Вы находитесь на странице: 1из 17

Sensibilidad →

Impacto →

Vulnerabilidades →

Amenazas →
Análisis de Riesgos y Amenazas de Seguridad de la Información

No. Proceso Valor Descripción Valor Valor Descripción Valor Descripción


Severidad Menor: Se requiere una cantidad

Probabilidad de ocurrencia
La brecha puede resultar en poca o significativa de recursos para explotar la
Gestión de la
1 nula pérdida o daño. 1 vulnerabilidad y tiene poco potencial de 1 Poca o nula capacidad de realizar el ataque. 1 Baja, no hay historial y es raro que la amenazas ocurra.

1 documentación pérdida o daño en el activo.


Severidad Moderada: Se requiere una
cantidad significativa de recursos para

Capacidad
Severidad
explotar la vulnerabilidad y tiene un potencial
La brecha puede resultar en una Capacidad moderada. Se tiene el conocimiento y habilidades para realizar el ataque, pero pocos recursos. O, tiene
Admon. Portal de
2 pérdida o daño menor. 2 significativo de pérdida o daño en el activo; o 2 suficientes recursos, pero conocimiento y habilidades limitadas. 2 Media, se han presentado casos y puede ocurrrir la amenaza.
se requieren pocos recursos para explotar la
2 terceros vulnerabilidad y tiene un potencial moderado
de pérdida o daño en el activo.
La brecha puede resultar en una Severidad Alta: Se requieren pocos recursos
identificación y carge pérdida o daño serio, y los procesos para explotar la vulnerabilidad y tiene un Alta, se han presentado suficientes casos y la amenaza seguramente
de documentos en
3 del negocio pueden verse afectados 3 potencial significativo de pérdida o daño en el 3 Altamente capaz. Se tienen los conocimientos, habilidades y recursos necesarios para realizar un ataque. 3 ocurrirá.
3 Sistema interno negativamente. activo.

La brecha puede resultar en una Exposición Menor: Los efectos de la


pérdida o daño serio, y los procesos vulnerabilidad son mínimos. No incrementa la
4 del negocio pueden fallar o 1 probabilidad de que vulnerabilidades 1 Poca o nula motivación. No se está inclinado a actuar.
interrumpirse. adicionales sean explotadas.

Exposición

Motivación
Exposición Moderada: La vulnerabilidad
La brecha puede resultar en altas puede afectar a más de un elemento o
5 pérdidas. Los procesos del negocio 2 componente del sistema. La explotación de la 2 Nivel moderado de motivación. Se actuará si se le pide o provoca.
fallarán. vulnerabilidad aumenta la probabilidad de
explotar vulnerabilidades adicionales.
Exposición Alta: La vulnerabilidad afecta a
la mayoría de los componentes del sistema.
3 La explotación de la vulnerabilidad aumenta 3 Altamente motivado. Casi seguro que intentará el ataque.
significativamente la probabilidad de explotar
vulnerabilidades adicionales. Riesgo Total = Amenaza x Vulnerabilidad x Probabilidad x Impacto
<---Click en '+' para mostrar descripciones, '-' para ocultar <---Click en '+' para mostrar métricas, '-' para ocultar <---Click en '+' para mostrar métricas, '-' para ocultar <---Click en '+' para mostrar métricas, '-' para ocultar

` Sensibilidad de los activos Análisis de vulnerabilidades Análisis de amenazas Riesgo = Amenaza x Vulnerabilidad x Probabilidad x Impacto
Proceso Activo Propietario Ubicación Clasificación C I D Total1 Valor1 Valor2 Descripción de impactos al negocio Vulnerabilidad Severidad Exposición Valor3 Agente Evento de amenaza Capacidad Motivación Valor4 Amenaza Vulnerabilidad Probabilidad Impacto Riesgo Total
Empresa:

Tel:

Dirección:

Desarrollado por:
MAPA DE
Identificación del riesgo Calificacion d
Nº DE
RIESGO CAUSAS PROBABILIDAD
RIESGO

Fallas tecnicas por parte del proveedor del


servicio de internet
Mantenimiento centros de cableado

Moderada
Fallas en servicio de internet
Perdida servicio energia

Condiciones climaticas que impidan el buen


servicio de internet

Daño en equipos electronicos que corten alguno


Valor
de estos servicios

imcumplimiento del cronograma de los


mantenimientos programados a estos 4
servicios

0
Actualizacion del motor de bases de

Falta de actualizaciones ofrecidas

Moderada

no comunicar las actulizaciones al dueño del


datos

servicio y sus clientes

no planear las actualizaciones y mantenimientos


Valor
de la base de datos

2
0
No registrar los usuarios en Red para
Falta de comunicación con la oficina de talento

Mala asignacion de roles a los


humano sobre la vinculacion o desvinculacion de
personal
Moderada

usuarios
acceso
no comunicar los roles de acuerdo a la necesidad

Valor

5
0

EFICACIA DEL CONTROL


ALTO 4
MEDIO 3
BAJO 2
INEXISTENTE 1
MAPA DE RIESGOS
Calificacion del riesgo Valoracion del ries
EVALUACIO
N DEL NIVEL DE RIESGO EFICACIA
IMPACTO CONTROLES EXISTENTES
RIESGO INHERENTE CONTROL

Contar con un canal de respaldo


para internet por unmmedio
diferente (Radio, Fibra, par
aislado) al principal
Menor
Implementar sistema de respaldo
de energia (UPS- Planta electrica
con transferencia automatica)

Monitoreo con el operador de


internet y al cumplimientos de los
Valor
masntenimientos estipulados en
el cronograma

Gestion de comunicación
con los dueños del servicio
2 8 y usuarios de la plataforma ALTO
de cualquirer anormalidad
presentada
0 0 ALTO

Verificacion de las actualizaciones


establecidas

Menor
informar al dueño del servicio y
sus usuarios oportunamente los
mantenimientos de la base de
datos

Planear las actuliazacion en un


Valor
cronograma de manera anual

2 4 ALTO
0 0 ALTO
coordinar con la oficina de
talento humano sobre la
vinculacion y desvinculacion de
personal
Menor
creacion o eliminacion de los
usuarios de acuerdo a los
reportes informados por el dueño
del servicio o su oficina de
talento humano

asignar los roles y


responsabilidades de los usuarios
Valor
según las directrices del dueño
del servicio

4 20 ALTO
0 0 ALTO

VALORACION DEL RIESGO


NIVEL DE RIESGO INHERENTE
EXTREMO
ALTO
MODERADO
BAJO

VALORACION DEL RIESGO


NIVEL DE RIESGO RESIDUAL
EXTREMO
ALTO
MODERADO
BAJO
racion del riesgo
ACCIONES

1, Verificar el area de infraestructura


para contar con el canal de backup
para internet y de repaldo de
energia.
2, Verificar que el area de
infraestructura impleente sistemas
automaticazos para el control y
reporte de fallas o anuncion de
mantenimiento .
3, Mantener los canales de
comunicacion activos con los dueños
del servicio y usuarios del sistema,
para informar con anticipacion los
temas de mantenimiento o fallas.

#VALUE!

#VALUE!

1, Asignar responsabilidades sobre el


mionitoreo e implementacion de
actualizaciones
2, Comunicar con anticipacion segun
el cronograma presentado los
mantenimientos y actualizaciones a
las bases de datos

#VALUE!
#VALUE!
1, Gestionar usuarios en la
plataforma de acuerdo a
procedimiento y parametos
establecidos en la vinculacion o
desvinculacion del personal,
ejecutando las acciones de creacion,
eliminacion y asignacionde los roles
según las solicitudes atendidas .

#VALUE!
#VALUE!

SGO

SGO
go
NIVEL DE
RIESGO
RESIDUAL
VALORACION CONTROL
EXCELENTE 5
MEDIO 4
REGULAR 3

BAJO 2

NULO 1
Riesgo Inherente Total
EXTREMO 0 Riesgo residual
ALTO 8

MODERADO 0

BAJO 0
EXTREMO
TOTALES 8
ALTO
MODERADO
Riesgo Residual Total BAJO
EXTREMO 0

ALTO 0

MODERADO #VALUE!

BAJO #VALUE!
TOTALES #VALUE!

Vulnerabilidad Severidad Exposición Valor3


-1
-1
-1
-1
-1
-1
-1
-1

Evento de amenaza Capacidad Motivación Valor4


-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
-1
Riesgo inherente

EXTREMO EXTREMO
ALTO ALTO
MODERADO MODERADO
BAJO BAJO

Vulnerabilidades
0

-0.2

-0.4

-0.6

-0.8

-1

-1.2
Severi da d Expos i ci ón Val or3

Eventos de amenazas
0

-0.2

-0.4

-0.6

-0.8

-1

-1.2
Capaci dad Motiva ci ón Val or4
-1

-1.2
Capaci dad Motiva ci ón Val or4