Inventario de

procesos
Macroproceso Proceso
Gestión de TI Gestión de cambios
Gestión de TI Gestión de accesos
Gestión de TI Gestión de operaciones
Gestión de TI Gestión de infraestructura
Listado de amenazas
Tipos de fuentes de amenaza (según NIST)
ID Tipo
1 Ataques cibernéticos o físicos hostiles
2 Errores humanos de omisión o comisión
3 Fallas estructurales de recursos controlados por la organización
(p.e. hardware, software, equipos ambientales)
Desastres naturales y ocasionados por el hombre, accidentes o
4 fallas fuera del control de la organización

Listado de amenazas
Tipo Amenaza (evento de amenaza)

Malware para controlar sistemas de información y exfiltrar datos

1 instalado a través de mecanismos comunes (por ejemplo email).

Malware insertado en software descargable y/o productos de TI

1 comerciales.
Ataque de fuerza bruta para intentar loguearse o adivinar la
1 contraseña.

1 Modificaciones no autorizadas a los sistemas de información.

Ataque de intercepción de comunicaciones no encriptadas o con

1 encriptación pobre.

1 Acceso físico no autorizado a instalaciones de la organización.

Exposición inadvertida de información crítica/sensible por

2 usuarios autorizados
Configuración incorrecta de accesos por parte del administrador
2 de seguridad
3 Caída del sistema por agotamiento de recursos
4 Inundación de las instalaciones principales
Inventario de riesgos
N° Riesgo Elemento

Robo de informacón crítica de la empresa y

R1 divulgación de la misma.

Accesos no autorizados a la información de la

R2 empresa.

R3 Pérdida de credibilidad y confianza de la empresa

R4 Pérdida de dinero por cese de actividades.
Pérdida de la integridad de la información de la
R5 empresa
Activo de información Amenaza

Malware para controlar sistemas de información y

exfiltrar datos instalado a través de mecanismos
comunes (por ejemplo email).

Ataque de fuerza bruta para intentar loguearse o

adivinar la contraseña.
Exposición inadvertida de información
crítica/sensible por usuarios autorizados
Caída del sistema por agotamiento de recursos
Modificaciones no autorizadas a los sistemas de
información.
Vulnerabilidad

Ausencia de un firewall entre los sistemas

de información y los servidores.

Bajo nivel de seguridad de restricciones de

accesos.

Colaboradores poco éticos y capacitados.

Servidores mal administrados.

Bajo nivel de seguridad en los sistemas de
información.
EVALUACIÓN DE RIESGOS

ESCALAS DE MEDICIÓN

Criterios

Probabilidad

Rating Valor Criterio

Ha ocurrido al menos una vez en el último
Muy probable 3 semestre y/o ocurrirá con alto nivel de
certeza el próximo año.
Ha ocurrido en los últimos 2 años y/o es
Probable 2
posible que ocurra el próximo año.
Ha ocurrido hace más de 2 años y/o es
Poco probable 1 prácticamente imposible que ocurra el
próximo año.

Impacto

Rating Valor Impacto financiero

Alto 3

1 millon de soles a más

Medio 2

Entre 200 mil y 1 millon de soles

 Bajo 1

Menor a 200 mil soles

Niveles de riesgo

Matriz Cualitativa de Criticidad de Riesgos

Impacto / Poco probable Probable
Probabilidad (1) (2)
Alto Medio Alto
(3) (3) (6)
Medio Bajo Medio
(2) (2) (4)
Bajo Bajo Bajo
(1) (1) (2)
Operacional/TI Reputacional

Prolongada exposición negativa en

medios / mercado en medios nacionales
y/o globales (apareciendo en titulares de
noticias o noticias de negocios)
resultando en un daño mayor a la
Interrupción catastrófica de operaciones reputación y potencialmente propiciando
de negocio estándares. una investigación regular.

Regular exposición negativa en medios /

mercado en medios nacionales y/o
Interrupción moderada de operaciones regionales resultando en un daño
de negocio estándares. significativo a la reputación.
 Re - trabajo significativo o moderado; Exposición negativa en medios / mercado
actividades diarias normales en medios locales y/o regionales
interrumpidas moderada o resultando en un daño menor a la
significativamente. reputación.

ad de Riesgos
Muy Probable
(3)
Alto
(9)
Alto
(6)
Medio
(3)
Regulatorio

Impacto financiero nacional por

penalidades, observaciones,
recomendaciones, comentarios de
agencias de supervisión regulatorias,
y/o terceras partes. Se requiere la
divulgación a más del 50% de la base
de clientes o a socios de negocios.
Suspensión del negocio.

Impacto financiero regional por

penalidades, observaciones,
recomendaciones, comentarios de
agencias de supervisión regulatorias,
y/o terceras partes. Se requiere la
divulgación a más del 25% y menos o
igual del 50% de la base de clientes o a
socios de negocios. Se requiere la
supervisión de cumplimiento
regulatorio.
No hay penalidades, observaciones,
recomendaciones, comentarios de
agencias de supervisión regulatorias,
y/o terceras partes. No se requiere la
divulgación a la base de clientes o a
socios de negocios.
Evaluación de riesgos
Impacto del ries
Nro. Riesgo Activo de información Financiero
R1 Base de Datos
Robo de informacón crítica de la
empresa y divulgación de la misma. 3-Alto

R2 Accesos no autorizados a la Sistema "SystemGA"

información de la empresa. 1-Bajo

Pérdida de credibilidad y confianza de 3-Alto

R3 la empresa Base de Datos
Pérdida de dinero por cese de 3-Alto
R4 actividades. Procesos de TI
Pérdida de la integridad de la 3-Alto
R5 información de la empresa Sistema "SystemGA"
Impacto del riesgo inherente
IT/Operacional Reputacional Regulatorio Ponderación de impact

2-Medio 3-Alto 3-Alto 2.75

1-Bajo 1-Bajo 2-Medio 1.25

1-Bajo 3-Alto 3-Alto 2.5

3-Alto 1-Bajo 1-Bajo 2

2-Medio 2-Medio 2-Medio 2.25

Impacto del riesgo inheren Probabilidad del riesgo inhere

2-Medio 2-Probable

1-Bajo 1-Poco probable

2-Medio 3-Muy probable

2-Medio 2-Probable

2-Medio 2-Probable
Criticidad del riesgo inh Nivel de riesgo inherente

4 Medio

1 Bajo

6 Alto

4 Medio

4 Medio
Criticidad de procesos
Impacto en los procesos Rating
El riesgo tiene un impacto alto
2
en los objetivos del proceso
El riesgo tiene un impacto medio
1
en los objetivos del negocio
El riesgo no tiene un impacto en
0
los objetivos del negocio

R1

Medio
Macroproceso Proceso
Gestión de TI Gestión de cambios 1
Gestión de TI Gestión de accesos 0
Gestión de TI Gestión de operaciones 1
Gestión de TI Gestión de infraestructura
 El proceso más crítico de la empresa es "GESTIÓN DE

Riesgos

Ponderación por
R2 R3 R4 R5 nivel de riesgo

Bajo Alto Medio Medio Alto

3
0 0 0 0 0
2 1 2 2 1
0 1 0 0 1
1
sa es "GESTIÓN DE ACCESOS"

Ponderación por
nivel de riesgo Ponderación Criticidad del
total proceso

Medio Bajo
2 1
1 0 2
4 2 13 Más Alto
1 0 5
1 0 5