Matriz de Riesgos

PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico
PROBABILIDAD IMPACTO
RIESGOS/VALORACION A M B L M C
Hardware
R1 Al no tener soporte y mantenimientos X X
preventivos con el fabricante de hardware
pueden presentarse problemas con los
equipos que generen perdida de información.
R2 Daño permanente del hardware, perdida de X X
información
R3 modificación/eliminación información X X
Redes
R4 El Router que tiene el proveedor ISP está al X
alcance para su manipulación.
R5 Hay problemas con la disponibilidad del internet X X
en ocasiones
R6 El riesgo que existe es que los equipos no cuentan X X
con una red regulada que proteja a los equipos y
puede generar afectación.
R7 No se tiene implementado esquemas de filtrado de X X
navegación.
R8 Existen fallas en la seguridad y en la comunicación X X
en red por la inadecuada configuración de los
dispositivos de la red.
R9 Filtración de software dañino X X
Seguridad física
R10 Se encuentra que en la sede no hay un control de X X
acceso efectivo en la puerta de ingreso a la sede,
existen cámaras, pero no enfocan la puerta.
R11 Perdida del equipo sin poder recuperar la X X
información almacenada en el
Infraestructura
R12 En la sala de informática no existe actualmente X X
refrigeración para los equipos de cómputo
R13 Se detectó que la señal de los operadores móviles X X
no funciona en la sede por la estructura física.
R14 Ingreso de personal no autorizado ha provocado X
una mal configuración del sistema de red
R15 Utilización y manejo de máquinas con alto X X
potencial de generar un accidente severo lo cual
altere el normal funcionamiento de la IPS.
 Seguridad lógica
R16 Al no tener implementado filtro de seguridad en la X X
red se evidencia que los equipos Windows se
afectan y se tenga que formatear los equipos para
que funcionen correctamente.
R17 No se tiene licenciamiento con Microsoft para los X X
equipos Windows los equipos se instalan con la
licencia que traen cuando los compraron.
R18 Perdida de información, ataques informáticos. X x

R19 La ofimática que se tiene instalado en los equipos X X

de sistema operativo Windows no se cuenta con
licencia.

R20 Se puede obtener información de correos X X

personales o de información sensible de la
organización
R21 Falta de un parche o de compra de la licencia del X X
Windows.
R22 Secuestro de información y perdida de X X
información
R23 Modificación o pérdida de la información X X
registrada en base
de datos o equipos de la IPS.
R24 Por falta de esta licencia los equipos de cómputo X X
correr riesgo de perder información a la hora de
ser atacado por algún virus y esta perder la
funcionalidad del computador.
R25 ingreso de información alterada
Documentación
R26 La información sensible de la compañía se X X
encuentra respaldada pero no se tiene definida
una política clara para su almacenamiento y
destrucción.
R27 No se cuenta con procedimientos documentados X X
para manejo de información
Personal del área
R28 Actualmente el personal administrativo no cuenta X X
con la capacitación básica para la manipulación de
los sistemas de información.
R29 Puede ingresar personal no autorizado X X
R30 Personas no autorizadas pueden llegar robarse la X X
herramienta de trabajo
Tabla 2 Matriz de Clasificación de riesgo

Impacto LEVE MODERADO CATASTROFICO

Probabilidad
ALTO R24,R27,R30 R2, R16, R17 R22,R23
MEDIO R4,R5,R6,R7,R8 R18,R20,R21 R1,R25,R26
BAJO R12,R13,R14,R15,28 R3,R11,.R29 R9,R10,

ID. Riesgo Descripción Riesgo Tratamiento Riesgo

Commented [AFGJ1]: TIPO DE TRATAMIENTO PUEDE

SER: CONTROLADO
ACEPTARLO O TRANFERILO

RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES

ENCONTRADOS CONTROL

Commented [AFGJ2]: CORRECTIVO, PREVENTIVO,

DETECTIVO