Institución Abierta y a Distancia de México

COORDINACIÓN DE TECNOLOGÍA E INNOVACIÓN EDUCATIVA

Fecha: 01/08/2023 – 31/08/2023 Página 1 de 10

Análisis de riesgos del tratamiento de la
Nombre del entregable
información
Responsable Ivonne Valeria Muñoz Torres

Entregable:

ANÁLISIS DE RIESGOS DEL TRATAMIENTO DE LA INFORMACIÓN EN LA

INSTITUCIÓN

INTRODUCCIÓN

El tratamiento de la información en la Institución es una actividad fundamental que

implica la manipulación, procesamiento y almacenamiento de datos, incluidos los
datos personales de los estudiantes. Sin embargo, este proceso también conlleva
riesgos potenciales que pueden afectar la seguridad, privacidad y cumplimiento
normativo de los datos. Por lo tanto, es crucial realizar un análisis de riesgos
exhaustivo para identificar y mitigar adecuadamente dichos riesgos.

OBJETIVO

El objetivo principal de este análisis de riesgos es evaluar los posibles riesgos

asociados con el tratamiento de la información en la Institución, especialmente los
relacionados con los datos personales de los estudiantes. Se busca identificar las
amenazas y vulnerabilidades que podrían comprometer la confidencialidad,
integridad y disponibilidad de la información, así como desarrollar estrategias
efectivas para gestionar estos riesgos.

Av. Institución 1200, Piso 1 Cuadrante 1-21. Col. Xoco, Alcaldía Benito Juárez, CP. 03330. Ciudad de México.
Tel: (55) 36017539 www.unadmexico.mx
 Institución Abierta y a Distancia de México

ANÁLISIS DE RIESGOS POR TIPO DE INFORMACIÓN

Tipo de Información: Datos Personales de Estudiantes

• Riesgo: Acceso no autorizado a datos personales.

• Amenaza: Ataques cibernéticos, robo de dispositivos, accesos no autorizados
por parte del personal interno.
• Medida de Mitigación: Implementar controles de acceso, cifrado de datos,
políticas de contraseñas seguras, capacitación del personal en seguridad de la
información.
• Impacto: Pérdida de privacidad, robo de identidad, posibles sanciones legales.

Tipo de Información: Registros Académicos

• Riesgo: Manipulación o alteración de registros académicos.

• Amenaza: Acceso no autorizado por parte de estudiantes o personal, errores
humanos, malware.
• Medida de Mitigación: Implementar sistemas de gestión de registros seguros,
establecer controles de acceso basados en roles, realizar auditorías regulares.
• Impacto: Pérdida de integridad de los registros, desconfianza en la precisión
de la información académica.

Tipo de Información: Información Financiera

• Riesgo: Fraude financiero, robo de información financiera.

• Amenaza: Phishing, malware, accesos no autorizados a sistemas financieros.
• Medida de Mitigación: Implementar sistemas de seguridad de pagos seguros,
capacitación en seguridad financiera, monitoreo de transacciones
sospechosas.
• Impacto: Pérdida financiera, daño a la reputación de la Institución.

Tipo de Información: Información de Investigación Confidencial

• Riesgo: Divulgación no autorizada de resultados de investigación.

• Amenaza: Acceso no autorizado por parte de personal externo, filtración de
datos.

Av. Institución 1200, Piso 1 Cuadrante 1-21. Col. Xoco, Alcaldía Benito Juárez, CP. 03330. Ciudad de México.
Tel: (55) 36017539 www.unadmexico.mx
 Institución Abierta y a Distancia de México

• Medida de Mitigación: Establecer políticas de acceso y compartición de datos,

cifrado de resultados de investigación sensibles, control de acceso a
laboratorios.
• Impacto: Pérdida de propiedad intelectual, daño a la reputación de la
Institución.

Tipo de Información: Información Administrativa y de Recursos Humanos

• Riesgo: Acceso no autorizado a información confidencial de empleados.

• Amenaza: Acceso no autorizado por parte de personal interno o externo,
malware, errores humanos.
• Medida de Mitigación: Implementar controles de acceso basados en roles,
cifrar datos sensibles, realizar auditorías de seguridad.
• Impacto: Pérdida de confidencialidad, daño a la reputación de la Institución,
posibles litigios laborales.

Tipo de Información: Información Institucional Confidencial

• Riesgo: Divulgación no autorizada de información estratégica.

• Amenaza: Acceso no autorizado por parte de personal externo, filtración de
datos, ataques cibernéticos dirigidos.
• Medida de Mitigación: Establecer políticas de acceso y compartición de
información, implementar sistemas de detección de intrusiones, cifrar
información confidencial.
• Impacto: Pérdida de competitividad, daño a la reputación de la Institución.

METODOLOGÍA DEL ANÁLISIS DE RIESGOS POR TIPO DE INFORMACIÓN

La metodología utilizada para el análisis de riesgos de los distintos tipos de

información en la Institución incluye los siguientes pasos:

1. Identificación de Tipos de Información: Se identifican los diferentes tipos de

información que maneja la Institución, incluidos datos personales de
estudiantes, registros académicos, información financiera, información de
investigación confidencial, información administrativa y de recursos humanos,
e información institucional confidencial.

Av. Institución 1200, Piso 1 Cuadrante 1-21. Col. Xoco, Alcaldía Benito Juárez, CP. 03330. Ciudad de México.
Tel: (55) 36017539 www.unadmexico.mx
 Institución Abierta y a Distancia de México

2. Identificación de Riesgos: Se analizan los posibles riesgos asociados con cada

tipo de información identificado. Esto implica considerar las amenazas que
podrían afectar la seguridad, integridad y disponibilidad de la información,
como acceso no autorizado, divulgación no autorizada, alteración de datos,
entre otros.

3. Evaluación de Amenazas: Se evalúan las amenazas potenciales que podrían

dar lugar a los riesgos identificados. Esto implica analizar escenarios de riesgo
específicos, como ataques cibernéticos, errores humanos, acceso no
autorizado por parte del personal interno o externo, y otras posibles causas de
vulnerabilidad.

4. Estimación de Impacto y Probabilidad: Se evalúa el impacto potencial de

cada riesgo en términos de pérdida financiera, daño a la reputación, pérdida
de confidencialidad, entre otros. Además, se estima la probabilidad de
ocurrencia de cada riesgo, considerando la frecuencia y la naturaleza de las
amenazas identificadas.
5. Priorización de Riesgos: Se priorizan los riesgos identificados en función de su
impacto y probabilidad. Aquellos riesgos que tienen un impacto mayor y una
probabilidad más alta de ocurrencia se consideran más críticos y requieren una
atención prioritaria.

6. Desarrollo de Medidas de Mitigación: Se desarrollan medidas de control y

mitigación para abordar los riesgos identificados. Esto implica establecer
controles de acceso, implementar sistemas de seguridad de la información,
capacitar al personal en seguridad cibernética, entre otras medidas.

7. Implementación y Monitoreo: Se implementan las medidas de mitigación

desarrolladas y se establece un proceso de monitoreo continuo para evaluar la
efectividad de dichas medidas. Esto puede incluir la realización de auditorías
de seguridad, pruebas de penetración, y revisión periódica de políticas y
procedimientos de seguridad.

Utilizar esta metodología permite realizar un análisis exhaustivo de los riesgos

asociados con el tratamiento de la información en la Institución, identificar áreas de
vulnerabilidad y desarrollar estrategias efectivas para mitigar dichos riesgos.

Av. Institución 1200, Piso 1 Cuadrante 1-21. Col. Xoco, Alcaldía Benito Juárez, CP. 03330. Ciudad de México.
Tel: (55) 36017539 www.unadmexico.mx
 Institución Abierta y a Distancia de México

VALORES PARA EL ANÁLISIS DE RIESGOS

Probabilidad de que se detone un evento

Valores Valores
Descripción
cualitativos cuantitativos
Es casi seguro que una amenaza detonará el evento que se
Muy alto 96-100 10
define como riesgo
Es altamente probable que una amenaza detonará el evento
Alto 80-95 8
que se define como riesgo
Es probable que una amenaza detonará el evento que se
Medio 21-79 5
define como riesgo
Es poco probable que una amenaza detonará el evento que se
Bajo 5-20 2
define como riesgo
Es casi improbable que una amenaza detonará el evento que
Muy bajo 0-4 0
se define como riesgo

Impacto de los eventos

Valores Valores
Descripción
cualitativos cuantitativos
Este evento puede tener múltiples consecuencias graves o
puede tener efectos catastróficos en la operación de la
Muy alto 96-100 10
Institución, en sus activos, en las personas, en otras
organizaciones relacionadas o con sus directivos
Este evento puede tener un efecto adverso grave o
catastrófico en las operaciones de la Institución, los activos
de la Institución, las personas, otras organizaciones o con sus
directivos. Un efecto adverso grave o catastrófico significa
que, por ejemplo, el evento podría: (i) causar una
Alto 80-95 8 degradación grave en el funcionamiento de la Institución o la
pérdida de la capacidad de ejecutar alguna tarea u objetivo
primario de la Institución en un periodo de tiempo largo o
inmedible; (ii) resultar en daños importantes a los activos de
la Institución; (iii) resultar en pérdidas financieras
importantes; o (iv) resulten en daños graves o catastróficos a

Av. Institución 1200, Piso 1 Cuadrante 1-21. Col. Xoco, Alcaldía Benito Juárez, CP. 03330. Ciudad de México.
Tel: (55) 36017539 www.unadmexico.mx
 Institución Abierta y a Distancia de México

Valores Valores
Descripción
cualitativos cuantitativos
las personas que impliquen la pérdida de la vida o lesiones
graves que pongan en peligro la vida
Este evento puede tener un efecto adverso serio en las
operaciones de la Institución, los activos de la Institución, las
personas, otras organizaciones o con sus directivos. Un
efecto adverso serio significa que, por ejemplo, el evento
podría: (i) causar una degradación en el funcionamiento de la
Institución o la pérdida de la capacidad de ejecutar alguna
Medio 21-79 5
tarea u objetivo primario de la Institución de forma
significativa; (ii) resultar en un daño significativo a los activos
de la Institución; (iii) resultar en pérdidas financieras
significativas; o (iv) resulte en un daño significativo a las
personas que no implique la pérdida de la vida o lesiones
graves que pongan en peligro la vida.
Este evento puede tener un efecto adverso limitado en las
operaciones de la Institución, los activos de la Institución, las
personas, otras organizaciones o con sus directivos. Un
efecto adverso limitado significa que, por ejemplo, el evento
podría: (i) causar una degradación en el funcionamiento de la
Bajo 5-20 2
Institución o la pérdida de la capacidad de ejecutar alguna
tarea u objetivo primario de la Institución de forma notable;
(ii) resultar en daños menores a los activos de la Institución;
(iii) resultar en una pérdida financiera menor; o (iv) resultar
en daños menores a las personas.
Este evento puede tener un efecto adverso insignificante en
Muy bajo 0-4 0 las operaciones de la Institución, los activos de la Institución,
las personas, otras organizaciones o con sus directivos

Av. Institución 1200, Piso 1 Cuadrante 1-21. Col. Xoco, Alcaldía Benito Juárez, CP. 03330. Ciudad de México.
Tel: (55) 36017539 www.unadmexico.mx
 Institución Abierta y a Distancia de México

Nivel de riesgo
Valores Valores
Descripción
cualitativos cuantitativos
Es bastante probable que habrá un evento que ocasione
múltiples consecuencias graves o catastróficas en las
Muy alto 96-100 10
operaciones de la Institución, los activos de la Institución, las
personas, otras organizaciones o con sus directivos
Es altamente probable que habrá un evento que ocasione
consecuencias graves o catastróficas en las operaciones de la
Alto 80-95 8
Institución, los activos de la Institución, las personas, otras
organizaciones o con sus directivos
Es probable que haya un evento que ocasione consecuencias
serias en las operaciones de la Institución, los activos de la
Medio 21-79 5
Institución, las personas, otras organizaciones o con sus
directivos
Es bastante limitada la posibilidad de que haya un evento que
ocasione consecuencias graves en las operaciones de la
Bajo 5-20 2
Institución, los activos de la Institución, las personas, otras
organizaciones o con sus directivos
Es casi improbable que habrá un evento que ocasione
consecuencias adversas en las operaciones de la Institución,
Muy bajo 0-4 0
los activos de la Institución, las personas, otras organizaciones
o con sus directivos

Av. Institución 1200, Piso 1 Cuadrante 1-21. Col. Xoco, Alcaldía Benito Juárez, CP. 03330. Ciudad de México.
Tel: (55) 36017539 www.unadmexico.mx
 Institución Abierta y a Distancia de México

ESCALA DE RIESGO BASADA EN LA PROBABILIDAD Y EL IMPACTO

Nivel de impacto
Nivel de probabilidad
Muy bajo Bajo Medio Alto Muy alto

Muy alto Muy bajo Bajo Medio Alto Muy alto

Alto Muy bajo Bajo Medio Alto Muy alto

Medio Muy bajo Bajo Medio Medio Alto

Bajo Muy bajo Bajo Bajo Bajo Medio

Muy bajo Muy bajo Muy bajo Muy bajo Bajo Bajo

CONCLUSIONES

Las conclusiones del análisis de riesgos por tipo de información son fundamentales
para comprender los riesgos específicos a los que se enfrenta la Institución en
relación con cada tipo de datos que maneja. A continuación, se detallan las
conclusiones para cada tipo de información:

Datos Personales de Estudiantes:

• Se identificó que el acceso no autorizado a datos personales es un riesgo

significativo, con amenazas que incluyen ataques cibernéticos y accesos no
autorizados por parte del personal interno.
• Las medidas de mitigación propuestas, como implementar controles de
acceso y cifrado de datos, son esenciales para proteger la privacidad de los
estudiantes y reducir el riesgo de robo de identidad.
• Es fundamental establecer políticas de seguridad de la información y
proporcionar capacitación al personal para garantizar el cumplimiento de las

Av. Institución 1200, Piso 1 Cuadrante 1-21. Col. Xoco, Alcaldía Benito Juárez, CP. 03330. Ciudad de México.
Tel: (55) 36017539 www.unadmexico.mx
 Institución Abierta y a Distancia de México

medidas de mitigación y proteger la integridad de los datos personales de los

estudiantes.

Registros Académicos:
• Se observó que la manipulación o alteración de registros académicos
representa un riesgo significativo, con amenazas que incluyen accesos no
autorizados y errores humanos.
• Las medidas de mitigación propuestas, como implementar sistemas de
gestión de registros seguros y establecer controles de acceso basados en roles,
son críticas para proteger la integridad de los registros académicos y mantener
la confianza en la precisión de la información académica.
• Se recomienda realizar auditorías regulares para monitorear y verificar la
precisión de los registros académicos, así como para identificar posibles
vulnerabilidades en los sistemas de gestión de registros.

Información Financiera:

• Se determinó que el fraude financiero y el robo de información financiera son

riesgos significativos, con amenazas que incluyen phishing, malware y accesos
no autorizados a sistemas financieros.
• Las medidas de mitigación propuestas, como implementar sistemas de
seguridad de pagos seguros y realizar monitoreo de transacciones
sospechosas, son esenciales para proteger la información financiera de la
Institución y reducir el riesgo de pérdidas financieras.
• Es importante proporcionar capacitación al personal en seguridad financiera y
establecer políticas claras para la protección de la información financiera
confidencial.

Información de Investigación Confidencial:

• Se reconoció que la divulgación no autorizada de resultados de investigación

es un riesgo significativo, con amenazas que incluyen accesos no autorizados
por parte de personal externo y filtración de datos.
• Las medidas de mitigación propuestas, como establecer políticas de acceso y
compartición de datos y cifrar resultados de investigación sensibles, son
críticas para proteger la propiedad intelectual y la confidencialidad de la
información de investigación.

Av. Institución 1200, Piso 1 Cuadrante 1-21. Col. Xoco, Alcaldía Benito Juárez, CP. 03330. Ciudad de México.
Tel: (55) 36017539 www.unadmexico.mx
 Institución Abierta y a Distancia de México

• Se recomienda implementar controles de acceso estrictos en los laboratorios

de investigación y realizar revisiones periódicas de las políticas de
compartición de datos para garantizar la seguridad de la información de
investigación confidencial.

Información Administrativa y de Recursos Humanos:

• Se identificó que el acceso no autorizado a información confidencial de

empleados es un riesgo significativo, con amenazas que incluyen accesos no
autorizados por parte del personal interno o externo y errores humanos.
• Las medidas de mitigación propuestas, como implementar controles de
acceso basados en roles y cifrar datos sensibles, son esenciales para proteger
la confidencialidad de la información administrativa y de recursos humanos.
• Es importante realizar auditorías regulares de seguridad y proporcionar
capacitación al personal en políticas y procedimientos de seguridad para
garantizar el cumplimiento de las medidas de mitigación.

Información Institucional Confidencial:

• Se concluyó que la divulgación no autorizada de información estratégica es un

riesgo significativo, con amenazas que incluyen accesos no autorizados por
parte de personal externo, filtración de datos y ataques cibernéticos dirigidos.
• Las medidas de mitigación propuestas, como establecer políticas de acceso y
compartición de información y cifrar información confidencial, son críticas
para proteger la competitividad y la reputación de la Institución.
• Se recomienda implementar sistemas de detección de intrusiones y realizar
revisiones periódicas de las políticas de seguridad para mantener la
confidencialidad y la integridad de la información institucional confidencial.

En resumen, el análisis de riesgos por tipo de información resalta la importancia de

implementar medidas de seguridad adecuadas y proporcionar capacitación al
personal para proteger la confidencialidad, integridad y disponibilidad de los datos
en la Institución. La mitigación efectiva de los riesgos identificados es esencial para
garantizar el cumplimiento normativo y proteger la reputación y los intereses de la
institución.

Av. Institución 1200, Piso 1 Cuadrante 1-21. Col. Xoco, Alcaldía Benito Juárez, CP. 03330. Ciudad de México.
Tel: (55) 36017539 www.unadmexico.mx