento es
implementación procedimientos para el ejecución del control y del
Mensual Semestral Anual control. ha demostrado ser efectivo adecuada
manejo del control seguimiento.
Si 15 Si 15 Si 30 Si 15 Si 25
No 0 No 0 No 0 No 0 No 0
Medición:Diciembre 2018
Promedio Cuadrantes a Promedio Evaluación del riesgo Residual
Calificación del Cuadrantes a Responsable de
controles disminuir controles
control disminuir impacto control Posibilidad de
preventivos probabilidad correctivos Impacto Zona de riesgo
Ocurrencia
100 100.00 2 0 0 1 RARO 1 INSIGNIFICANTE 1 BAJA
0 0.00 0 0 0 2 IMPROBABLE 2 MENOR 4 MODERADA

C4 A HS Gestion Riesgos

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

C4 A HS Gestion Riesgos

Cargado por

Copyright:

Formatos disponibles

FORMATO

MATRIZ GESTIÓN DE RIESGOS D

TIPO AMENAZA VULNERABILIDAD

Ausencia de política de cierre de sesión

Abuso de los derechos Disposición o reutilización de los medios

Gestión de pistas de auditoria

Software ampliamente distribuido

Corrupción de datos En términos de tiempos utilización de

Gestión deficiente de las contraseñas

Procesamiento ilegal de datos Habilitación de servicios innecesarios

Manipulación con software Descarga y uso no controlado de software

Ausencia de copias de respaldo

Conexión deficiente de los cables

Ausencia de controles contra ataques DoS

Uso no autorizado del equipo Conexiones de red publica sin protección

PERSONAL Falta de conciencia acerca de la seguridad

Procesamiento ilegal de datos Ausencia de mecanismos de monitoreo

Trabajo no supervisado del personal

Ubicación en un área susceptible de

Ausencia o insuficiencia de disposiciones

Ausencia de procedimiento de monitoreo

Ausencia de reportes de fallas en los

Respuesta inadecuada de mantenimiento

Hurto de equipo Ausencia de política formal sobre la

GESTIÓN DE RIESGOS DE SEGURIDAD DIGITAL Revisión No: 0

Fuga de información Averías en los equipos

Desgaste del equipo Denegación del servicio

Fuga de información Desgaste del equipo

Averías en los equipos Desgaste de la infraestructura o red

Averías en los equipos Fuga de información

Fuga de información Perdida parcial/total de equipo

Fuga de información Sanciones

Fuga de información Incumplimiento a los requisitos legales

Daños al buen nombre - afectación de la

Denegación del servicio

Denegación del servicio

Denegación del servicio

Denegación del servicio

Denegación del servicio

Denegación del servicio

Perdida total de equipo

NIVEL DE PROBABILIDAD DEL RIESGO

Límite Inferior Límite Superior

MATRIZ GESTIÓN DE RIESGOS D

El acceso no autorizado al activo de

El acceso no autorizado al activo de

El acceso no autorizado al activo de

El acceso no autorizado al activo de

El acceso no autorizado al activo de

FINANCIERO CONTINUIDAD OPERATIVA

Si el hecho llegara a presentarse, la entidad no

Si el hecho llegara a presentarse, el proceso

Si el hecho llegara a presentarse, el proceso

Si el hecho llegara a presentarse, el proceso

NIVEL DE PROBABILIDAD DESCRIPCIÓN

La amenaza ha ocurrido más de una vez en el

La amenaza ha ocurrido una sola vez en el último

Posible La amenaza no ha ocurrido en el último año.

La amenaza no ha ocurrido en los últimos dos (2)

La amenaza no ha ocurrido en los últimos tres (3)

BAJO Asumir el riesgo

BAJO Asumir el riesgo