You are on page 1of 7

Compartir contraseñas o permisos

a terceros no autorizados
Transmisión de contraseñas por
teléfono
Exposición o extravío de equipo,
unidades de almacenamiento, etc
Sobrepasar autoridades
Falta de definición de perfil,
privilegios y restricciones del
personal
Falta de mantenimiento físico
(proceso, repuestos e insumos)
Falta de actualización de software
(proceso y recursos)
Fallas en permisos de usuarios
(acceso a archivos)
Acceso electrónico no autorizado a
sistemas externos
Acceso electrónico no autorizado a
sistemas internos
Red cableada expuesta para el
acceso no autorizado
Red inalámbrica expuesta al acceso
no autorizado
Dependencia a servicio técnico
externo

Datos e Información

4
4
3
3
2
3
3
3
4
4
4
3
3
3
3
3

Documentos institucionales
(Proyectos, Planes,
Evaluaciones, Informes, etc.)
x
2
8
8
6
6
4
6
6
6
8
8
8
6
6
6
6
6

Finanzas
x
2
8
8
6
6
4
6
6
6
8
8
8
6
6
6
6
6

Servicios bancarios
x
2
8
8
6
6
4
6
6
6
8
8
8
6
6
6
6
6

x
3
12
12
9
9
6
9
9
9
12
12
12
9
9
9
9
9

Productos institucionales
(Investigaciones, Folletos,
Fotos, etc.)
x
4
16
16
12
12
8
12
12
12
16
16
16
12
12
12
12
12

3
12
12
9
9
6
9
9
9
12
12
12
9
9
9
9
9

3
12
12
9
9
6
9
9
9
12
12
12
9
9
9
9
9

4
16
16
12
12
8
12
12
12
16
16
16
12
12
12
12
12

x
4
16
16
12
12
8
12
12
12
16
16
16
12
12
12
12
12

Bases de datos colaborativos
x
4
16
16
12
12
8
12
12
12
16
16
16
12
12
12
12
12

Página Web interna (Intranet)
x
3
12
12
9
9
6
9
9
9
12
12
12
9
9
9
9
9

Página Web externa
x
2
8
8
6
6
4
6
6
6
8
8
8
6
6
6
6
6

Respaldos
x
4
16
16
12
12
8
12
12
12
16
16
16
12
12
12
12
12

RR.HH

Directorio de Contactos

Correo electrónico

Bases de datos internos
x

Bases de datos externos
x

x

x

Costo de recuperación (tiempo,
económico, material, imagen,
emocional)

Obligación por ley / Contrato / Convenio

Confidencial, Privado, Sensitivo

Magnitud de Daño:
[1 = Insignificante
2 = Bajo
3 = Mediano
4 = Alto]

Page 1

Ausencia de documentación

Falta de normas y reglas claras (no
institucionalizar el estudio de los
riesgos)
Falta de mecanismos de
verificación de normas y reglas /
Análisis inadecuado de datos de
control

Manejo inadecuado de contraseñas
(inseguras, no cambiar,
compartidas, BD centralizada)

Transmisión no cifrada de datos
críticos

Unidades portables con
información sin cifrado

Manejo inadecuado de datos
críticos (codificar, borrar, etc.)

Infección de sistemas a través de
unidades portables sin escaneo

Perdida de datos

Falta de pruebas de software nuevo
con datos productivos

Utilización de programas no
autorizados / software 'pirateado'

Mal manejo de sistemas y
herramientas

Sucesos de origen físico
Falta de inducción, capacitación y
sensibilización sobre riesgos

Falla de sistema / Daño disco duro

Falla de corriente (apagones)

Sobrecarga eléctrica

311271386.xls

Electromagnetismo

Falta de ventilación

Polvo

Sismo

Inundación / deslave

Actos originados por la criminalidad común y motivación política

Incendio

Violación a derechos de autor

Virus / Ejecución no autorizado de
programas

Infiltración

Intrusión a Red interna

Robo / Hurto de información
electrónica

Robo / Hurto (físico)

Fraude / Estafa

Extorsión

Daños por vandalismo

Sabotaje (ataque físico y
electrónico)

Orden de secuestro / Detención

Persecución (civil, fiscal, penal)

Clasificación

Allanamiento (ilegal, legal)

Matriz de Análisis de Riesgo
Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]

1_Datos

Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales

Infraestructura (Planes,
Documentación, etc.)
x
4
16
16
12
12
8
12
12
12
16
16
16
12
12
12
12
12

Informática (Planes,
Documentación, etc.)
x
4
16
16
12
12
8
12
12
12
16
16
16
12
12
12
12
12

Base de datos de Contraseñas

Datos e información no
institucionales
x
4
16
16
12
12
8
12
12
12
16
16
16
12
12
12
12
12

x
2
8
8
6
6
4
6
6
6
8
8
8
6
6
6
6
6

Navegación en Internet
x
2
8
8
6
6
4
6
6
6
8
8
8
6
6
6
6
6

Chat interno
x
2
8
8
6
6
4
6
6
6
8
8
8
6
6
6
6
6

Chat externo
x
3
12
12
9
9
6
9
9
9
12
12
12
9
9
9
9
9

Llamadas telefónicas internas
x
2
8
8
6
6
4
6
6
6
8
8
8
6
6
6
6
6

Llamadas telefónicas externas
x
2
8
8
6
6
4
6
6
6
8
8
8
6
6
6
6
6

borrar. Sala de reunión. penal) 2 4 Magnitud de Daño: [1 = Insignificante 2 = Bajo 3 = Mediano 4 = Alto] Allanamiento (ilegal. etc Unidades portables con información sin cifrado 2 8 Transmisión de contraseñas por teléfono Manejo inadecuado de datos críticos (codificar. switch. Bodega. etc. Sala de espera.) 2 8 Compartir contraseñas o permisos a terceros no autorizados Perdida de datos 2 4 Manejo inadecuado de contraseñas (inseguras. etc. privilegios y restricciones del personal 3 12 Falta de actualización de software (proceso y recursos) Sobrepasar autoridades 3 12 Falta de mantenimiento físico (proceso.) Sucesos derivados de la impericia. capacitación y sensibilización sobre riesgos 3 12 Falla de sistema / Daño disco duro 3 16 Falla de corriente (apagones) 4 12 Sobrecarga eléctrica 3 16 Violación a derechos de autor 4 16 Virus / Ejecución no autorizado de programas 4 16 Infiltración 4 16 Intrusión a Red interna 4 16 Robo / Hurto de información electrónica 4 8 Robo / Hurto (físico) 2 12 Fraude / Estafa 3 16 Extorsión 4 12 Orden de secuestro / Detención 3 8 Persecución (civil. legal) Mal manejo de sistemas y herramientas x Portátiles Electromagnetismo Computadoras Falta de ventilación x Polvo Servidores Sismo Cortafuego Inundación / deslave x Incendio Equipos de la red inalámbrica (router. llamadas telefónicas.) x 3 6 9 12 9 6 12 12 12 12 12 9 12 9 9 6 3 6 6 6 9 9 9 9 9 6 6 6 9 9 6 6 9 12 12 9 9 6 9 9 9 12 12 12 9 9 9 9 9 Vehículos x 3 6 9 12 9 6 12 12 12 12 12 9 12 9 9 6 3 6 6 6 9 9 9 9 9 6 6 6 9 9 6 6 9 12 12 9 9 6 9 9 9 12 12 12 9 9 9 9 9 Page 2 . fiscal. emocional) Clasificación Programas de administración (contabilidad. punto de acceso. Recepción. compartidas.) x 3 6 9 12 9 6 12 12 12 12 12 9 12 9 9 6 3 6 6 6 9 9 9 9 9 6 6 6 9 9 6 6 9 12 12 9 9 6 9 9 9 12 12 12 9 9 9 9 9 Impresoras x 3 6 9 12 9 6 12 12 12 12 12 9 12 9 9 6 3 6 6 6 9 9 9 9 9 6 6 6 9 9 6 6 9 12 12 9 9 6 9 9 9 12 12 12 9 9 9 9 9 3 6 9 12 9 6 12 12 12 12 12 9 12 9 9 6 3 6 6 6 9 9 9 9 9 6 6 6 9 9 6 6 9 12 12 9 9 6 9 9 9 12 12 12 9 9 9 9 9 Memorias portátiles PBX (Sistema de telefonía convencional) x 3 6 9 12 9 6 12 12 12 12 12 9 12 9 9 6 3 6 6 6 9 9 9 9 9 6 6 6 9 9 6 6 9 12 12 9 9 6 9 9 9 12 12 12 9 9 9 9 9 Celulares x 3 6 9 12 9 6 12 12 12 12 12 9 12 9 9 6 3 6 6 6 9 9 9 9 9 6 6 6 9 9 6 6 9 12 12 9 9 6 9 9 9 12 12 12 9 9 9 9 9 Edificio (Oficinas.) Acceso ilimitado Acceso exclusivo Sistemas e Infraestructura Actos originados por la criminalidad común y motivación política Costo de recuperación (tiempo. económico. no cambiar. etc. repuestos e insumos) Transmisión no cifrada de datos críticos 3 8 Exposición o extravío de equipo. manejo de personal. 4 = Alta] 2 2 3 4 4 3 3 2 3 3 3 4 4 4 3 3 3 3 3 12 8 8 12 16 16 12 12 8 12 12 12 16 16 16 12 12 12 12 12 3 6 9 12 9 6 12 12 12 12 12 9 12 9 9 6 3 6 6 6 9 9 9 9 9 6 6 6 9 9 6 6 9 12 12 9 9 6 9 9 9 12 12 12 9 9 9 9 9 4 8 12 16 12 8 16 16 16 16 16 12 16 12 12 8 4 8 8 8 12 12 12 12 12 8 8 8 12 12 8 8 12 16 16 12 12 8 12 12 12 16 16 16 12 12 12 12 12 4 8 12 16 12 8 16 16 16 16 16 12 16 12 12 8 4 8 8 8 12 12 12 12 12 8 8 8 12 12 8 8 12 16 16 12 12 8 12 12 12 16 16 16 12 12 12 12 12 3 6 9 12 9 6 12 12 12 12 12 9 12 9 9 6 3 6 6 6 9 9 9 9 9 6 6 6 9 9 6 6 9 12 12 9 9 6 9 9 9 12 12 12 9 9 9 9 9 3 6 9 12 9 6 12 12 12 12 12 9 12 9 9 6 3 6 6 6 9 9 9 9 9 6 6 6 9 9 6 6 9 12 12 9 9 6 9 9 9 12 12 12 9 9 9 9 9 Ausencia de documentación 3 12 Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos) Falta de mecanismos de verificación de normas y reglas / Análisis inadecuado de datos de control 3 8 Dependencia a servicio técnico externo 2 8 Red inalámbrica expuesta al acceso no autorizado 2 8 Red cableada expuesta para el acceso no autorizado 2 12 Acceso electrónico no autorizado a sistemas internos 3 12 Acceso electrónico no autorizado a sistemas externos 3 12 Fallas en permisos de usuarios (acceso a archivos) Falta de definición de perfil. etc. chat.xls 2_Sistemas Matriz de Análisis de Riesgo Probabilidad de Amenaza [1 = Insignificante. material. etc. 2 = Baja. negligencia de usuarios/as y decisiones institucionales Daños por vandalismo x Sucesos de origen físico Sabotaje (ataque físico y electrónico) Equipos de la red cableada (router. imagen. etc. BD centralizada) Falta de pruebas de software nuevo con datos productivos 1 8 Infección de sistemas a través de unidades portables sin escaneo Utilización de programas no autorizados / software 'pirateado' 2 12 Falta de inducción. unidades de almacenamiento.) x 4 8 12 16 12 8 16 16 16 16 16 12 16 12 12 8 4 8 8 8 12 12 12 12 12 8 8 8 12 12 8 8 12 16 16 12 12 8 12 12 12 16 16 16 12 12 12 12 12 Programas de manejo de proyectos x 4 8 12 16 12 8 16 16 16 16 16 12 16 12 12 8 4 8 8 8 12 12 12 12 12 8 8 8 12 12 8 8 12 16 16 12 12 8 12 12 12 16 16 16 12 12 12 12 12 4 8 12 16 12 8 16 16 16 16 16 12 16 12 12 8 4 8 8 8 12 12 12 12 12 8 8 8 12 12 8 8 12 16 16 12 12 8 12 12 12 16 16 16 12 12 12 12 12 Programas de producción de datos Programas de comunicación (correo electrónico.311271386. 3= Mediana.

xls Compartir contraseñas o permisos a terceros no autorizados Matriz de Análisis de Riesgo Probabilidad de Amenaza [1 = Insignificante.) Unidades portables con información sin cifrado Transmisión no cifrada de datos críticos Manejo inadecuado de contraseñas (inseguras. experto en su área Personal Allanamiento (ilegal. negligencia de usuarios/as y decisiones institucionales Recepción x 2 6 6 4 8 4 8 4 6 6 6 6 8 6 4 4 2 4 4 4 6 6 6 4 6 6 6 6 8 6 6 4 4 8 8 6 6 4 6 6 6 8 8 8 6 6 6 6 6 Piloto / conductor x 2 6 6 4 8 4 8 4 6 6 6 6 8 6 4 4 2 4 4 4 6 6 6 4 6 6 6 6 8 6 6 4 4 8 8 6 6 4 6 6 6 8 8 8 6 6 6 6 6 Informática / Soporte técnico interno x 4 12 12 8 16 8 16 8 12 12 12 12 16 12 8 8 4 8 8 8 12 12 12 8 12 12 12 12 16 12 12 8 8 16 16 12 12 8 12 12 12 16 16 16 12 12 12 12 12 Soporte técnico externo x 3 9 9 6 12 6 12 6 9 9 9 9 12 9 6 6 3 6 6 6 9 9 9 6 9 9 9 9 12 9 9 6 6 12 12 9 9 6 9 9 9 12 12 12 9 9 9 9 9 Servicio de limpieza de planta x 2 6 6 4 8 4 8 4 6 6 6 6 8 6 4 4 2 4 4 4 6 6 6 4 6 6 6 6 8 6 6 4 4 8 8 6 6 4 6 6 6 8 8 8 6 6 6 6 6 Servicio de limpieza externo x 2 6 6 4 8 4 8 4 6 6 6 6 8 6 4 4 2 4 4 4 6 6 6 4 6 6 6 6 8 6 6 4 4 8 8 6 6 4 6 6 6 8 8 8 6 6 6 6 6 Servicio de mensajería de propio x 3 9 9 6 12 6 12 6 9 9 9 9 12 9 6 6 3 6 6 6 9 9 9 6 9 9 9 9 12 9 9 6 6 12 12 9 9 6 9 9 9 12 12 12 9 9 9 9 9 Servicio de mensajería de externo x 3 9 9 6 12 6 12 6 9 9 9 9 12 9 6 6 3 6 6 6 9 9 9 6 9 9 9 9 12 9 9 6 6 12 12 9 9 6 9 9 9 12 12 12 9 9 9 9 9 . privilegios y restricciones del personal Falta de mantenimiento físico (proceso. unidades de almacenamiento. fiscal. repuestos e insumos) Falta de actualización de software (proceso y recursos) Fallas en permisos de usuarios (acceso a archivos) Red cableada expuesta para el acceso no autorizado Red inalámbrica expuesta al acceso no autorizado Dependencia a servicio técnico externo 3 3 2 4 2 4 2 3 3 3 3 4 3 2 2 1 2 2 2 3 3 3 2 3 3 3 3 4 3 3 2 2 4 4 3 3 2 3 3 3 4 4 4 3 3 3 3 3 3 9 9 6 12 6 12 6 9 9 9 9 12 9 6 6 3 6 6 6 9 9 9 6 9 9 9 9 12 9 9 6 6 12 12 9 9 6 9 9 9 12 12 12 9 9 9 9 9 x 3 9 9 6 12 6 12 6 9 9 9 9 12 9 6 6 3 6 6 6 9 9 9 6 9 9 9 9 12 9 9 6 6 12 12 9 9 6 9 9 9 12 12 12 9 9 9 9 9 x 4 12 12 8 16 8 16 8 12 12 12 12 16 12 8 8 4 8 8 8 12 12 12 8 12 12 12 12 16 12 12 8 8 16 16 12 12 8 12 12 12 16 16 16 12 12 12 12 12 4 12 12 8 16 8 16 8 12 12 12 12 16 12 8 8 4 8 8 8 12 12 12 8 12 12 12 12 16 12 12 8 8 16 16 12 12 8 12 12 12 16 16 16 12 12 12 12 12 Perfil bajo. no indispensable para funcionamiento institucional Robo / Hurto (físico) Personal técnico Fraude / Estafa Administración Extorsión Dirección / Coordinación Daños por vandalismo x Sabotaje (ataque físico y electrónico) x Orden de secuestro / Detención Junta Directiva Persecución (civil. indispensable para funcionamiento institucional x Magnitud de Daño: [1 = Insignificante 2 = Bajo 3 = Mediano 4 = Alto] Page 3 Ausencia de documentación Sucesos de origen físico Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos) Falta de mecanismos de verificación de normas y reglas / Análisis inadecuado de datos de control Actos originados por la criminalidad común y motivación política Acceso electrónico no autorizado a sistemas internos Clasificación Acceso electrónico no autorizado a sistemas externos 311271386. etc Sobrepasar autoridades Falta de definición de perfil. capacitación y sensibilización sobre riesgos Mal manejo de sistemas y herramientas Utilización de programas no autorizados / software 'pirateado' Falta de pruebas de software nuevo con datos productivos Perdida de datos Infección de sistemas a través de unidades portables sin escaneo Manejo inadecuado de datos críticos (codificar.Robo / Hurto de información electrónica Intrusión a Red interna Infiltración Virus / Ejecución no autorizado de programas Violación a derechos de autor Incendio Inundación / deslave Sismo Polvo Falta de ventilación Electromagnetismo Sobrecarga eléctrica Falla de corriente (apagones) Falla de sistema / Daño disco duro Falta de inducción. 2 = Baja. compartidas. 3= Mediana. legal) Imagen pública de alto perfil. etc. BD centralizada) Transmisión de contraseñas por teléfono Exposición o extravío de equipo. no cambiar. 4 = Alta] 3_Personal Sucesos derivados de la impericia. borrar. penal) Perfil medio.

9 11.xls Analisis_Promedio Análisis de Riesgo promedio Probabilidad de Amenaza Datos e Información Magnitud de Daño Sistemas e Infraestructura Personal Criminalidad y Político Sucesos de origen físico Negligencia y Institucional 0.8 6.311271386.5 9.4 7.0 0.0 5.9 10.0 Página 4 .0 8.

375 2.9166666667 2.375 2.9545454545 3.9166666667 2.xls Etiqueta Criminalidad y Político / Datos e Información Criminalidad y Político / Sistemas e Infraestructura Criminalidad y Político / Personal Sucesos de origen físico / Datos e Información Sucesos de origen físico / Sistemas e Infraestructura Sucesos de origen físico / Personal Negligencia y Institucional / Datos e Información Negligencia y Institucional / Sistemas e Infraestructura X #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0! #DIV/0! 3.Analisis_Factores 311271386.9545454545 3.25 3.25 3.375 2.9545454545 3.25 Y 2.9166666667 Magnitud de Daño Análisis de Factores de Riesgo Criminalidad y Político / Datos e Información Criminalidad y Político / Sistemas e Infraestructura Criminalidad y Político / Personal Sucesos de origen físico / Datos e Información Sucesos de origen físico / Sistemas e Infraestructura Sucesos de origen físico / Personal Negligencia y Institucional / Datos e Información Negligencia y Institucional / Sistemas e Infraestructura Negligencia y Institucional / Personal Umbral Medio Riesgo Umbral Alto Riesgo Probalidad de Amenaza Página 5 Negligencia y Institucional / Personal .

9 2.Fuente Valoración Escala Ninguna Baja Mediana Alta 1 2 3 4 Valor_min Valor_max 1 4 8 12 3 6 9 16 Page 6 Lineas x 1.3 2.3 2.5 3.7 4.7 3.2 3.0 1.4 1.0 2.0 1.9 1.3 1.8 3.2 2.8 2.4 3.0 2.6 1.8 2.1 1.6 2.0 Umbral Medio Riesgo 7 y 7.8 1.1 2.5 3.4 5.9 3.1 3.9 4.7 3.1 2.7 2.0 6.0 4.3 2.2 2.1 2.5 2.2 3.5 2.0 3.3 3.8 1.8 1.4 5.9 1.6 2.3 3.4 4.6 3.9 3.2 1.5 1.8 1.8 .9 2.4 2.8 5.4 2.0 3.7 2.

8 8.9 3.5 9.6 6.0 6.3 3.8 5.5 3.2 4.5 8.2 3.0 5.5 7.6 3.4 3.0 2.7 2.6 4.4 4.1 3.1 7.5 5.8 3.0 3.Fuente Umbral Alto Riesgo 10.3 5.5 y 10.9 2.8 2.6 Page 7 .8 4.0 4.8 2.