VALORACIÓN DE LA PROBABILIDAD SEGÚN LA OCURRENCIA

PROBABILIDAD FRECUENCIA DE OCURRENCIA VALOR

MUY ALTA (MA) POR LO MENOS UNA VEZ CADA 15 DÍAS 5
ALTA (A) POR LO MENOS UNA VEZ CADA MES 4
MEDIA (M) POR LO MENOS UNA VEZ CADA TRIMESTRE 3
BAJA (B) POR LO MENOS UNA VEZ CADA SEMESTRE 2
MUY BAJA (MB) POR LO MENOS UNA VEZ CADA AÑO 1

VALORACIÓN DEL IMPACTO EN TERMINOS DE OPERATIVIDAD

IMPACTO VALOR CUALITATIVO VALOR
CUANTITATIVO

* Se presenta una afectación crítica a

la seguridad de la información.
* Se afecta negativamente y en gran
MUY ALTO (MA) proporción la imagen corporativa de 5
la entidad ante terceros.
* Es difícil realizar la recuperación de
la información.
* Puede afectar las decisiones
estratégicas de la organización y la continuidad
del negocio.

* Se genera una afectación importante

en la seguridad de la información de
ALTO (A) la entidad. 4
* Afecta altamente la imagen
corporativa de la entidad.
* Se generan mayores retrocesos en
las actividades.
* Es difícil de recuperar la información.

* Hay una afectación en menor grado

de la seguridad de la información de
la entidad.
MEDIO (M) * Afecta medianamente la imagen 3
corporativa de la entidad ante sus
clientes y terceros.
* Se presentan retrocesos moderados
en las actividades.
* La información se puede recuperar
pero no con la misma calidad.
 * No afecta la seguridad de la
información de la entidad. *
Se presenta una leve afectación a la
BAJO (B) imagen de la entidad ante los 2
clientes y terceros.
* Se puede recuperar la información
con la misma calidad en un tiempo
moderado.
* Se presentan reprocesos menores
en las actividades de la entidad.

* No afecta la seguridad de la
información de la entidad.
MUY BAJO (MB) * No hay afectación de la imagen de la 1
entidad ante los clientes y terceros.
* Se puede recuperar la información
con la misma calidad.
* Se presentan reprocesos que no
tienen mayor importancia.
 IMPACTO
PROBABILIDAD MUY BAJA BAJA MEDIA
1 2 3
MUY BAJA 1 MUY BAJO MUY BAJO MUY BAJO
BAJA 2 MUY BAJO MUY BAJO BAJO
MEDIA 3 MUY BAJO BAJO BAJO
ALTA 4 MUY BAJO BAJO MEDIO
MUY ALTA 5 MUY BAJO BAJO MEDIO

RIESGO INHERENTE = PROBABILIDAD * IMPACTO

PACTO PONDERACIÓN DE LA VALORACIÓN DEL RIESGO
ALTA MUY ALTA VALORACIÓN CALIFICACIÓN
4 5 MUY BAJO DE 1 A 5
MUY BAJO MUY BAJO BAJO DE 6 A 10
BAJO BAJO MEDIO DE 11 A 15
MEDIO MEDIO ALTO DE 16 A 20
ALTO ALTO MUY ALTO DE 21 A 25
ALTO MUY ALTO

ABILIDAD * IMPACTO
 MATRIZ DE HALLA
AMENAZAS
CLASIFICACIÓN
ACTIVO
DE ACTIVO DESCRIPCIÓN

ware
Soft
Software Actualización del software

Cortafuegos
Servidores

Ciberseguridad

Ataques ciberneticos

Banda ancha insuficiente

Lactencia de correos
Red telefonica

Redes de
comunicaciones Envio de informacion a terceras
personas, por mala digitacion
del correo electronico.

Posibilidad de que el fuego

acabe con recursos del sistema
y organizaciòn.

Escapes, fugas, inundaciones:

posibilidad de que el agua
acabe con los recursos del
sistema.
uarto de atención

Robos forzados

Instalaciones
Cuarto de atención
Instalaciones
Estado fisico de cableado de
redes

Organización del cableado de

red

Afectación temporal de la
disponibilidad de la información
y/o aplicativos alojados en los
servidores causados por una
falla no intencionada de un
empleado de la organización.
 MATRIZ DE HALLAZGOS, RIESGOS Y CONTROLES SEGÚN METODOLOGÍA MAGERIT A MI
AMENAZAS IMPACTO VALORACI

CLASIFICACIÓN DESCRIPCIÓN PROBABILIDAD

(E) Errores y fallos no

Posible desactualización de software. 1
intencionales

Eliminación de información clave para el

(A) Ataques
negocio afectando la disponibilidad de la 2
intencionales
misma para el desarrollo de las actividades

Posible ataque cibeneticos informaticos que

(A) Ataques pueden conllevar a la perdida de la información
1
intencionales por medio de Pishing (Correo electronicos que
no parecen maliciosos).

(A) Ataques perdida de tiempo y dinero por el fallo del

5
intencionales servicio del internet.

perdida de información importante, demora en

(E) Errores y fallos no
las respuestas. sobrecarga de correos o 4
intencionales
problema de conectividad.

Perdida de disponibilidad, integridad y

(E) Errores y fallos no confidencialidad de la información de la
5
intencionales entidad, generando un impacto negativo en la
continuidad del negocio.

Perdida de información que puede conllevar a

(N) Desastres la afectación del negocio de manera directa;
2
naturales pérdida de clientes y negocios importantes
para la entidad.
Afectación de la operación de la
(I) Desastres organización debido a la indisponibilidad de la
1
industriales información por deterioro de los
contenedores de información (Servidores).

Perdida economica o material de las

(A) Ataques
instalaciones de redes y telecomunicaciones 5
intencionales
(cableado de red y cableado electrico.
 Afectacion del estado fisico de redes que
(E) Errores y fallos no genere malestar en el proceso diario que se
5
intencionales lleva a cabo para el desarrollo normal de la
empresa

(E) Errores y fallos no Afectación del orden del cableado, posible

3
intencionales caida de personal, posible daños del cableado

Hurto y/o daño de la infraestructura

tecnológica (Servidores, Dispositivos de red,
(E) Errores y fallos no
etc.) que se encuentra alojada en el cuarto de 1
intencionales
equipos debido a la ausencia de controles de
manejo.
OLOGÍA MAGERIT A MICRO-EMPRESA FERRETRIANA S.A.S.
VALORACIÓN DEL RIESGO MEDIDAS DE INTERVENCIÓ
ESTRATEGIA DE
IMPACTO CALIFICACIÓN NIVEL TRATAMIENTO DEL
RIESGO

2 2 MUY BAJO REDUCIR RIESGO

5 10 BAJO REDUCIR RIESGO

5 5 MUY BAJO REDUCIR RIESGO

5 25 MUY ALTO REDUCIR RIESGO

4 16 ALTO REDUCIR RIESGO

5 25 MUY ALTO REDUCIR RIESGO

5 10 BAJO REDUCIR RIESGO

4 4 MUY BAJO REDUCIR RIESGO

5 25 MUY ALTO REDUCIR RIESGO

5 25 MUY ALTO REDUCIR RIESGO

5 15 MEDIO REDUCIR RIESGO

5 5 MUY BAJO REDUCIR RIESGO

MEDIDAS DE INTERVENCIÓN

DESCRIPCIÓN PLAN DE ACCIÓN

*Mantenimiento constante o verificación de

sistema operativo.

*Mantenimiento constante o verificación de

sistema operativo.

*Instalar antivirus, firewall y otras herramientas

de protección de informatica en los equipos y
redes. *Actualización y licencia de los
programas que dan proteccion y seguridad de
la información.
*Mantenimiento de la red, Cambio de
proveedrores, aumento de banda ancha por
trafico de red.

*Cambio de proveedor de redes y

telecomunicaciones.

* Implementar controles de acceso físico y

lógico que restrinjan los accesos no autorizados
a los repositorios de información.
* Implementar
configuraciones de seguridad orientadas a
salvaguardar la información e infraestructura de
red de la organización (Router, Switch,
Servidores, redes inalámbricas).

* Instalar sistemas de detección y

extinción de incendios en las instalaciones.

* Implementar controles de acceso físico y

lógico que restrinjan los accesos no
autorizados a los repositorios de información.

*Dar conocimiento a la empresa proovedora

para elevar mas el cable del srevicio de red.
*Mantenimiento constante de del cableado de
redes.

*Comunicar con las empresas proovedoras del

servicio y solicitar la organización del cableado
de red.

* Realizar monitoreo periódico que permita

corroborar la efectividad de los controles lógicos
implementados, aplicando las acciones
correctivas necesarias para salvaguardar la
información de la organización.