Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ANEXO B - MATRIZ DE RIESGO
ANEXO B - MATRIZ DE RIESGO
Código: DOC-CL-002
A6. Organización de la
7 0 7 19%
seguridad de la información
A17. Continuidad de
4 0 4 11%
seguridad de la información
No se evidencia la definición
de roles, responsabilidades y
CATASTROFICO 16 Critico
autoridades en Seguridad de
la Información.
No se ha identificado, ni
valorado
correctamente los riesgos de
ALTO 9 Alto los requisitos legales y
contractuales que puede
afectar la seguridad de la
información.
EVALUACIÓN DE RIESGOS
Se tiene la documentación
Medio del levantamiento de algunos Detectivo Anual
activos
Se cuenta con
documentación
correspondiente a los
procesos.
Alto Detectivo Semanal
Se cuenta con backups de
respaldo para la
recuperación de la
información
Tiempo de
Mitigación del Riesgo Implementación Responsable
Oficial y profesional
Implementar y divulgar las
Fase1 - 6 meses de Seguridad de la
políticas para el SGSI.
Información
Definir, implementar y
divulgar una política de control
de acceso lógico.
Área Seguridad de la
Implementar un LDAP y a su Fase1 - 6 meses
Información
vez un file server para permitir
los accesos a los usuarios
dependiendo del rol.
* Definir el procedimiento
para los controles de cambios.
* Controlar la capacidad de los
Junta Directiva
sistemas, la infraestructura y
Fase1 - 6 meses Área de TI
crear una administración de
Área de SI
ambientes separados.
* Realizar un análisis de
vulnerabilidades periódico.
* Establecer la política de
transferencia de datos,
realizando acuerdos de
confidencialidad tanto en la Área de TI
Fase1 - 6 meses
entidad como con terceros. Área de SI
* Definir los controles
encaminados a la protección
del SGSI.
* Implementar y estandarizar
la Política para que los
desarrollos sean seguros
* Las pruebas y
procedimientos de los Fase2 - 1 año Desarrollo
desarrollos de los sistemas se
deben ejecutar de forma
exitosa sobre los ambientes
previos.
Diseñar e implementar la
Junta Directiva
política de seguridad del
Fase2 - 1 año Área de TI
tratamiento de la información
Área de SI
con los proveedores.
Definir la atención y respuesta
a incidentes presentados, así
como la matriz de
Fase1 - 6 meses Área de TI
escalamiento garantizando un
RTO de recuperación
adecuado.
Medio
Baja
Impacto
ESCALA PROBABILIDADES
Probabilidad Descripción
Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 70% - 100%
1 Bajo un margen
Riesgo cuyade tolerancia aceptable.
probabilidad de ocurrencia es media, es decir, se tiene entre 40% -
2 Medio 69% un margen de tolerancia aceptable.
Riesgo cuya probabilidad de ocurrencia es Alta, es decir, se tiene entre 20 - 39% un
3 Alto margen de tolerancia aceptable.
seguridad de que se pueda presentar, se tiene entre 0 - 19% el margen de
4 Critico tolerancia aceptable.
ESCALA IMPACTOS
Impacto Descripción
1 Leve Consecuencias leves o con problemas menores de que se materialice un riesgo.
Consecuencias moderadas o con problemas significativos de que se materialice un
2 Moderado riesgo.
3 Alto Consecuencias altas o con problemas mayores de que se materialice un riesgo.
Consecuencias catastróficas o con problemas críticos de que se materialice un
4 Catastrofico riesgo.
ESCALA RIESGOS
Riesgo Descripción
0-3 Bajo Materialización de una amenaza que podría tener un impacto leve en los procesos
de la organización.
4-7 Medio Materialización de una amenaza que como consecuencia altere los procesos de la
organización en un tiempo determinado, no superior a 6 horas.
8-11 Alto Materialización de una amenaza que como consecuencia altere los procesos de la
organización en un tiempo determinado, no superior a 4 horas.
12-16 Critico Materialización de una amenaza que como consecuencia afecta la operación de
los procesos y la reputación de la organización a termino indefinido.
20 - 39% ALTO
40 - 69% MEDIO
70 - 100% BAJO