Matriz Analisis Riesgo
6
document.xlsx 1_Datos Page 1 Matriz de Análisis de Riesgo Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta] Datos e Información Clasificación Actos originados por la criminalidad común y motivación política Sucesos de origen físico Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales Confidencial, Privado, Sensitivo Allanamiento (ilegal, legal) Orden de secuestro / Detención Daños por vandalismo Extorsión Fraude / Estafa Robo / Hurto (físico) Intrusión a Red interna Infiltración Violación a derechos de autor Incendio Inundación / deslave Sismo Polvo Falta de ventilación Electromagnetismo Sobrecarga eléctrica Falla de corriente (apagones) Perdida de datos Sobrepasar autoridades Ausencia de documentación Finanzas Servicios bancarios RR.HH Directorio de Contactos Correo electrónico Bases de datos internos Bases de datos externos Bases de datos colaborativos Página Web externa Respaldos Base de datos de Contraseñas Navegación en Internet Chat interno Chat externo Magnitud de Daño: [1 = Insignificante 2 = Bajo 3 = Mediano 4 = Alto] Obligación por ley / Contrato / Convenio Costo de recuperación (tiempo, económico, material, imagen, emocional) Persecución (civil, fiscal, penal) Sabotaje (ataque físico y electrónico) Robo / Hurto de información electrónica Virus / Ejecución no autorizado de programas Falla de sistema / Daño disco duro Falta de inducción, capacitación y sensibilización sobre riesgos Mal manejo de sistemas y herramientas Utilización de programas no autorizados / software 'pirateado' Falta de pruebas de software nuevo con datos productivos Infección de sistemas a través de unidades portables sin escaneo Manejo inadecuado de datos críticos (codificar, borrar, etc.) Unidades portables con información sin cifrado Transmisión no cifrada de datos críticos Manejo inadecuado de contraseñas (inseguras, no cambiar, compartidas, BD centralizada) Compartir contraseñas o permisos a terceros no autorizados Transmisión de contraseñas por teléfono Exposición o extravío de equipo, unidades de almacenamiento, etc Falta de definición de perfil, privilegios y restricciones del personal Falta de mantenimiento físico (proceso, repuestos e insumos) Falta de actualización de software (proceso y recursos) Fallas en permisos de usuarios (acceso a archivos) Acceso electrónico no autorizado a sistemas externos Acceso electrónico no autorizado a sistemas internos Red cableada expuesta para el acceso no autorizado Red inalámbrica expuesta al acceso no autorizado Dependencia a servicio técnico externo Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos) Falta de mecanismos de verificación de normas y reglas / Análisis inadecuado de datos de control Documentos institucionales (Proyectos, Planes, Evaluaciones, Informes, etc.) Productos institucionales (Investigaciones, Folletos, Fotos, etc.) Página Web interna (Intranet) Infraestructura (Planes, Documentación, etc.) Informática (Planes, Documentación, etc.) Datos e información no institucionales Llamadas telefónicas internas Llamadas telefónicas externas
-
Upload
isaac-zavala -
Category
Documents
-
view
119 -
download
3
Transcript of Matriz Analisis Riesgo
document.xlsx 1_Datos
Page 1
Matriz de Análisis de Riesgo Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
Datos e Información
Clasificación Actos originados por la criminalidad común y motivación política Sucesos de origen físico Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales
Con
fid
en
cia
l, P
rivad
o,
Sen
sit
ivo
Ob
lig
ació
n p
or
ley /
Con
trato
/ C
on
ven
io
Allan
am
ien
to (
ileg
al,
leg
al)
Pers
ecu
ció
n (
civ
il,
fiscal,
pen
al)
Ord
en
de s
ecu
estr
o /
Dete
nció
n
Dañ
os p
or
van
dalism
o
Exto
rsió
n
Fra
ud
e /
Esta
fa
Rob
o /
Hu
rto (
físic
o)
Intr
usió
n a
Red
in
tern
a
Infi
ltra
ció
n
Vio
lació
n a
dere
ch
os d
e a
uto
r
Incen
dio
Inu
nd
ació
n /
desla
ve
Sis
mo
Polv
o
Falt
a d
e v
en
tila
ció
n
Ele
ctr
om
ag
neti
sm
o
Sob
recarg
a e
léctr
ica
Falla d
e c
orr
ien
te (
ap
ag
on
es)
Falla d
e s
iste
ma /
Dañ
o d
isco d
uro
Perd
ida d
e d
ato
s
Sob
rep
asar
au
tori
dad
es
Au
sen
cia
de d
ocu
men
tació
n
Finanzas
Servicios bancarios
RR.HH
Directorio de Contactos
Correo electrónico
Bases de datos internos
Bases de datos externos
Bases de datos colaborativos
Página Web interna (Intranet)
Página Web externa
Respaldos
Base de datos de Contraseñas
Navegación en Internet
Chat interno
Chat externo
Llamadas telefónicas internas
Llamadas telefónicas externas
Magnitud de Daño:[1 = Insignificante2 = Bajo3 = Mediano4 = Alto]
Costo
de r
ecu
pera
ció
n (
tiem
po,
econ
óm
ico,
mate
rial,
im
ag
en
, em
ocio
nal)
Sab
ota
je (
ata
qu
e f
ísic
o y
ele
ctr
ón
ico)
Rob
o /
Hu
rto d
e in
form
ació
n
ele
ctr
ón
ica
Vir
us /
Eje
cu
ció
n n
o a
uto
riza
do d
e
pro
gra
mas
Falt
a d
e in
du
cció
n,
cap
acit
ació
n y
sen
sib
iliz
ació
n s
ob
re r
iesg
os
Mal m
an
ejo
de s
iste
mas y
h
err
am
ien
tas
Uti
liza
ció
n d
e p
rog
ram
as n
o
au
tori
zad
os /
soft
ware
'p
irate
ad
o'
Falt
a d
e p
rueb
as d
e s
oft
ware
n
uevo c
on
dato
s p
rod
ucti
vos
Infe
cció
n d
e s
iste
mas a
tra
vés d
e
un
idad
es p
ort
ab
les s
in e
scan
eo
Man
ejo
in
ad
ecu
ad
o d
e d
ato
s
crí
ticos (
cod
ificar,
borr
ar,
etc
.)
Un
idad
es p
ort
ab
les c
on
in
form
ació
n s
in c
ifra
do
Tra
nsm
isió
n n
o c
ifra
da d
e d
ato
s
crí
ticos
Man
ejo
in
ad
ecu
ad
o d
e c
on
traseñ
as
(in
seg
ura
s,
no c
am
bia
r,
com
part
idas,
BD
cen
traliza
da)
Com
part
ir c
on
traseñ
as o
perm
isos
a t
erc
ero
s n
o a
uto
riza
dos
Tra
nsm
isió
n d
e c
on
traseñ
as p
or
telé
fon
o
Exp
osic
ión
o e
xtr
avío
de e
qu
ipo,
un
idad
es d
e a
lmacen
am
ien
to,
etc
Falt
a d
e d
efi
nic
ión
de p
erfi
l,
pri
vileg
ios y
restr
iccio
nes d
el
pers
on
al
Falt
a d
e m
an
ten
imie
nto
fís
ico
(pro
ceso,
rep
uesto
s e
in
su
mos)
Falt
a d
e a
ctu
aliza
ció
n d
e s
oft
ware
(p
roceso y
recu
rsos)
Fallas e
n p
erm
isos d
e u
su
ari
os
(acceso a
arc
hiv
os)
Acceso e
lectr
ón
ico n
o a
uto
riza
do a
sis
tem
as e
xte
rnos
Acceso e
lectr
ón
ico n
o a
uto
riza
do a
sis
tem
as in
tern
os
Red
cab
lead
a e
xp
uesta
para
el
acceso n
o a
uto
riza
do
Red
in
alá
mb
rica e
xp
uesta
al acceso
no a
uto
riza
do
Dep
en
den
cia
a s
erv
icio
técn
ico
exte
rno
Falt
a d
e n
orm
as y
reg
las c
lara
s (
no
insti
tucio
naliza
r el estu
dio
de los
riesg
os)
Falt
a d
e m
ecan
ism
os d
e
veri
ficació
n d
e n
orm
as y
reg
las /
A
nálisis
in
ad
ecu
ad
o d
e d
ato
s d
e
con
trol
Documentos institucionales (Proyectos, Planes, Evaluaciones, Informes, etc.)
Productos institucionales (Investigaciones, Folletos, Fotos, etc.)
Infraestructura (Planes, Documentación, etc.)
Informática (Planes, Documentación, etc.)
Datos e información no institucionales
document.xlsx 2_Sistemas
Page 2
Matriz de Análisis de Riesgo Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
Sistemas e Infraestructura
Clasificación Actos originados por la criminalidad común y motivación política Sucesos de origen físico Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales
Acceso e
xclu
siv
o
Acceso ilim
itad
o
Allan
am
ien
to (
ileg
al,
leg
al)
Pers
ecu
ció
n (
civ
il,
fiscal,
pen
al)
Ord
en
de s
ecu
estr
o /
Dete
nció
n
Dañ
os p
or
van
dalism
o
Exto
rsió
n
Fra
ud
e /
Esta
fa
Rob
o /
Hu
rto (
físic
o)
Intr
usió
n a
Red
in
tern
a
Infi
ltra
ció
n
Vio
lació
n a
dere
ch
os d
e a
uto
r
Incen
dio
Inu
nd
ació
n /
desla
ve
Sis
mo
Polv
o
Falt
a d
e v
en
tila
ció
n
Ele
ctr
om
ag
neti
sm
o
Sob
recarg
a e
léctr
ica
Falla d
e c
orr
ien
te (
ap
ag
on
es)
Falla d
e s
iste
ma /
Dañ
o d
isco d
uro
Perd
ida d
e d
ato
s
Sob
rep
asar
au
tori
dad
es
Au
sen
cia
de d
ocu
men
tació
n
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
Cortafuego
Servidores
Computadoras
Portátiles
Impresoras
Memorias portátiles
Celulares
Vehículos
Magnitud de Daño:[1 = Insignificante2 = Bajo3 = Mediano4 = Alto]
Costo
de r
ecu
pera
ció
n (
tiem
po,
econ
óm
ico,
mate
rial,
im
ag
en
, em
ocio
nal)
Sab
ota
je (
ata
qu
e f
ísic
o y
ele
ctr
ón
ico)
Rob
o /
Hu
rto d
e in
form
ació
n
ele
ctr
ón
ica
Vir
us /
Eje
cu
ció
n n
o a
uto
riza
do d
e
pro
gra
mas
Falt
a d
e in
du
cció
n,
cap
acit
ació
n y
sen
sib
iliz
ació
n s
ob
re r
iesg
os
Mal m
an
ejo
de s
iste
mas y
h
err
am
ien
tas
Uti
liza
ció
n d
e p
rog
ram
as n
o
au
tori
zad
os /
soft
ware
'p
irate
ad
o'
Falt
a d
e p
rueb
as d
e s
oft
ware
n
uevo c
on
dato
s p
rod
ucti
vos
Infe
cció
n d
e s
iste
mas a
tra
vés d
e
un
idad
es p
ort
ab
les s
in e
scan
eo
Man
ejo
in
ad
ecu
ad
o d
e d
ato
s
crí
ticos (
cod
ificar,
borr
ar,
etc
.)
Un
idad
es p
ort
ab
les c
on
in
form
ació
n s
in c
ifra
do
Tra
nsm
isió
n n
o c
ifra
da d
e d
ato
s
crí
ticos
Man
ejo
in
ad
ecu
ad
o d
e c
on
traseñ
as
(in
seg
ura
s,
no c
am
bia
r,
com
part
idas,
BD
cen
traliza
da)
Com
part
ir c
on
traseñ
as o
perm
isos
a t
erc
ero
s n
o a
uto
riza
dos
Tra
nsm
isió
n d
e c
on
traseñ
as p
or
telé
fon
o
Exp
osic
ión
o e
xtr
avío
de e
qu
ipo,
un
idad
es d
e a
lmacen
am
ien
to,
etc
Falt
a d
e d
efi
nic
ión
de p
erfi
l,
pri
vileg
ios y
restr
iccio
nes d
el
pers
on
al
Falt
a d
e m
an
ten
imie
nto
fís
ico
(pro
ceso,
rep
uesto
s e
in
su
mos)
Falt
a d
e a
ctu
aliza
ció
n d
e s
oft
ware
(p
roceso y
recu
rsos)
Fallas e
n p
erm
isos d
e u
su
ari
os
(acceso a
arc
hiv
os)
Acceso e
lectr
ón
ico n
o a
uto
riza
do a
sis
tem
as e
xte
rnos
Acceso e
lectr
ón
ico n
o a
uto
riza
do a
sis
tem
as in
tern
os
Red
cab
lead
a e
xp
uesta
para
el
acceso n
o a
uto
riza
do
Red
in
alá
mb
rica e
xp
uesta
al acceso
no a
uto
riza
do
Dep
en
den
cia
a s
erv
icio
técn
ico
exte
rno
Falt
a d
e n
orm
as y
reg
las c
lara
s (
no
insti
tucio
naliza
r el estu
dio
de los
riesg
os)
Falt
a d
e m
ecan
ism
os d
e
veri
ficació
n d
e n
orm
as y
reg
las /
A
nálisis
in
ad
ecu
ad
o d
e d
ato
s d
e
con
trol
Equipos de la red cableada (router, switch, etc.)
Equipos de la red inalámbrica (router, punto de acceso, etc.)
Programas de administración (contabilidad, manejo de personal, etc.)
Programas de manejo de proyectos
Programas de producción de datos
Programas de comunicación (correo electrónico, chat, llamadas telefónicas, etc.)
PBX (Sistema de telefonía convencional)
Edificio (Oficinas, Recepción, Sala de espera, Sala de reunión, Bodega, etc.)
document.xlsx 3_Personal
Page 3
Matriz de Análisis de Riesgo Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
Personal
Clasificación Actos originados por la criminalidad común y motivación política Sucesos de origen físico Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales
Perfi
l m
ed
io,
exp
ert
o e
n s
u á
rea
Allan
am
ien
to (
ileg
al,
leg
al)
Pers
ecu
ció
n (
civ
il,
fiscal,
pen
al)
Ord
en
de s
ecu
estr
o /
Dete
nció
n
Dañ
os p
or
van
dalism
o
Exto
rsió
n
Fra
ud
e /
Esta
fa
Rob
o /
Hu
rto (
físic
o)
Intr
usió
n a
Red
in
tern
a
Infi
ltra
ció
n
Vio
lació
n a
dere
ch
os d
e a
uto
r
Incen
dio
Inu
nd
ació
n /
desla
ve
Sis
mo
Polv
o
Falt
a d
e v
en
tila
ció
n
Ele
ctr
om
ag
neti
sm
o
Sob
recarg
a e
léctr
ica
Falla d
e c
orr
ien
te (
ap
ag
on
es)
Falla d
e s
iste
ma /
Dañ
o d
isco d
uro
Perd
ida d
e d
ato
s
Sob
rep
asar
au
tori
dad
es
Au
sen
cia
de d
ocu
men
tació
n
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
Junta Directiva
Dirección / Coordinación
Administración
Personal técnico
Recepción
Piloto / conductor
Soporte técnico externo
Servicio de limpieza de planta
Servicio de limpieza externo
Magnitud de Daño:[1 = Insignificante2 = Bajo3 = Mediano4 = Alto]
Imag
en
pú
blica d
e a
lto p
erfi
l,
ind
isp
en
sab
le p
ara
fu
ncio
nam
ien
to
insti
tucio
nal
Perfi
l b
ajo
, n
o in
dis
pen
sab
le p
ara
fu
ncio
nam
ien
to in
sti
tucio
nal
Sab
ota
je (
ata
qu
e f
ísic
o y
ele
ctr
ón
ico)
Rob
o /
Hu
rto d
e in
form
ació
n
ele
ctr
ón
ica
Vir
us /
Eje
cu
ció
n n
o a
uto
riza
do d
e
pro
gra
mas
Falt
a d
e in
du
cció
n,
cap
acit
ació
n y
sen
sib
iliz
ació
n s
ob
re r
iesg
os
Mal m
an
ejo
de s
iste
mas y
h
err
am
ien
tas
Uti
liza
ció
n d
e p
rog
ram
as n
o
au
tori
zad
os /
soft
ware
'p
irate
ad
o'
Falt
a d
e p
rueb
as d
e s
oft
ware
n
uevo c
on
dato
s p
rod
ucti
vos
Infe
cció
n d
e s
iste
mas a
tra
vés d
e
un
idad
es p
ort
ab
les s
in e
scan
eo
Man
ejo
in
ad
ecu
ad
o d
e d
ato
s
crí
ticos (
cod
ificar,
borr
ar,
etc
.)
Un
idad
es p
ort
ab
les c
on
in
form
ació
n s
in c
ifra
do
Tra
nsm
isió
n n
o c
ifra
da d
e d
ato
s
crí
ticos
Man
ejo
in
ad
ecu
ad
o d
e c
on
traseñ
as
(in
seg
ura
s,
no c
am
bia
r,
com
part
idas,
BD
cen
traliza
da)
Com
part
ir c
on
traseñ
as o
perm
isos
a t
erc
ero
s n
o a
uto
riza
dos
Tra
nsm
isió
n d
e c
on
traseñ
as p
or
telé
fon
o
Exp
osic
ión
o e
xtr
avío
de e
qu
ipo,
un
idad
es d
e a
lmacen
am
ien
to,
etc
Falt
a d
e d
efi
nic
ión
de p
erfi
l,
pri
vileg
ios y
restr
iccio
nes d
el
pers
on
al
Falt
a d
e m
an
ten
imie
nto
fís
ico
(pro
ceso,
rep
uesto
s e
in
su
mos)
Falt
a d
e a
ctu
aliza
ció
n d
e s
oft
ware
(p
roceso y
recu
rsos)
Fallas e
n p
erm
isos d
e u
su
ari
os
(acceso a
arc
hiv
os)
Acceso e
lectr
ón
ico n
o a
uto
riza
do a
sis
tem
as e
xte
rnos
Acceso e
lectr
ón
ico n
o a
uto
riza
do a
sis
tem
as in
tern
os
Red
cab
lead
a e
xp
uesta
para
el
acceso n
o a
uto
riza
do
Red
in
alá
mb
rica e
xp
uesta
al acceso
no a
uto
riza
do
Dep
en
den
cia
a s
erv
icio
técn
ico
exte
rno
Falt
a d
e n
orm
as y
reg
las c
lara
s (
no
insti
tucio
naliza
r el estu
dio
de los
riesg
os)
Falt
a d
e m
ecan
ism
os d
e
veri
ficació
n d
e n
orm
as y
reg
las /
A
nálisis
in
ad
ecu
ad
o d
e d
ato
s d
e
con
trol
Informática / Soporte técnico interno
Servicio de mensajería de propio
Servicio de mensajería de externo
document.xlsx Analisis_Promedio
Página 4
Análisis de Riesgo promedio
Probabilidad de Amenaza
0.0 0.0 0.0
0.0 0.0 0.0
Personal 0.0 0.0 0.0
Criminalidad y Político
Sucesos de origen físico
Negligencia y Institucional
Datos e Información
Magnitud de Daño
Sistemas e Infraestructura
document.xlsx Analisis_Factores
Página 5
Etiqueta
X #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0!
Y #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0!
Criminalidad y Político / Datos e Información
Criminalidad y Político / Sistemas e
Infraestructura
Criminalidad y Político / Personal
Sucesos de origen físico / Datos e Información
Sucesos de origen físico / Sistemas e
Infraestructura
Sucesos de origen físico / Personal
Negligencia y Institucional / Datos e
Información
Negligencia y Institucional / Sistemas e
Infraestructura
Negligencia y Institucional / Personal
Análisis de Factores de Riesgo
Criminalidad y Político / Datos e Infor-mación
Criminalidad y Político / Sistemas e In-fraestructura
Criminalidad y Político / Personal
Sucesos de origen físico / Datos e In-formación
Sucesos de origen físico / Sistemas e In-fraestructura
Sucesos de origen físico / Personal
Negligencia y Institucional / Datos e In-formación
Negligencia y Institucional / Sistemas e In-fraestructura
Negligencia y Institucional / Personal
Umbral Medio Riesgo
Umbral Alto Riesgo
Probalidad de Amenaza
Mag
nit
ud d
e D
año
Fuente
Page 6
Valoración Escala Valor_min Valor_max Lineas
Ninguna 1 1 3 7Baja 2 4 6 x y
Mediana 3 8 9 1.0 7.0Alta 4 12 16 1.1 6.4
1.2 5.81.3 5.41.4 5.01.5 4.71.6 4.41.8 4.01.8 3.91.9 3.72.0 3.52.1 3.32.2 3.22.3 3.02.4 2.92.5 2.82.6 2.72.7 2.62.8 2.52.9 2.43.0 2.33.1 2.33.2 2.23.3 2.13.4 2.13.5 2.03.6 1.93.7 1.93.8 1.83.9 1.84.0 1.8
Umbral Medio Riesgo
Fuente
Page 7
10.5y
10.59.58.88.17.57.06.66.05.85.55.35.04.84.64.44.24.03.93.83.63.53.43.33.23.13.02.92.82.82.72.6
Umbral Alto
Riesgo
