218440708.

xls COMPAA REFRESQUERA MATRIZ DE ANALISIS DE RIESGO

1_Datos

Matriz de Anlisis de Riesgo

$lasificaci#n -bligaci#n %or le' , $ontrato , $on(enio

Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, Actos originados %or la criminalidad com&n ' moti(aci#n %ol)tica

= Alta! *+cesos de origen f)sico 3alla de sistema , "a0o disco d+ro 5ir+s , 1jec+ci#n no a+torizado de %rogramas *+cesos deri(ados de la im%ericia, negligencia de +s+arios,as ' decisiones instit+cionales 3alta de %r+ebas de soft?are n+e(o con datos %rod+cti(os Red inalmbrica e2%+esta al acceso no a+torizado 3alta de normas ' reglas claras .no instit+cionalizar el est+dio de los riesgos/ 3alta de mecanismos de (erificaci#n de normas ' reglas , Anlisis inadec+ado de datos de control 1 3 2 6 3 6 3 6 4 8 3 6 4 8 3 6 4 8 2 4 2 4 3 6 4 8 4 8 3 6 4 8 4 8 4 8 2 4 2 4 2 4 3 6 3 6 Manejo inadec+ado de contrase0as .inseg+ras, no cambiar, com%artidas, B" centralizada/ Acceso electr#nico no a+torizado a sistemas e2ternos Acceso electr#nico no a+torizado a sistemas internos >tilizaci#n de %rogramas no a+torizados , soft?are @%irateado@ $om%artir contrase0as o %ermisos a terceros no a+torizados 3alta de act+alizaci#n de soft?are .%roceso ' rec+rsos/ 3alta de ind+cci#n, ca%acitaci#n ' sensibilizaci#n sobre riesgos Infecci#n de sistemas a tra(7s de +nidades %ortables sin escaneo 12%osici#n o e2tra()o de e=+i%o, +nidades de almacenamiento, etc

Aransmisi#n no cifrada de datos cr)ticos

Aransmisi#n de contrase0as %or tel7fono

-rden de sec+estro , "etenci#n

Persec+ci#n .ci(il, fiscal, %enal/

3alta de mantenimiento f)sico .%roceso, re%+estos e ins+mos/

Manejo inadec+ado de datos cr)ticos .codificar, borrar, etc8/

"e%endencia a ser(icio t7cnico e2terno

3allas en %ermisos de +s+arios .acceso a arc6i(os/

Red cableada e2%+esta %ara el acceso no a+torizado

5iolaci#n a derec6os de a+tor

3alla de corriente .a%agones/

3alta de definici#n de %erfil, %ri(ilegios ' restricciones del %ersonal

Robo , 4+rto de informaci#n electr#nica

$onfidencial, Pri(ado, *ensiti(o

$osto de rec+%eraci#n .tiem%o, econ#mico, material, imagen, emocional/

"a0os %or (andalismo

In+ndaci#n , desla(e

Robo , 4+rto .f)sico/

2 3 6

2 6

2 6

3 9

2 6

2 6

3 9

2 6

3 9

3 9

4 12

4 12

2 6

2 6

1 3

2 6

3 9

3 9

3 9

3 9

2 6

3 9

2 6

3 9

3 9

2 6

Perdida de datos

"atos e Informaci#n

*obrecarga el7ctrica

3alta de (entilaci#n

1lectromagnetismo

3ra+de , 1stafa

Magnit+d de "a0o< [1 = Insignificante 2 = Bajo 3 = Mediano = Alto!

4 12

4 12

4 12

4 12

3 9

4 12

3 9

2 6

3 9

3 9

4 12

3 9

3 9

3 9

2 6

3 9

1 3

3 9

2 6

"oc+mentos instit+cionales .Pro'ectos, Planes, 1(al+aciones, Informes, etc8/ 3inanzas

12

12

12

12

12

12

12

12

*er(icios bancarios

12

12

12

12

12

12

12

12

RR844

12

12

12

12

16

16

12

12

12

12

12

12

12

16

16

16

16

12

16

12

12

12

16

12

12

12

12

12

"irectorio de $ontactos Prod+ctos instit+cionales .In(estigaciones, 3olletos, 3otos, etc8/ $orreo electr#nico

12

12

12

12

12

12

12

12

12

12

12

12

16

16

12

12

12

12

12

12

12

16

16

16

16

12

16

12

12

12

16

12

12

12

12

12

12

12

12

12

12

12

12

12

Bases de datos internos

12

12

12

12

16

16

12

12

12

12

12

12

12

16

16

16

16

12

16

12

12

12

16

12

12

12

12

12

Bases de datos e2ternos

Bases de datos colaborati(os

Pgina 9eb interna .Intranet/

12

12

12

12

12

12

12

12

Pgina 9eb e2terna

12

12

12

12

16

16

12

12

12

12

12

12

12

16

16

16

16

12

16

12

12

12

16

12

12

12

12

12

Res%aldos Infraestr+ct+ra .Planes, "oc+mentaci#n, etc8/ Informtica .Planes, "oc+mentaci#n, etc8/ Base de datos de $ontrase0as "atos e informaci#n no instit+cionales :a(egaci#n en Internet

12

12

12

12

16

16

12

12

12

12

12

12

12

16

16

16

16

12

16

12

12

12

16

12

12

12

12

12

12

12

12

12

12

12

12

12

12

12

12

12

16

16

12

12

12

12

12

12

12

16

16

16

16

12

16

12

12

12

16

12

12

12

12

12

12

12

12

12

16

16

12

12

12

12

12

12

12

16

16

16

16

12

16

12

12

12

16

12

12

12

12

12

12

12

12

12

16

16

12

12

12

12

12

12

12

16

16

16

16

12

16

12

12

12

16

12

12

12

12

12

$6at interno

$6at e2terno

;lamadas telef#nicas internas

12

12

12

12

12

12

12

12

;lamadas telef#nicas e2ternas

12

12

12

12

12

12

12

12

Page 1

A+sencia de doc+mentaci#n 2 6 6 6 8 6 8 6 8 4 4 6 8 8 6 8 8 8 4 4 4 6 6

Allanamiento .ilegal, legal/

Mal manejo de sistemas ' 6erramientas

*abotaje .ata=+e f)sico ' electr#nico/

*obre%asar a+toridades

>nidades %ortables con informaci#n sin cifrado

Intr+si#n a Red interna

Infiltraci#n

12torsi#n

Incendio

*ismo

Pol(o

218440708.xls

2_Sistemas Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, Actos originados %or la criminalidad com&n ' moti(aci#n %ol)tica 5ir+s , 1jec+ci#n no a+torizado de %rogramas = Alta! *+cesos de origen f)sico 3alla de sistema , "a0o disco d+ro *+cesos deri(ados de la im%ericia, negligencia de +s+arios,as ' decisiones instit+cionales 3alta de %r+ebas de soft?are n+e(o con datos %rod+cti(os Red inalmbrica e2%+esta al acceso no a+torizado 3alta de normas ' reglas claras .no instit+cionalizar el est+dio de los riesgos/ 3alta de mecanismos de (erificaci#n de normas ' reglas , Anlisis inadec+ado de datos de control 1 3 2 6 4 8 4 8 4 8 2 4 2 4 3 6 3 6 3 6 4 8 2 4 4 8 4 8 2 4 2 4 2 4 Manejo inadec+ado de contrase0as .inseg+ras, no cambiar, com%artidas, B" centralizada/ Acceso electr#nico no a+torizado a sistemas e2ternos Acceso electr#nico no a+torizado a sistemas internos >tilizaci#n de %rogramas no a+torizados , soft?are @%irateado@ $om%artir contrase0as o %ermisos a terceros no a+torizados 3alta de act+alizaci#n de soft?are .%roceso ' rec+rsos/ 3alta de ind+cci#n, ca%acitaci#n ' sensibilizaci#n sobre riesgos Infecci#n de sistemas a tra(7s de +nidades %ortables sin escaneo 12%osici#n o e2tra()o de e=+i%o, +nidades de almacenamiento, etc

Matriz de Anlisis de Riesgo

$lasificaci#n

Aransmisi#n no cifrada de datos cr)ticos

Aransmisi#n de contrase0as %or tel7fono

-rden de sec+estro , "etenci#n

Persec+ci#n .ci(il, fiscal, %enal/

3alta de mantenimiento f)sico .%roceso, re%+estos e ins+mos/

Manejo inadec+ado de datos cr)ticos .codificar, borrar, etc8/

"e%endencia a ser(icio t7cnico e2terno

3allas en %ermisos de +s+arios .acceso a arc6i(os/

Red cableada e2%+esta %ara el acceso no a+torizado

5iolaci#n a derec6os de a+tor

3alla de corriente .a%agones/

3alta de definici#n de %erfil, %ri(ilegios ' restricciones del %ersonal

Robo , 4+rto de informaci#n electr#nica

$osto de rec+%eraci#n .tiem%o, econ#mico, material, imagen, emocional/

"a0os %or (andalismo

In+ndaci#n , desla(e

Robo , 4+rto .f)sico/

Acceso e2cl+si(o

Acceso ilimitado

2 3 6

2 6

2 6

3 9

2 6

2 6

3 9

2 6

3 9

3 9

4 12

4 12

2 6

2 6

1 3

2 6

3 9

3 9

3 9

3 9

2 6

3 9

2 6

3 9

3 9

2 6

Perdida de datos

*istemas e Infraestr+ct+ra

*obrecarga el7ctrica

3alta de (entilaci#n

1lectromagnetismo

3ra+de , 1stafa

Magnit+d de "a0o< [1 = Insignificante 2 = Bajo 3 = Mediano = Alto!

4 12

4 12

4 12

4 12

3 9

4 12

3 9

2 6

3 9

3 9

4 12

3 9

3 9

3 9

2 6

3 9

1 3

3 9

2 6

1=+i%os de la red cableada .ro+ter, s?itc6, etc8/ 1=+i%os de la red inalmbrica .ro+ter, %+nto de acceso, etc8/ $ortaf+ego

12

12

12

12

16

16

12

12

12

12

12

12

12

16

16

16

16

12

16

12

12

12

16

12

12

12

12

12

12

12

12

12

16

16

12

12

12

12

12

12

12

16

16

16

16

12

16

12

12

12

16

12

12

12

12

12

*er(idores

12

12

12

12

16

16

12

12

12

12

12

12

12

16

16

16

16

12

16

12

12

12

16

12

12

12

12

12

$om%+tadoras

Porttiles Programas de administraci#n .contabilidad, manejo de %ersonal, etc8/ Programas de manejo de %ro'ectos Programas de %rod+cci#n de datos Programas de com+nicaci#n .correo electr#nico, c6at, llamadas telef#nicas, etc8/ Im%resoras

12

12

12

12

12

12

12

12

12

12

12

12

12

12

12

12

12

12

12

12

12

12

12

12

12

12

12

12

16

16

12

12

12

12

12

12

12

16

16

16

16

12

16

12

12

12

16

12

12

12

12

12

Memorias %orttiles PBB .*istema de telefon)a con(encional/ $el+lares 1dificio .-ficinas, Rece%ci#n, *ala de es%era, *ala de re+ni#n, Bodega, etc8/ 5e6)c+los x

12

12

12

12

16

16

12

12

12

12

12

12

12

16

16

16

16

12

16

12

12

12

16

12

12

12

12

12

12

12

12

12

16

16

12

12

12

12

12

12

12

16

16

16

16

12

16

12

12

12

16

12

12

12

12

12

Page 2

A+sencia de doc+mentaci#n 2 6 8 8 8 4 4 6 6 6 8 4 8 8 4 4 4

Allanamiento .ilegal, legal/

Mal manejo de sistemas ' 6erramientas

*abotaje .ata=+e f)sico ' electr#nico/

*obre%asar a+toridades

>nidades %ortables con informaci#n sin cifrado

Intr+si#n a Red interna

Infiltraci#n

12torsi#n

Incendio

*ismo

Pol(o

Personal

Rece%ci#n

Administraci#n

C+nta "irecti(a

218440708.xls

Personal t7cnico

Piloto , cond+ctor

*o%orte t7cnico e2terno

"irecci#n , $oordinaci#n

*er(icio de mensajer)a de e2terno x x Imagen %&blica de alto %erfil, indis%ensable %ara f+ncionamiento instit+cional Perfil medio, e2%erto en s+ rea $lasificaci#n x x x x x x x x x 2 4 4 4 6 4 4 6 4 6 6 8 8 4 4 2 4 6 6 6 4 6 6 8 8 4 4 2 4 6 6 6 6 6 4 6 6 8 8 4 4 2 4 6 6 6 4 4 4 6 4 6 6 8 8 4 4 2 4 6 6 6 4 4 4 4 4 6 4 6 6 8 8 4 4 2 4 6 6 6 6 6 6 6 9 6 6 9 6 9 9 12 12 6 6 3 6 9 9 9 4 4 4 4 6 4 6 4 4 6 4 6 6 8 8 4 4 2 4 6 6 6 4 4 4 4 6 4 4 4 4 4 6 6 4 4 4 4 6 6 4 4 6 6 6 6 8 8 8 8 4 4 4 4 2 2 4 4 6 6 6 6 6 6 4 4 4 4 6 4 4 4 6 6 6 6 6 6 9 9 6 6 6 6 9 9 6 6 9 9 9 9 12 12 12 12 6 6 6 6 3 3 6 6 9 9 9 9 9 9 2 2 2 2 3 2 2 2 3 3 4 8 2 8 2 8 2 3 12 8 2 8 2 3 12 8 2 3 12 3 12 4 16 4 16 8 2 8 2 4 1 8 2 *ismo 3 12 Pol(o 3 12 3 12 x x x x x Perfil bajo, no indis%ensable %ara f+ncionamiento instit+cional Magnit+d de "a0o< [1 = Insignificante 2 = Bajo 3 = Mediano = Alto! Allanamiento .ilegal, legal/ Persec+ci#n .ci(il, fiscal, %enal/ -rden de sec+estro , "etenci#n *abotaje .ata=+e f)sico ' electr#nico/ "a0os %or (andalismo 12torsi#n 3ra+de , 1stafa Robo , 4+rto .f)sico/ Robo , 4+rto de informaci#n electr#nica Intr+si#n a Red interna Actos originados %or la criminalidad com&n ' moti(aci#n %ol)tica Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, = Alta! Infiltraci#n 5ir+s , 1jec+ci#n no a+torizado de %rogramas 5iolaci#n a derec6os de a+tor Incendio *+cesos de origen f)sico In+ndaci#n , desla(e 3alta de (entilaci#n 1lectromagnetismo

*er(icio de mensajer)a de %ro%io

*er(icio de lim%ieza e2terno

*er(icio de lim%ieza de %lanta

Informtica , *o%orte t7cnico interno

Matriz de Anlisis de Riesgo

3_Personal

Page 3

12

6 4 6 4 6 6 4 8 8 8 8 6 8 6 4 6 6 8 6 6 6 4 6 2 6 4 2 4 4

6 4 6 4 6 6 4 8 8 8 8 6 8 6 4 6 6 8 6 6 6 4 6 2 6 4 2 4 4

6 4 6 4 6 6 4 8 8 8 8 6 8 6 4 6 6 8 6 6 6 4 6 2 6 4 2 4 4

6 4 6 4 6 6 4 8 8 8 8 6 8 6 4 6 6 8 6 6 6 4 6 2 6 4 2 4 4

6 4 6 4 6 6 4 8 8 8 8 6 8 6 4 6 6 8 6 6 6 4 6 2 6 4 2 4 4

9 6 9 6 9 9 6 12 12 12 12 9 12 9 6 9 9 12 9 9 9 6 9 3 9 6 3 6 6

6 4 6 4 6 6 4 8 8 8 8 6 8 6 4 6 6 8 6 6 6 4 6 2 6 4 2 4 4

6 4 6 4 6 6 4 8 8 8 8 6 8 6 4 6 6 8 6 6 6 4 6 2 6 4 2 4 4

6 4 6 4 6 6 4 8 8 8 8 6 8 6 4 6 6 8 6 6 6 4 6 2 6 4 2 4 4

9 6 9 6 9 9 6 12 12 12 12 9 12 9 6 9 9 12 9 9 9 6 9 3 9 6 3 6 6

9 6 9 6 9 9 6 12 12 12 12 9 12 9 6 9 9 12 9 9 9 6 9 3 9 6 3 6 6

3 8 12 8 12 12 8 16 16 16 16 12 16 12 8 12 12 16 12 12 12 8 12 4 12 8 4 8 8 2 3 2 3 3 2 4 4 4 4 3 4 3 2 3 3 4 3 3 3 2 3 1 3 2 1 2 2

*obrecarga el7ctrica

3alla de corriente .a%agones/

3alla de sistema , "a0o disco d+ro 3alta de ind+cci#n, ca%acitaci#n ' sensibilizaci#n sobre riesgos Mal manejo de sistemas ' 6erramientas >tilizaci#n de %rogramas no a+torizados , soft?are @%irateado@ 3alta de %r+ebas de soft?are n+e(o con datos %rod+cti(os Perdida de datos Infecci#n de sistemas a tra(7s de +nidades %ortables sin escaneo Manejo inadec+ado de datos cr)ticos .codificar, borrar, etc8/ >nidades %ortables con informaci#n sin cifrado Aransmisi#n no cifrada de datos cr)ticos Manejo inadec+ado de contrase0as .inseg+ras, no cambiar, com%artidas, B" centralizada/ $om%artir contrase0as o %ermisos a terceros no a+torizados Aransmisi#n de contrase0as %or tel7fono 12%osici#n o e2tra()o de e=+i%o, +nidades de almacenamiento, etc *obre%asar a+toridades 3alta de definici#n de %erfil, %ri(ilegios ' restricciones del %ersonal 3alta de mantenimiento f)sico .%roceso, re%+estos e ins+mos/ 3alta de act+alizaci#n de soft?are .%roceso ' rec+rsos/ 3allas en %ermisos de +s+arios .acceso a arc6i(os/ Acceso electr#nico no a+torizado a sistemas e2ternos Acceso electr#nico no a+torizado a sistemas internos Red cableada e2%+esta %ara el acceso no a+torizado Red inalmbrica e2%+esta al acceso no a+torizado "e%endencia a ser(icio t7cnico e2terno 3alta de normas ' reglas claras .no instit+cionalizar el est+dio de los riesgos/ 3alta de mecanismos de (erificaci#n de normas ' reglas , Anlisis inadec+ado de datos de control A+sencia de doc+mentaci#n *+cesos deri(ados de la im%ericia, negligencia de +s+arios,as ' decisiones instit+cionales

218440708.xls

Analisis_Promedio

Anlisis de Riesgo %romedio

Probabilidad de Amenaza $riminalidad ' Pol)tico "atos e Informaci#n Magnit+d de "a0o *istemas e Infraestr+ct+ra Personal
8.2

*+cesos de origen f)sico

7.7

:egligencia ' Instit+cional

8.8

7.8

7.3

8.4

6.3

5.9

6.8

Pgina 4

218440708.xls

Analisis_Factores
1ti=+eta B D $riminalidad ' Pol)tico , "atos e Informaci#n 2.6153846154 3.1363636364 $riminalidad ' Pol)tico , *istemas e Infraestr+ct+ra 2.6153846154 3 $riminalidad ' Pol)tico , Personal 2.6153846154 2.4166666667 *+cesos de origen f)sico , "atos e Informaci#n 2.4444444444 3.1363636364 *+cesos de origen f)sico , *istemas e Infraestr+ct+ra 2.4444444444 3 *+cesos de origen f)sico , Personal 2.4444444444 2.4166666667 :egligencia ' Instit+cional , "atos e Informaci#n 2.8076923077 3.1363636364 :egligencia ' Instit+cional , *istemas e Infraestr+ct+ra 2.8076923077 3 :egligencia ' Instit+cional , Personal 2.8076923077 2.4166666667

Anlisis de Factores de Riesgo

Criminalidad %n&ormaci'n

!ol"tico # $atos e

Criminalidad !ol"tico # (istemas e %n&raestr)ct)ra

-agnit)d de $a/o

Criminalidad

!ol"tico # !ersonal

()cesos de origen &"sico # $atos e %n&ormaci'n ()cesos de origen &"sico # (istemas e %n&raestr)ct)ra ()cesos de origen &"sico # !ersonal *egligencia %nstit)cional # $atos e %n&ormaci'n *egligencia %nstit)cional # (istemas e %n&raestr)ct)ra *egligencia %nstit)cional # !ersonal

+m,ral -edio Riesgo +m,ral Alto Riesgo

!ro,alidad de Amena.a

Pgina 5

Fuente 5aloraci#n *ing)na 0a1a -ediana Alta 1scala 1 2 3 4 5alorEmin 5alorEma2 1 4 8 12 3 6 9 16 ;ineas 2 1.0 1.1 1.2 1.3 1.4 1.5 1.6 1.8 1.8 1.9 2.0 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 3.0 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 4.0 >mbral Medio Riesgo F ' 7.0 6.4 5.8 5.4 5.0 4.7 4.4 4.0 3.9 3.7 3.5 3.3 3.2 3.0 2.9 2.8 2.7 2.6 2.5 2.4 2.3 2.3 2.2 2.1 2.1 2.0 1.9 1.9 1.8 1.8 1.8

Page 6

Fuente >mbral Alto Riesgo 1G8H ' 10.5 9.5 8.8 8.1 7.5 7.0 6.6 6.0 5.8 5.5 5.3 5.0 4.8 4.6 4.4 4.2 4.0 3.9 3.8 3.6 3.5 3.4 3.3 3.2 3.1 3.0 2.9 2.8 2.8 2.7 2.6

Page 7