Cap. 04 · Activos y Riesgos

Matriz de Riesgo

Identificación, evaluación y clasificación de riesgos asociados a los activos de información y procesos del servicio. Análisis integral de vulnerabilidades, amenazas y controles bajo marco ISO 27000.

Activos valorados y criticidad
IDProcesoActivo de InformaciónÁrea GeográficaPeríodo AfectaciónImpactoCantidad IC AfectadasCampos AfectadosInterdependenciaCriticidadInfraestructuras CríticasGradoControles a Implementar
A-001MantenimientoEQUIPO DE CÓMPUTO122223IIINo aplica
A-002MantenimientoKIT DE HERRAMIENTAS Y CONSUMIBLES111111INo aplica
A-003MantenimientoREPORTE TÉCNICO DE INTERVENCIÓN223223IVREPORTE TÉCNICO DE INTERVENCIÓNIVDigitalizar reportes en ITSM con firma electrónica, respaldo automático en la nube
A-004Mesa de AyudaPLATAFORMA ITSM335335VPLATAFORMA ITSMVPlan de continuidad manual, SLA con penalidades al proveedor, monitoreo de uptime 24/7
A-005Mesa de AyudaHISTORIAL DE TICKETS E INCIDENCIAS324234VHISTORIAL DE TICKETS E INCIDENCIASVImplementar RBAC, auditorías de acceso mensuales, cifrado en reposo y en tránsito
A-006Mesa de AyudaCANAL DE COMUNICACIÓN CON EL CLIENTE212122IIINo aplica
A-007Inventario TecnológicoBASE DE DATOS DE INVENTARIO TECNOLÓGICO335335VBASE DE DATOS DE INVENTARIO TECNOLÓGICOVBackups automáticos diarios cifrados, pruebas de restauración trimestrales, MFA en acceso a base de datos
A-008Inventario TecnológicoREPORTE PERIÓDICO DE ESTADO DEL PARQUE TI122122IIINo aplica
A-009Inventario TecnológicoPLAN DE RENOVACIÓN TECNOLÓGICA212111IINo aplica

Escalas de ponderación:

Área Geográfica: 1=1 zona, 2=Más de una zona, 3=Todas las zonas
Período Afectación: 1=24h o menos, 2=Hasta 72h, 3=Más de 72h
Impacto/Interdependencia: Escala 1-5 (1=Bajo, 5=Crítico)
Matriz de impacto — Ponderación

Amplitud Geográfica

1 zona afectada

1

Más de una zona afectada

2

Afectación de todas las zonas

3

Período de Afectación

24 horas o menos

1

Hasta 72 horas

2

Más de 72 horas

3

Matriz de Impacto (Período × Amplitud)

Período AfectaciónAmplitud = 1Amplitud = 2Amplitud = 3
24h o menos (1)123
Hasta 72h (2)234
Más de 72h (3)345

El impacto se calcula como: Período × Amplitud. El resultado determina la criticidad del activo y los controles requeridos.

Escalas de valoración

Severidad

1

Poca o nula severidad en el grado de vulnerabilidad

2

Severidad moderada por el grado de vulnerabilidad

3

Altamente severo el nivel de vulnerabilidad

Exposición

1

Poca o nula exposición

2

Nivel moderado de exposición

3

Altamente expuesto

Capacidad

1

Poca o nula capacidad de realizar el ataque

2

Capacidad moderada. Se tiene el conocimiento y habilidades para realizar el ataque, pero pocos recursos

3

Altamente capaz. Se tienen los conocimientos, habilidades y recursos necesarios para realizar un ataque

Motivación

1

Poca o nula motivación. No se está inclinado a actuar

2

Nivel moderado de motivación. Se actuará si se le pide o provoca

3

Altamente motivado. Casi seguro que intentará el ataque

Análisis de vulnerabilidades, amenazas y riesgos
IDProcesoActivoC-I-DValorVulnerabilidadesAmenazasEvento de RiesgoControles
A-001MantenimientoEQUIPO DE CÓMPUTO3-3-5
Alto
Ausencia de programa de mantenimiento preventivo documentadoFallo mecánico / eléctrico por desgaste acumuladoInterrupción del servicio por daño irreparable al equipo del clienteEstablecer calendario de mantenimiento preventivo firmado por el cliente, registrar cada intervención en ITSM con checklist validado
A-002MantenimientoKIT DE HERRAMIENTAS Y CONSUMIBLES1-3-4
Medio
Falta de control de existencias y reposición reactiva de consumiblesIndisponibilidad de la herramienta crítica durante visita tácticaVisita de mantenimiento incompleta por carencia de relaciones o herramientasImplementar inventario mínimo de consumibles con puntos de reorden, verificar kit antes de cada visita
A-003MantenimientoREPORTE TÉCNICO DE INTERVENCIÓN3-5-3
Alto
Registro manual sin validación de integridad ni control de versionesAlteración o pérdida del reporte antes de la firma del clienteDisputa legal o incumplimiento de SLA por reporte incompleto o no firmadoDigitalizar reportes en ITSM con firma electrónica del cliente; respaldo automáticamente en la nube al cierre del ticket
A-004Mesa de AyudaPLATAFORMA ITSM2-5-5
Alto
Dependencia de un único proveedor SaaS sin plan de continuidad documentadoInterrupción no planificada del servicio en la nube (caída del proveedor)Incumplimiento masivo de SLAs por indisponibilidad total de la plataforma ITSMDefinir plan de continuidad con procedimiento manual de tickets, exigir SLA al proveedor con penalidades, monitoreo de uptime con alertas automáticas
A-005Mesa de AyudaHISTORIAL DE TICKETS E INCIDENCIAS4-5-4
Alto
Ausencia de controles de acceso granulares por rol de usuarioAcceso no autorizado al historial de incidencias de clientesFuga de información confidencial del cliente y posible violación a normativas de privacidadImplementar RBAC (control de acceso basado en roles), auditorías de acceso mensuales, cifrado de datos en reposo y en tránsito
A-006Mesa de AyudaCANAL DE COMUNICACIÓN CON EL CLIENTE2-3-4
Medio
Falta de canal alternativo documentado ante falla del modo principalIndisponibilidad del canal oficial de reporte de incidentes, agravando el impacto operativoUsuario incapaz de reportar incidentes urgentes, agravando el impacto operativoDefinir al menos dos canales de comunicación alternativos documentados, notificar a clientes en caso de falla del canal principal
A-007Inventario TecnológicoBASE DE DATOS DE INVENTARIO TECNOLÓGICO5-5-4
Alto
Sin política de respaldo periódico ni procedimiento de recuperación ante desastresRansomware o corrupción de datos que afecta la base de datos del cliente con impacto en su vida de activosPérdida total o parcial de la base de datos del inventario del cliente con impacto en su decisión de ciclo de vida de activosEstablecer backups automáticos diarios cifrados con retención de 30 días, realizar pruebas de restauración trimestrales, activar MFA en acceso a base de datos
A-008Inventario TecnológicoREPORTE PERIÓDICO DE ESTADO DEL PARQUE TI2-3-3
Medio
Proceso de generación de reportes no automatizado y dependiente de criterio técnico individualError humano en la consolidación de datos del parque tecnológicoReporte con datos incorrectos que lleva a decisiones erróneas sobre el parque tecnológico del clienteAutomatizar generación de reportes desde ITSM con plantilla estandarizada, establecer revisión por segunda persona antes de entregar al cliente
A-009Inventario TecnológicoPLAN DE RENOVACIÓN TECNOLÓGICA3-4-2
Medio
Criterios de obsolescencia no definidos formalmente ni documentadosPlanificación de renovación basada en percepción subjetiva sin métricas objetivasPlan de renovación ineficiente que genera sobrecostos o riesgos operativos no mitigados para el clienteDefinir política de ciclo de vida de activos con criterios técnicos documentados (antigüedad, fallas recurrentes, soporte del fabricante), validar plan con dirección

Leyenda:

C-I-D: Confidencialidad-Integridad-Disponibilidad (escala 1-5) ·Valor: Nivel global de riesgo para el negocio (Alto/Medio)