Vulnerabilidades →

Riesgos iniciales →

Riesgo residual →
Sensibilidad →

Tratamiento →
Amenazas →

Controles →

Umbrales →
Impacto →
Controles Recomendados (Ejemplo UMBRALES DE LÍMITE
No. Proceso Valor Daño Impacto Valor Valor Descripción Valor Descripción Descripción Valor Descripción LIMITE INFERIOR %umbral
con ISO/IEC 27001:2005) RIESGO SUPERIOR
Gestión de la Las claves del portal de documentos son un activo de información de alto impacto puesto que el que tenga acceso a ellas puede modificar, suplantar y Severidad Menor : Se requiere una cantidad significativ a de recursos para ex plotar 1. Severidad Menor: Se requiere una cantidad significativa de recursos para explotar la

Probabilidad de
1 1 La brecha puede resultar en poca o nula pérdida o daño. 1 la vulnerabilidad y tiene poc o potencial de pérdida o daño en el activo. 1 Poca o nula capacidad de realizar el ataque. 1 Baja, no hay historial y es raro que la amenazas ocurra. 1 Baja, no hay historial y es raro que la amenazas ocurra. ALTO #DIV/0!
documentación sustraer información vital de gas natural vulnerabilidad y tiene poco potencial de pérdida o daño en el activo.
ISO/IEC

Capacidad

ocurrencia
Severidad
Administración. Portal de Los equipos de computo tiene un alto impacto puesto que en ellos se almacén una gran cantidad de información como por ejemplo los documentos Seve ridad Modera da: Se requ iere u na ca ntida d sign ificativa d e recu rsos para e xpl otar la vul nera bil id ad y ti ene u n
Capacidad moderada. Se tiene el conocimiento y habilidades para realizar el ataque, pero pocos 2. Severidad Mo der ad a: Se requiere una cantidad s ignificativa de recursos para explotar la v ulnerabilidad y 27005:2008:
2 2 La brecha puede resultar en una pérdida o daño menor. 2 po te ncia l sign ificativo d e pér did a o dañ o en e l activo; o se requ ier en po cos recurso s para e xplo ta r l a vul nera bil ida d y 2 recursos. O, tiene suficientes recursos, pero conocimiento y habilidades limitadas. 2 Media, se han presentado casos y puede ocurrir la amenaza. tiene un potencial significativo de pérdida o daño en el activ o; o se requieren pocos recursos para explotar la 2 Media, se han presentado casos y puede ocurrir la amenaza. REDUCIR MEDIO #DIV/0!
terceros normativos, los aplicativos que soportan los procesos de negocio el que logre evadir los permisos de los equipos tiene acceso a toda esta información ti en e un po te ncia l mod erad o de pé rdi da o da ño en e l activo . vulnerabilidad y tiene un potencial moderado de pérdida o daño en el activ o.
(REDUCTION)
Identificación y cargo de documentos La brecha puede resultar en una pérdida o daño serio, y los procesos del negocio pueden verse Los usuarios almacenados en Signatura también tienen un alto impacto puesto que si alguien tiene acceso a ellos puede modificar las claves de acceso al Severidad Alta: Se requieren pocos recurs os para ex plotar la vulnerabilidad y Altamente capaz. Se tienen los conocimientos, habilidades y recursos Alta, se han presentado suficientes casos y la amenaza seguramente 3. Severidad Alta: Se requieren pocos recursos para explotar la vulnerabilidad y tiene un Alta, se han presentado suficientes casos y la amenaza seguramente RETENER
3 3 3 tiene un potencial significativo de pérdida o daño en el activ o. 3 3 3 BAJO #DIV/0!
en Sistema interno afectados negativamente. portal de documentos y a su vez puede modificar, suplantar y sustraer información vital de gas natural necesarios para realizar un ataque. ocurrirá. potencial significativo de pérdida o daño en el activo. ocurrirá. (RETENTION)
EVITAR
La brecha puede resultar en una pérdida o daño serio, y los procesos del negocio pueden fallar o El correo electrónico de la empresa almacena información confidencial de la misma, por ejemplo reuniones, modificaciones de los procesos de negocio, Exposició n Menor: Los efectos de la vulnerabilidad son mínimos. No incrementa
(AVOIDANCE)
4 1 la probabilidad de que vulnerabilidades adic ionales sean explotadas. 1 Poca o nula motivación. No se está inclinado a actuar.
interrumpirse. información de pagos, el acceso sin autorización de cataloga como delito informático

Exposición
TRANSFERIR

Motivación
Exposició n Moderada: La v ulnerabilidad puede afectar a más de un elemento o
1. Exposición Menor: Los efectos de la vulnerabilidad son mínimos. No incrementa la (TRANSFER)
5 La brecha puede resultar en altas pérdidas. Los procesos del negocio fallarán. 2 componente del sistema. La explotación de la v ulnerabilidad aumenta la 2 Nivel moderado de motivación. Se actuará si se le pide o provoca. probabilidad de que vulnerabilidades adicionales sean explotadas.
probabilidad de ex plotar vulnerabilidades adic ionales.

Exposició n Alta: La v ulnerabilidad afec ta a la may oría de los componentes del 2. Exposición Moderada: La vulnerabilidad puede afectar a más de un elemento o componente
3 sistema. La explotación de la v ulnerabilidad aumenta significativ amente la 3 Altamente motivado. Casi seguro que intentará el ataque. Riesgo Total = Amenaza x Vulnerabilidad x Probabilidad x Impacto del sistema. La explotación de la vulnerabilidad aumenta la probabilidad de explotar Riesgo Total = Amenaza x Vulnerabilidad x Probabilidad x Impacto
probabilidad de ex plotar vulnerabilidades adic ionales. vulnerabilidades adicionales.
3. Exposición Alta: La vulnerabilidad afecta a la mayoría de los componentes del sistema. La
explotación de la vulnerabilidad aumenta significativamente la probabilidad de explotar
vulnerabilidades adicionales.

Sensibilidad de los activos Análisis de vulnerabilidades Análisis de amenazas Riesgo = Amenaza x Vulnerabilidad x Probabilidad x Impacto Riesgo con control = Amenaza x Vulnerabilidad x Probabilidad x Impacto

Evento de Descripción del Administración

Área Proceso Propietario Ubicación Clasificación Proceso Daño Impacto Total 1 Valor 1 Valor 2 Vulnerabilidad Severidad Exposición Valor 3 Agente Capacidad Motivación Valor 4 Amenaza Vulnerabilidad Probabilidad Impacto Riesgo Total Nivel Severidad Exposición Valor Amenaza Vulnerabilidad Probabilidad Impacto Riesgo Residual
amenaza control de riesgos

0 Bajo 1 -1 -1 -1 -1 0 0 BAJO -1 -1 -1 0 0 RETENER

0 Bajo 1 -1 -1 -1 -1 0 0 BAJO -1 -1 -1 0 0 RETENER

0 Bajo 1 -1 -1 -1 -1 0 0 BAJO -1 -1 -1 0 0 RETENER

0 Bajo 1 -1 -1 -1 -1 0 0 BAJO -1 -1 -1 0 0 RETENER

0 Bajo 1 -1 -1 -1 -1 0 0 BAJO -1 -1 -1 0 0 RETENER

 MAPA DE RIESGOS
Identificación del riesgo Calificación del riesgo Valoración del riesgo
NIVEL DE GRADO DE NIVEL DE
EVALUACIÓN CONTROLES EFICACIA VALORACIÓN
Nº DE RIESGO RIESGO CAUSAS CONSECUENCIAS PROBABILIDAD IMPACTO RIESGO EXPOSICIÓN RIESGO
DEL RIESGO EXISTENTES CONTROL DEL CONTROL
INHERENTE (RESIDUAL) RESIDUAL

EFICACIA DEL CONTROL VALORACIÓN DEL RIESGO VALORACIÓN CONTROL

ALTO 4 NIVEL DE RIESGO INHERENTE CALIFICACIÓN EXCELENTE 5

MEDIO 3 EXTREMO 41 A 75 MEDIO 4

BAJO 2 ALTO 21 A 40 REGULAR 3

INEXISTENTE 1 MODERADO 11 A 20 BAJO 2

BAJO 1 A 10 NULO 1

VALORACIÓN DEL RIESGO

NIVEL DE RIESGO RESIDUAL CALIFICACIÓN

EXTREMO 41 A 75

ALTO 21 A 40

MODERADO 11 A 20

BAJO 1 A 10
Riesgo Inherente Total Riesgo residual Riesgo inherente
EXTREMO
ALTO
MODERADO
BAJO
TOTALES 0

EXTREMO EXTREMO
ALTO ALTO
Riesgo Residual Total MODERADO MODERADO
BAJO BAJO
EXTREMO
ALTO
MODERADO
BAJO
TOTALES 0

Vulnerabilidad Severidad Exposición Valor 3

-1 Vulnerabilidades
-1 0
-1 -0.2
-0.4
-1
-0.6
-1 -0.8
-1 -1
-1.2
-1
-1 Severidad Exposición Valor 3

Evento de amenaza Capacidad Motivación Valor 4

-1 Eventos de amenazas
-1
0
-1
-1
-1 -0.2

-1
-1 -0.4

-1
-1 -0.6
-1
-1 -0.8
-1
-1 -1
-1
-1
-1.2
-1
-1 Capacidad Motivación Valor 4
 Riesgo inherente

EXTREMO
ALTO
MODERADO
BAJO

Vulnerabilidades
0
-0.2
-0.4
-0.6
-0.8
-1
-1.2

Severidad Exposición Valor 3

Eventos de amenazas
0

-0.2

-0.4

-0.6

-0.8

-1

-1.2

Capacidad Motivación Valor 4