IDENTIFICACIÓN DE RIESGO

Proceso Entrada Actividad Salida Amenaza/ Causa

Análisis de datos, Power BI, Análisis en tiempo real, reportes en

Infraestructura IT Infraestructura IT inteligencia de mercados línea
Fallas de hardware o software

Cluster de máquinas virtuales,

sistemas de información de análisis, Ataques cibernéticos, malwares,
Servidores bases de datos de clientes, minería
Minería de datos Información analizada
desastres naturales
de datos

Despliegue de apps, software Errores de software,

Área de desarrollo de Interacción con clientes en Aplicaciones y servicios
para clientes, servicio cloud vulnerabilidades, falta de
software otros países funcionando
SaaS escalabilidad
 Sistema de Ancho de banda insuficiente,
Reuniones virtuales con Comunicación efectiva,
videoconferencias y enlaces Reuniones exitosas latencia, pérdida de
clientes en el exterior colaboración
asincrónicos paquetes

Infraestructura inadecuada,
Sistema de comunicaciones Telefonía para usuarios Comunicación interna y
Comunicación efectiva falta de soporte para
unificadas (telefonía) remotos externa fluida
usuarios remotos

Falta de seguridad de la
Presencia en 20 países del Atender solicitudes de Análisis de productos, Reportes de análisis y
información bajo estándares
mundo empresas, gobiernos, etc. posicionamiento de marcas posicionamiento
ISO 27001
 FORMATO IDENTIFICACION Y VALORACION DE RIESGOS

ANALISIS DE CALIFICACIÓN

ZONA DE RIESGO
CALIFICACION
FRECUENCIA

ALCANCE
IMPACTO
Consecuencia/
Variable Afectada
Riesgos

ALTO
Pérdida de datos, interrupción de Disponibilidad, confiabilidad y
servicios, impacto en la reputación integridad
1 3 3 2,7

Robo de información, pérdida de

ALTO
Disponibilidad, confiabilidad y
datos, interrupción de servicios,
integridad
2 3 3 2,8
impacto en la reputación

Mal funcionamiento de las

MEDIO
aplicaciones, pérdida de
Confiabilidad 1 2 3 2,1
clientes, impacto en la
reputación
Dificultad para comunicarse
con los clientes, pérdida de
Calidad de la comunicación y

BAJO
oportunidades de negocio, 1 2 2 1,8
disponibilidad
impacto en la imagen de la
empresa

Dificultad para comunicarse con los

BAJO
empleados y clientes, pérdida de
productividad, impacto en la
Disponibilidad 1 2 2 1,8
imagen de la empresa

Pérdida de datos

ALTO
confidenciales, Confiabilidad 2 2 3 2,8
vulnerabilidad a ciberataques
ICACION Y VALORACION DE RIESGOS

ADMINISTRACIÓN DEL RIESGO

VALORACIÓN DEL

VALORACION DEL
RIESGO Vs
CONTROL

CONTROL

RIESGO
DUEÑO DEL RIESGO/
ACCIONES DE CONTROL EVIDENCIA DEL CONTROL
RESPONSABLE

MODERADO
Registros del sistema de monitoreo,
A.11.2.1, A.11.2.3, A.12.2.1 y informes de copias de seguridad, plan de
recuperación de desastres
TI 2 5,2
A.12.3.1
documentado.

Registros del firewall e IDS, informes de

INACEPTABLE
análisis de antivirus y anti-malware,
registros de capacitación en seguridad de
A.7.1.2, A.7.2.2, A.11.1.1,
la información, informes de pruebas de TI 3 8,4
A.11.1.4, A.12.4.1 y A.12.6.1 penetración y evaluaciones de
vulnerabilidades, plan de respuesta a
incidentes documentado.

MODERADO
Registros de pruebas de software,
informes de auditorías de
A.14.2.1, A.14.2.2, A.14.2.3 Desarrollo de software 2 4
seguridad, documentación de
revisiones de código.
 MODERADO
Registros de monitoreo de red,
informes de calidad de servicio
A.13.1.1, A.13.1.3 TI 2 3,6
(QoS), documentación de
optimización de ancho de banda.

Registros de mantenimiento de

ACEPTABLE
infraestructura, informes de
A.12.3.1, A.12.4.1 soporte a usuarios, TI 1 1,8
documentación de políticas de
comunicación.

Certificaciones de cumplimiento

INACEPTABLE
ISO 27001, informes de auditorías
A.18.1.3, A.18.1.4 de seguridad, documentación de Seguridad de la información 3 8,4
políticas de seguridad de la
información.
 ACCIONES QUE SE DEBEN
ADELANTAR EN CASO DE
MATERIALIZACION DEL EVIDENCIA DEL CONTROL RESPONSABLES
RIESGO

Restaurar los datos de las copias de Registros de la restauración de datos,

seguridad. Implementar la solución documentación de la implementación de
de redundancia. Informar a los la solución de redundancia, comunicados
TI
clientes y partes interesadas. a clientes y partes interesadas.

Aislar los sistemas afectados, Registros del aislamiento de los sistemas

contener el ataque, restaurar los afectados, registros de la contención del
datos de las copias de seguridad, ataque, registros de la restauración de TI
informar a las autoridades y datos, comunicados a las autoridades y
clientes. clientes.

Registros de implementación de
Implementar parches y
parches y actualizaciones,
actualizaciones de software,
documentación de revisiones de Desarrollo de software
realizar revisiones de código,
código, comunicados a los
informar a los clientes.
clientes.
 Registros de mejoras de ancho de
Mejorar el ancho de banda,
banda, documentación de
optimizar la red, informar a
optimización de red, TI
los clientes y partes
comunicados a clientes y partes
interesadas.
interesadas.

Registros de mejora de
Mejorar la infraestructura,
infraestructura, documentación
proporcionar soporte
de soporte adicional, TI
adicional, informar a los
comunicados a empleados y
empleados y clientes.
clientes.

Implementar medidas
Registros de implementación de
adicionales de seguridad,
medidas adicionales de
realizar auditorías de
seguridad, informes de auditorías Seguridad de la información
seguridad, informar a los
de seguridad, comunicados a
clientes y partes interesadas.
clientes y partes interesadas.