MAPA DE RIESGOS POR PROCESOS PARA SECUREG

FECHA DE LEVANTAMIENTO: 17/04/2023

CONTEXTO ESTRATÉGICO
CAUSA EVENTO (RIESGO) CONSECUENCIA
PROCESO
INTERNO EXTERNO
Puede suceder … Lo que podría ocasionar…
Tipo Debido a… Tipo Debido a…
Nombre del proceso:
Insuficiente registro y monitorización (Insufficient Falta de implementación de registros y monitoreo
INFRAESTRUCTURA POLITICOS Ataque de denegación de servicio distribuido (DDoS) Pérdida de servicio y/o información
Logging and Monitoring) adecuados
Falta de protección adecuada en la red, incluyendo
Autenticación y gestión de sesiones defectuosas la falta de cifrado de las comunicaciones y la falta
PERSONAL TECNOLOGICOS Ataque de fuerza bruta Acceso no autorizado a cuentas de usuario
(Broken Authentication and Session Management) de protección de las contraseñas en la base de
datos
Falta de protección adecuada en la aplicación,
Exposición de datos sensibles (Sensitive Data incluyendo la falta de cifrado de las
PROCESOS TECNOLOGICOS Copia de seguridad insuficiente Pérdida permanente de datos importantes
Exposure) comunicaciones y la falta de protección de las
contraseñas en la base de datos
Errores de programación que permiten que los
TECNOLOGIA Inyección SQL (SQL Injection) TECNOLOGICOS Ataque de inyección SQL Divulgación no autorizada de información confidencial
datos de entrada no se validen correctamente
Errores en la validación y sanitización de datos de
TECNOLOGIA Cross-Site Scripting (XSS) TECNOLOGICOS entrada, que permiten que el código malicioso se Ataque de phishing Robo de credenciales de usuario
GESTION DE LA SEGURIDAD INFORMATICA
ejecute en el navegador del usuario
SEGÚN LAS CONDICIONES DE OWASP Y LA
NORMATIVIDAD ISO 27001 Configuraciones predeterminadas inseguras y falta
TECNOLOGIA Security Misconfiguration TECNOLOGICOS de actualización de los sistemas y software Ataque de descifrado de fuerza bruta Acceso no autorizado a información confidencial
utilizados
Un atacante puede explotar la vulnerabilidad del componente
Vulnerabilidades en componentes externos Uso de componentes externos no confiables o no Un componente externo obsoleto o no parcheado es utilizado en
TECNOLOGIA TECNOLOGICOS y tomar el control del sistema o acceder a información
(External Components) actualizados una aplicación
confidencial
Falta de validación de tokens CSRF y el uso de Un atacante malintencionado envía un enlace a un sitio web falso El usuario hace clic en el enlace y se realiza un login no
TECNOLOGIA Cross-Site Request Forgery (CSRF) TECNOLOGICOS
métodos de solicitud HTTP inseguros que aparenta ser legítimo autorizada desde un externo
Uso de roles y permisos inadecuados, la falta de El usuario realiza cambios no autorizados en los datos
Faltas de control de acceso (Broken Access validación de solicitudes de acceso y la falta de Un usuario con permisos limitados logra acceder a información confidenciales o comparte información confidencial con
TECNOLOGIA TECNOLOGICOS
Controls) limitación de acceso a información y confidencial terceros no autorizados (notas de un alumno u horarios de
funcionalidades clases)
El atacante puede tomar el control del sistema y acceder a
Uso de deserialización insegura que permite la Un atacante envía datos maliciosos a una aplicación web
TECNOLOGIA Deserialización insegura (Insecure Deserialization) TECNOLOGICOS información confidencial o realizar acciones maliciosas en el
ejecución de código malicioso vulnerable a deserialización insegura
sistema, como la ejecución remota de código

Definir, adquirir, implementar las Tecnologías de la información y las comunicaciones (Tics) de acuerdo con los planes, programas, presupuesto y recursos disponibles para SECUREREG de modo que estas se conviertan en herramientas de apoyo a la gestión administrativa y misional, en
Objetivo del Proceso:
términos de calidad, efectividad, adición de valor y competitividad.

Matriz de propiedad y autoría de: Olga Yaneth Aragón Sánchez

 MAPA DE RIESGOS POR PROCESOS

CODIGO: S-MR-01
VERSIÓN: 00
FASE: IDENTIFICACIÓN DE RIESGOS
FECHA:
NOMBRE DEL PROCESO OBJETIVO DEL PROCESO
Definir, adquirir, implementar las Tecnologías de la información y las comunicaciones (Tics) de acuerdo con los planes, programas, presupuesto y recursos
GESTION DE LA SEGURIDAD INFORMATICA SEGÚN LAS
disponibles para SECUREREG de modo que estas se conviertan en herramientas de apoyo a la gestión administrativa y misional, en términos de calidad,
CONDICIONES DE OWASP Y LA NORMATIVIDAD ISO 27001
efectividad, adición de valor y competitividad.

IDENTIFICACION DEL RIESGO

Seleciona una clasificación y ubica tu riesgo dentro de una

categoría
No. DEL
RIESG RIESGO CLASIFICACIÓN CAUSAS DESCRIPCION CONSECUENCIAS POTENCIALES
O
La falta de registros y monitoreo adecuados hace
Insuficiente registro y monitorización que sea difícil detectar y responder a los ataques
(Insufficient Logging and Monitoring). Falta de DDoS a tiempo. Los registros inadecuados
R1 Ataque de denegación de servicio distribuido (DDoS) TECNOLOGICO Pérdida de servicio y/o información
de implementación de registros y monitoreo también dificultan la identificación de la fuente del
adecuados ataque y la adopción de medidas preventivas para
evitar futuros ataques.

Autenticación y gestión de sesiones

La falta de autenticación y gestión de sesiones
defectuosas (Broken Authentication and
adecuadas, junto con la falta de protección de la
Session Management). Falta de protección
red y de las contraseñas almacenadas en la base Acceso no autorizado a cuentas de
R2 Ataque de fuerza bruta TECNOLOGICO adecuada en la red, incluyendo la falta de
de datos, facilita la realización de ataques de usuario
cifrado de las comunicaciones y la falta de
fuerza bruta para obtener acceso no autorizado a
protección de las contraseñas en la base de
cuentas de usuario.
datos

La falta de protección adecuada en la aplicación,

Exposición de datos sensibles (Sensitive
Data Exposure). Falta de protección
adecuada en la aplicación, incluyendo la
R3 Copia de seguridad insuficiente TECNOLOGICO
falta de cifrado de las comunicaciones y la
falta de protección de las contraseñas en la
base de datos
incluyendo el cifrado de las comunicaciones y la
protección de las contraseñas en la base de datos,
facilita la exposición de datos sensibles en caso de
Pérdida permanente de datos
que los datos sean robados o la aplicación sea
importantes
pirateada. La falta de copias de seguridad
adecuadas puede llevar a la pérdida permanente
de datos importantes en caso de fallos del sistema
o ataques malintencionados.

La inyección SQL es una técnica de ataque en la

que un atacante inserta código malicioso en una
consulta SQL que se ejecuta en la base de datos.
Esto es posible debido a errores de programación
Inyección SQL (SQL Injection). Errores de
que permiten que los datos de entrada no se Divulgación no autorizada de
R4 Ataque de inyección SQL TECNOLOGICO programación que permiten que los datos
validen correctamente. Como resultado, se puede información confidencial
de entrada no se validen correctamente
divulgar información confidencial al atacante, como
nombres de usuario, contraseñas y otra
información confidencial almacenada en la base
de datos.

El phishing es un tipo de ataque en el que un

atacante intenta engañar a un usuario para que
revele información confidencial, como contraseñas
Cross-Site Scripting (XSS). Errores en la
o información de tarjetas de crédito. El ataque se
validación y sanitización de datos de
basa en el uso de sitios web o correos electrónicos
R5 Ataque de phishing TECNOLOGICO entrada, que permiten que el código Robo de credenciales de usuario
falsificados que parecen legítimos. El XSS es una
malicioso se ejecute en el navegador del
técnica que se utiliza a menudo en el phishing para
usuario
insertar código malicioso en las páginas web que
visita el usuario. Esto es posible debido a errores
en la validación y sanitización de datos de entrada.

El software de Registro y Control Seguro para

R6 Ataque de descifrado de fuerza bruta
Un atacante envía datos maliciosos a una aplicación web
R7
vulnerable a deserialización insegura
Alumnos y Docentes debe tener en cuenta dos
tipos de vulnerabilidades comunes en línea:
phishing y XSS. El phishing es un ataque en el que
un atacante utiliza sitios web o correos electrónicos
falsificados para engañar al usuario y robar
Security Misconfiguration. Configuraciones información confidencial, como contraseñas. El
predeterminadas inseguras y falta de XSS es una técnica utilizada en el phishing que Acceso no autorizado a información
TECNOLOGICO
actualización de los sistemas y software permite a un atacante insertar código malicioso en confidencial
utilizados páginas web visitadas por el usuario, explotando
errores en la validación y sanitización de datos de
entrada. Por lo tanto, es crucial que el software de
Registro y Control Seguro para Alumnos y
Docentes implemente medidas de seguridad
adecuadas para prevenir y mitigar estos tipos de
ataques.
La deserialización es el proceso de convertir datos
serializados en un objeto que se puede utilizar en
El atacante puede tomar el control del
Deserialización insegura (Insecure una aplicación. Un ataque de deserialización
sistema y acceder a información
Deserialization). Uso de deserialización insegura ocurre cuando un atacante envía datos
OPERATIVO confidencial o realizar acciones
insegura que permite la ejecución de código maliciosos a una aplicación que utiliza un
maliciosas en el sistema, como la
malicioso mecanismo de deserialización inseguro. Esto
ejecución remota de código
puede permitir la ejecución remota de código
malicioso en el sistema.

Matriz de propiedad y autoría de: Olga Yaneth Aragón Sánchez

 ANALISIS MAPA DE RIESGOS POR PROCESOS

FASE: CALIFICACION Y EVALUACION

FECHA: 4/17/2023
NOMBRE DEL PROCESO OBJETIVO DEL PROCESO
GESTION DE LA SEGURIDAD INFORMATICA SEGÚN LAS CONDICIONES DE Definir, adquirir, implementar las Tecnologías de la información y las comunicaciones (Tics) de acuerdo con los planes, programas, presupuesto y recursos disponibles para SECUREREG de modo que estas se conviertan en herramientas de apoyo a la gestión administrativa y misional, en términos de
CALIFICACION TIPO IMPACTO EVALUACIÓN MEDIDAS DE RESPUESTA
No. DEL RIESGO NOMBRE DEL RIESGO PERFIL DEL RIESGO DESCRIPCIÓN DE LA MEDIDA ANTES DE VALORACION DEL
PROBABILIDAD (1-5) IMPACTO (1-5) CATEGORÍA SUBCATEGORÍA ZONA RIESGO MEDIDA RELACIÓN COSTO - BENEFICIO
(1-100) CONTROL

Alta inversión inicial en la

implementación de soluciones de
protección, pero el costo a largo plazo
Implementar soluciones de protección contra DDoS, como firewalls de
puede ser menor en comparación con
PARO TOTAL DEL aplicaciones web (WAF), servicios de mitigación de DDoS o soluciones
R1 Ataque de denegación de servicio distribuido (DDoS) 3 5 OPERATIVO 60 ZONA RIESGO EXTREMA EVITAR EL RIESGO los daños potenciales causados por
PROCESO de balanceo de carga. También es recomendable tener un plan de
un ataque exitoso de DDoS. Además,
contingencia en caso de un ataque DDoS.
la protección contra DDoS puede
mejorar la disponibilidad y el
rendimiento de los servicios en línea.

La implementación de políticas de
bloqueo después de un número
determinado de intentos fallidos de
inicio de sesión es una solución costo
efectiva a corto plazo, ya que no
requiere de grandes inversiones en
tecnología o personal. Sin embargo,
CAMBIOS EN LOS es importante considerar el impacto Implementar políticas de bloqueo después de "n" intentos fallidos de
R2 Ataque de fuerza bruta 4 4 OPERATIVO 64 ZONA RIESGO EXTREMA EVITAR EL RIESGO
PROCEDIMIENTOS en la experiencia del usuario, ya que inicio de sesión.
un bloqueo excesivamente estricto
puede resultar en un aumento de
llamadas de soporte técnico. Además,
es importante monitorear
constantemente los intentos de inicio
de sesión para ajustar las políticas
según sea necesario.

Realizar copias de seguridad

regulares y almacenarlas en un lugar
seguro, fuera del sitio, es una
solución costo moderado a largo
plazo. Si bien puede requerir una
INTERMITENCIA EN EL ZONA RIESGO inversión inicial en tecnología y/o Realizar copias de seguridad regulares y almacenarlas en un lugar
R3 Copia de seguridad insuficiente 2 3 OPERATIVO 24 REDUCIR EL RIESGO
SERVICIO MODERADA personal, la implementación de un seguro, fuera del sitio.
plan de copias de seguridad sólido
puede evitar la pérdida de datos
críticos y reducir el tiempo de
inactividad en caso de una
interrupción del sistema.
La validación de todas las entradas de
usuario y el uso de parámetros de
consulta preparados es una solución
costo moderado a largo plazo. Si bien
puede requerir una inversión en Validar todas las entradas de usuario y usar parámetros de consulta
R4 Ataque de inyección SQL 3 4 CONFIDENCIALIDAD INSTITUCIONAL 48 ZONA RIESGO EXTREMA EVITAR EL RIESGO
tecnología y/o personal, esta medida preparados.
puede ayudar a prevenir el acceso no
autorizado a los datos de la aplicación
y proteger la integridad de los
mismos.

Capacitar a los usuarios en cómo

detectar y evitar correos electrónicos
y sitios web fraudulentos es una
solución costo moderado a largo
plazo. Si bien puede requerir una
Capacitar a los usuarios en cómo detectar y evitar correos
R5 Ataque de phishing 4 3 CONFIDENCIALIDAD INSTITUCIONAL 48 ZONA RIESGO ALTA EVITAR EL RIESGO inversión en capacitación y/o
electrónicos y sitios web fraudulentos.
personal, esta medida puede ayudar
a reducir la probabilidad de que los
usuarios caigan en trampas de
phishing y comprometan la seguridad
de la empresa.

Asegurarse de que se estén utilizando

algoritmos de cifrado robustos y
contraseñas seguras es una solución
costo moderado a largo plazo. Si bien
puede requerir una inversión en Asegurarse de que se estén utilizando algoritmos de cifrado robustos
R6 Ataque de descifrado de fuerza bruta 2 4 CONFIDENCIALIDAD INSTITUCIONAL 32 ZONA RIESGO ALTA REDUCIR EL RIESGO
tecnología y/o personal, esta medida y contraseñas seguras.
puede ayudar a proteger la
confidencialidad de los datos de la
empresa y reducir el riesgo de acceso
no autorizado.
Mantener las aplicaciones web
actualizadas y asegurarse de que se
estén utilizando bibliotecas de
deserialización seguras es una
solución costo moderado a largo
CAMBIOS EN LA
Un atacante envía datos maliciosos a una aplicación web plazo. Si bien puede requerir una Mantener las aplicaciones web actualizadas y asegurarse de que se
R7 3 5 OPERATIVO INTERACCION DE LOS 60 ZONA RIESGO EXTREMA REDUCIR EL RIESGO
vulnerable a deserialización insegura inversión en tecnología y/o personal, estén utilizando bibliotecas de deserialización seguras.
PROCESOS
esta medida puede ayudar a prevenir
la explotación de vulnerabilidades
conocidas en las aplicaciones web y
reducir el riesgo de acceso no
autorizado.

ZONA RIESGO EXTREMA

ZONA RIESGO ALTA C
ZONA RIESGO MODERADA
ZONA RIESGO BAJA

Matriz de propiedad y autoría de: Olga Yaneth Aragón Sánchez

 GRAFICA MAPA DE RIESGOS POR PROCESOS

FASE: GRÁFICA
FECHA: 4/17/2023
NOMBRE DEL PROCESO OBJETIVO DEL PROCESO
GESTION DE LA
SEGURIDAD
Definir, adquirir, implementar las Tecnologías de la información y las comunicaciones (Tics) de acuerdo con los planes, programas, presupuesto y recursos disponibles para
INFORMATICA SEGÚN LAS
SECUREREG de modo que estas se conviertan en herramientas de apoyo a la gestión administrativa y misional, en términos de calidad, efectividad, adición de valor y
CONDICIONES DE OWASP
competitividad.
Y LA NORMATIVIDAD ISO
27001

GESTION DE LA SEGURIDAD INFORMATICA SEGÚN LAS CONDICIONES DE OWASP Y LA NORMATIVIDAD ISO 27001

5 Impacto
Proceso No. Riesgo Probabilidad (Y)
(X)

Casi
Seg.
GESTION DE R1 5 3
LA SEGURIDAD R2 4 4
4 R2 INFORMATICA
R3 3 2
R5 SEGÚN LAS

PosibleProba.
CONDICIONES R4 4 3
PROBABILIDAD

R4 DE OWASP Y
3 R1
R7 LA R5 3 4
NORMATIVIDAD R6 4 2
ISO 27001
R6 R7 5 3
2 R3

Imp.
1
Raro

0
ZONA RIESGO EXTREMA
0 1 2 3 4 5 ZONA RIESGO ALTA
INSIG. MENOR MOD. MAYOR CAT IMPACTO ZONA RIESGO MODERADA
ZONA RIESGO BAJA

Matriz de propiedad y autoría de: Olga Yaneth Aragón Sánchez

 MAPA DE RIESGOS POR PROCESOS

FASE: RIESGO INHERENTE

FECHA: 4/17/2023
NOMBRE DEL PROCESO OBJETIVO DEL PROCESO
GESTION DE LA SEGURIDAD INFORMATICA SEGÚN LAS Definir, adquirir, implementar
RIESGO INHERENTE
PARTICIPACIÓN DEL
PONDERACIÓN PERFIL
RIESGO EN EL
PERFIL DEL DEL RIESGO
RIESGOS PROBABILIDAD IMPACTO ZONA RIESGO PROCESO
RIESGO
ZONA RIESGO
R1 Ataque de denegación de servicio distribuido (DDoS) 3 5 60 18% 11
EXTREMA
ZONA RIESGO
R2 Ataque de fuerza bruta 4 4 64 19% 12
EXTREMA
ZONA RIESGO
R3 Copia de seguridad insuficiente 2 3 24 7% 2
MODERADA
ZONA RIESGO
R4 Ataque de inyección SQL 3 4 48 14% 7
EXTREMA

R5 Ataque de phishing 4 3 48 ZONA RIESGO ALTA 14% 7

R6 Ataque de descifrado de fuerza bruta 2 4 32 ZONA RIESGO ALTA 10% 3

Un atacante envía datos maliciosos a una aplicación web ZONA RIESGO
R7 3 5 60 18% 11
vulnerable a deserialización insegura EXTREMA
336 100% 52

RIESGO INHERENTE 52

ZONA DEL RIESGO RANGOS

Inaceptable 41-60
Importante 21-40
Moderado 11-20
Tolerable 6-10
Aceptable 0-5

Matriz de propiedad y autoría de: Olga Yaneth Aragón Sánchez

 MAPA DE RIESGOS POR PROCESOS

FASE: RIESGO RESIDUAL CONSOLIDADO

FECHA: 4/17/2023
NOMBRE DEL PROCESO OBJETIVO DEL PROCESO
Definir, adquirir, implementar las Tecnologías de la
GESTION DE LA SEGURIDAD
información y las comunicaciones (Tics) de acuerdo
INFORMATICA SEGÚN LAS
con los planes, programas, presupuesto y recursos
CONDICIONES DE OWASP Y LA
disponibles para SECUREREG de modo que estas se
NORMATIVIDAD ISO 27001
conviertan en herramientas de apoyo a la gestión

PERFIL DE RIESGO RESIDUAL CONSOLIDADO

PERFIL RIESGO CONTROL DEL RIESGO RIESGO

INHERENTE PROCESO CONTROLADO RESIDUAL
52 0 0 52

Control Interno: La disminucion de la probabilidad e impacto dependerá del cumplimiento de uno de los dos factores mencionados a
continuación
1. Cuando el riesgo residual sea =< a 25
2. Cuando de acuerdo al criterio de la coordinación de Control Interno, basados en datos históricos se determine que la ponderación inicial no
refleja la realidad del riesgo en el proceso.

Matriz de propiedad y autoría de: Olga Yaneth Aragón Sánchez

 MAPA DE RIESGOS POR PROCESOS

FASE: VALORACIÓN DEL RIESGO

FECHA: 4/17/2023

NOMBRE DEL PROCESO OBJETIVO DEL PROCESO

Definir, adquirir,ISO
SEGURIDAD INFORMATICA SEGÚN LAS CONDICIONES DE OWASP Y LA NORMATIVIDAD implementar
27001 las
CALIFICACION NUEVA CALIFICACIÓN
No. DEL ENCARGADO DE DAR
NOMBRE DEL RIESGO PROBABILIDAD EVALUACION PERFIL DEL NUEVA EVALUACIÓN OPCIONES MANEJO ACCIONES INDICADOR
RIESGO IMPACTO (1-5) CONTROLES REDUCE PROBABILIDAD IMPACTO RESPUESTA
(1-5) RIESGO RIESGO (1-100)
Implementar soluciones de
protección contra DDoS, como
firewalls de aplicaciones web (WAF),
ZONA
Ataque de denegación de servicio distribuido ZONA RIESGO servicios de mitigación de DDoS o
R1 3 5 RIESGO .. 1 3 12 EVITAR EL RIESGO
(DDoS) MODERADA soluciones de balanceo de carga.
EXTREMA También es recomendable tener un
plan de contingencia en caso de un
ataque DDoS.
ZONA Implementar políticas de bloqueo
R2 Ataque de fuerza bruta 4 4 RIESGO .. 2 2 16 ZONA RIESGO BAJA EVITAR EL RIESGO después de "n" intentos fallidos de
EXTREMA inicio de sesión.
ZONA Realizar copias de seguridad
R3 Copia de seguridad insuficiente 2 3 RIESGO .. 0 1 0 FALSE REDUCIR EL RIESGO regulares y almacenarlas en un lugar
MODERADA seguro, fuera del sitio.
ZONA Validar todas las entradas de usuario
R4 Ataque de inyección SQL 3 4 RIESGO .. 1 2 8 ZONA RIESGO BAJA EVITAR EL RIESGO y usar parámetros de consulta
EXTREMA preparados.

Capacitar a los usuarios en cómo

ZONA
R5 Ataque de phishing 4 3 .. 2 1 8 ZONA RIESGO BAJA EVITAR EL RIESGO detectar y evitar correos electrónicos
RIESGO ALTA y sitios web fraudulentos.

Asegurarse de que se estén

ZONA
R6 Ataque de descifrado de fuerza bruta 2 4 .. 0 2 0 FALSE REDUCIR EL RIESGO utilizando algoritmos de cifrado
RIESGO ALTA robustos y contraseñas seguras.

ZONA Mantener las aplicaciones web

Un atacante envía datos maliciosos a una
ZONA RIESGO actualizadas y asegurarse de que se
R7 aplicación web vulnerable a deserialización 3 5 RIESGO .. 1 3 12 REDUCIR EL RIESGO
MODERADA estén utilizando bibliotecas de
insegura EXTREMA deserialización seguras.
 MAPA DE RIESGOS POR PROCESOS

GRAFICA DESPUÉS
FASE:
DEL CONTROL

FECHA: 4/17/2023

NOMBRE DEL PROCESO OBJETIVO DEL PROCESO

Definir, adquirir, implementar

las Tecnologías de la
información y las
comunicaciones (Tics) de
GESTION DE LA acuerdo con los planes,
SEGURIDAD programas, presupuesto y
INFORMATICA SEGÚN LAS recursos disponibles para
CONDICIONES DE OWASP SECUREREG de modo que estas
Y LA NORMATIVIDAD ISO se conviertan en herramientas
27001 de apoyo a la gestión
administrativa y misional, en
términos de calidad, efectividad,
adición de valor y
competitividad.

GESTION DE LA SEGURIDAD INFORMATICA SEGÚN LAS CONDICIONES DE OWASP Y LA NORMATIVIDAD ISO 27001

5 Impacto
Proceso No. Riesgo Probabilidad (Y)
(X)

Casi
Seg.
R1 3 1
GESTION DE R2 2 2
4 LA SEGURIDAD R3 1 0

Proba.
INFORMATICA
SEGÚN LAS R4 2 1
CONDICIONES
R5 1 2
PROBABILIDAD

DE OWASP Y
3 LA R6 2 0
NORMATIVIDA

Posible
D ISO 27001
R7 3 1

2 R2

Imp.
R5
1 R4 R7
R1
Raro

R6
0 R3
0 0.5 1 1.5 2 2.5 3 3.5 4 4.5 5 ZONA RIESGO EXTREMA
ZONA RIESGO ALTA
INSIG. MENOR MOD. MAYOR CAT IMPACTO ZONA RIESGO MODERADA
ZONA RIESGO BAJA