RR.
HH
Finanzas
Respaldos
Chat interno
[Link].ms_office
Chat externo
Correo electrnico
Servicios bancarios
Pgina Web externa
Datos e Informacin
Informtica (Planes, Documentacin, etc.)
Datos e informacin no institucionales
Directorio de Contactos
Navegacin en Internet
Bases de datos internos
Infraestructura (Planes, Documentacin, etc.)
Bases de datos externos
Productos institucionales (Investigaciones, Folletos, Fotos, etc.)
Bases de datos colaborativos
Documentos institucionales (Proyectos, Planes, Evaluaciones, Informes, etc.)
Llamadas telefnicas internas
Base de datos de Contraseas
Llamadas telefnicas externas Confidencial, Privado, Sensitivo Obligacin por ley / Contrato / Convenio Costo de recuperacin (tiempo, econmico, material, imagen, emocional) Magnitud de Dao: [1 = Insignificante 2 = Bajo 3 = Mediano 4 = Alto] Clasificacin Allanamiento (ilegal, legal) Persecucin (civil, fiscal, penal) Orden de secuestro / Detencin Sabotaje (ataque fsico y electrnico) Daos por vandalismo Extorsin Fraude / Estafa Robo / Hurto (fsico) Robo / Hurto de informacin electrnica Intrusin a Red interna Actos originados por la criminalidad comn y motivacin poltica Infiltracin Virus / Ejecucin no autorizado de programas Violacin a derechos de autor Incendio Inundacin / deslave Sucesos de origen fsico Sismo Polvo Falta de ventilacin Electromagnetismo
Pgina Web interna (Intranet)
Matriz de Anlisis de Riesgo
Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
1_Datos
Page 1
Sobrecarga elctrica
Falla de corriente (apagones)
Falla de sistema / Dao disco duro Falta de induccin, capacitacin y sensibilizacin sobre riesgos Mal manejo de sistemas y herramientas Utilizacin de programas no autorizados / software 'pirateado' Falta de pruebas de software nuevo con datos productivos Perdida de datos Infeccin de sistemas a travs de unidades portables sin escaneo Manejo inadecuado de datos crticos (codificar, borrar, etc.) Unidades portables con informacin sin cifrado Transmisin no cifrada de datos crticos Manejo inadecuado de contraseas (inseguras, no cambiar, compartidas, BD centralizada) Compartir contraseas o permisos a terceros no autorizados Transmisin de contraseas por telfono Exposicin o extravo de equipo, unidades de almacenamiento, etc Sobrepasar autoridades Falta de definicin de perfil, privilegios y restricciones del personal Falta de mantenimiento fsico (proceso, repuestos e insumos) Falta de actualizacin de software (proceso y recursos) Fallas en permisos de usuarios (acceso a archivos) Acceso electrnico no autorizado a sistemas externos Acceso electrnico no autorizado a sistemas internos Red cableada expuesta para el acceso no autorizado Red inalmbrica expuesta al acceso no autorizado Dependencia a servicio tcnico externo Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos) Falta de mecanismos de verificacin de normas y reglas / Anlisis inadecuado de datos de Ausencia de documentacin Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales
�Celulares
Porttiles
[Link].ms_office
Vehculos Acceso exclusivo Clasificacin Acceso ilimitado Costo de recuperacin (tiempo, econmico, material, imagen, emocional) Magnitud de Dao: [1 = Insignificante 2 = Bajo 3 = Mediano 4 = Alto] Actos originados por la criminalidad comn y motivacin poltica 0 Allanamiento (ilegal, legal) 0 Persecucin (civil, fiscal, penal) 0 Orden de secuestro / Detencin 0 Sabotaje (ataque fsico y electrnico) 0 Daos por vandalismo 0 Extorsin 0 Fraude / Estafa 0 Robo / Hurto (fsico) 0 Robo / Hurto de informacin electrnica 0 Intrusin a Red interna 0 Infiltracin 0 Virus / Ejecucin no autorizado de programas 0 Violacin a derechos de autor Sucesos de origen fsico 0 Incendio 0 Inundacin / deslave 0 Sismo 0 Polvo 0 Falta de ventilacin 0 Electromagnetismo
Servidores
Cortafuego
Impresoras
Computadoras
Memorias porttiles
Programas de manejo de proyectos
PBX (Sistema de telefona convencional)
Equipos de la red cableada (router, switch, etc.)
Sistemas e Infraestructura
Programas de comunicacin (correo electrnico, chat, llamadas telefnicas, etc.)
Programas de produccin de datos
Edificio (Oficinas, Recepcin, Sala de espera, Sala de reunin, Bodega, etc.)
Programas de administracin (contabilidad, manejo de personal, etc.)
Equipos de la red inalmbrica (router, punto de acceso, etc.)
Matriz de Anlisis de Riesgo
Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
2_Sistemas
Page 2
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
Sobrecarga elctrica
Falla de corriente (apagones)
Falla de sistema / Dao disco duro Falta de induccin, capacitacin y sensibilizacin sobre riesgos Mal manejo de sistemas y herramientas Utilizacin de programas no autorizados / software 'pirateado' Falta de pruebas de software nuevo con datos productivos Perdida de datos Infeccin de sistemas a travs de unidades portables sin escaneo Manejo inadecuado de datos crticos (codificar, borrar, etc.) Unidades portables con informacin sin cifrado Transmisin no cifrada de datos crticos Manejo inadecuado de contraseas (inseguras, no cambiar, compartidas, BD centralizada) Compartir contraseas o permisos a terceros no autorizados Transmisin de contraseas por telfono Exposicin o extravo de equipo, unidades de almacenamiento, etc Sobrepasar autoridades Falta de definicin de perfil, privilegios y restricciones del personal Falta de mantenimiento fsico (proceso, repuestos e insumos) Falta de actualizacin de software (proceso y recursos) Fallas en permisos de usuarios (acceso a archivos) Acceso electrnico no autorizado a sistemas externos Acceso electrnico no autorizado a sistemas internos Red cableada expuesta para el acceso no autorizado Red inalmbrica expuesta al acceso no autorizado Dependencia a servicio tcnico externo Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos) Falta de mecanismos de verificacin de normas y reglas / Anlisis inadecuado de datos de Ausencia de documentacin Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales
�Personal
Recepcin
Junta Directiva
Administracin
Personal tcnico
[Link].ms_office
Piloto / conductor
Soporte tcnico externo
Direccin / Coordinacin
Servicio de mensajera de externo Imagen pblica de alto perfil, indispensable para funcionamiento institucional Perfil medio, experto en su rea Perfil bajo, no indispensable para funcionamiento institucional Magnitud de Dao: [1 = Insignificante 2 = Bajo 3 = Mediano 4 = Alto] Clasificacin Actos originados por la criminalidad comn y motivacin poltica 0 Allanamiento (ilegal, legal) 0 Persecucin (civil, fiscal, penal) 0 Orden de secuestro / Detencin 0 Sabotaje (ataque fsico y electrnico) 0 Daos por vandalismo 0 Extorsin 0 Fraude / Estafa 0 Robo / Hurto (fsico) 0 Robo / Hurto de informacin electrnica 0 Intrusin a Red interna 0 Infiltracin 0 Virus / Ejecucin no autorizado de programas 0 Violacin a derechos de autor Sucesos de origen fsico 0 Incendio 0 Inundacin / deslave 0 Sismo 0 Polvo 0 Falta de ventilacin 0 Electromagnetismo
Servicio de mensajera de propio
Servicio de limpieza externo
Servicio de limpieza de planta
Informtica / Soporte tcnico interno
Matriz de Anlisis de Riesgo
Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
3_Personal
Page 3
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
Sobrecarga elctrica
Falla de corriente (apagones)
Falla de sistema / Dao disco duro Falta de induccin, capacitacin y sensibilizacin sobre riesgos Mal manejo de sistemas y herramientas Utilizacin de programas no autorizados / software 'pirateado' Falta de pruebas de software nuevo con datos productivos Perdida de datos Infeccin de sistemas a travs de unidades portables sin escaneo Manejo inadecuado de datos crticos (codificar, borrar, etc.) Unidades portables con informacin sin cifrado Transmisin no cifrada de datos crticos Manejo inadecuado de contraseas (inseguras, no cambiar, compartidas, BD centralizada) Compartir contraseas o permisos a terceros no autorizados Transmisin de contraseas por telfono Exposicin o extravo de equipo, unidades de almacenamiento, etc Sobrepasar autoridades Falta de definicin de perfil, privilegios y restricciones del personal Falta de mantenimiento fsico (proceso, repuestos e insumos) Falta de actualizacin de software (proceso y recursos) Fallas en permisos de usuarios (acceso a archivos) Acceso electrnico no autorizado a sistemas externos Acceso electrnico no autorizado a sistemas internos Red cableada expuesta para el acceso no autorizado Red inalmbrica expuesta al acceso no autorizado Dependencia a servicio tcnico externo Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos) Falta de mecanismos de verificacin de normas y reglas / Anlisis inadecuado de datos de Ausencia de documentacin Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales
�[Link].ms_office
Analisis_Promedio
Anlisis de Riesgo promedio
Probabilidad de Amenaza Criminalidad y Poltico Datos e Informacin Magnitud de Dao Sistemas e Infraestructura Personal
0.0
Sucesos de origen fsico
0.0
Negligencia y Institucional
0.0
0.0
0.0
0.0
0.0
0.0
0.0
Pgina 4
�[Link].ms_office
Analisis_Factores
Etiqueta X Y
Criminalidad y Poltico / Datos e Informacin #DIV/0! #DIV/0!
Criminalidad y Poltico / Sistemas e Infraestructura #DIV/0! #DIV/0!
Criminalidad y Poltico / Personal #DIV/0! #DIV/0!
Sucesos de origen fsico / Datos e Informacin #DIV/0! #DIV/0!
Sucesos de origen fsico / Sistemas e Infraestructura #DIV/0! #DIV/0!
Sucesos de origen fsico / Personal #DIV/0! #DIV/0!
Negligencia y Institucional / Datos e Informacin #DIV/0! #DIV/0!
Negligencia y Institucional / Sistemas e Infraestructura #DIV/0! #DIV/0!
Negligencia y Institucional / Personal #DIV/0! #DIV/0!
Anlisis de Factores de Riesgo
Criminalidad y Poltico / Datos e Informacin Criminalidad y Poltico / Sistemas e Infraestructura Criminalidad y Poltico / Personal
Magnitud de Dao
Sucesos de origen fsico / Datos e Informacin Sucesos de origen fsico / Sistemas e Infraestructura
Sucesos de origen fsico / Personal
Negligencia y Institucional / Datos e Informacin Negligencia y Institucional / Sistemas e Infraestructura Negligencia y Institucional / Personal Umbral Medio Riesgo Umbral Alto Riesgo
Probalidad de Amenaza
Pgina 5
�Fuente Valoracin Ninguna Baja Mediana Alta Escala 1 2 3 4 Valor_min Valor_max 1 4 8 12 3 6 9 16 Lineas Umbral Medio Riesgo 7 y 7.0 6.4 5.8 5.4 5.0 4.7 4.4 4.0 3.9 3.7 3.5 3.3 3.2 3.0 2.9 2.8 2.7 2.6 2.5 2.4 2.3 2.3 2.2 2.1 2.1 2.0 1.9 1.9 1.8 1.8 1.8
x 1.0 1.1 1.2 1.3 1.4 1.5 1.6 1.8 1.8 1.9 2.0 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 3.0 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 4.0
Page 6
�Fuente Umbral Alto Riesgo 10.5 y 10.5 9.5 8.8 8.1 7.5 7.0 6.6 6.0 5.8 5.5 5.3 5.0 4.8 4.6 4.4 4.2 4.0 3.9 3.8 3.6 3.5 3.4 3.3 3.2 3.1 3.0 2.9 2.8 2.8 2.7 2.6
Page 7
