Matriz de Riesgo
Identificación, evaluación y clasificación de riesgos asociados a los activos de información y procesos del servicio. Análisis integral de vulnerabilidades, amenazas y controles bajo marco ISO 27000.
| ID | Proceso | Activo de Información | Área Geográfica | Período Afectación | Impacto | Cantidad IC Afectadas | Campos Afectados | Interdependencia | Criticidad | Infraestructuras Críticas | Grado | Controles a Implementar |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| A-001 | Mantenimiento | EQUIPO DE CÓMPUTO | 1 | 2 | 2 | 2 | 2 | 3 | III | No aplica | — | — |
| A-002 | Mantenimiento | KIT DE HERRAMIENTAS Y CONSUMIBLES | 1 | 1 | 1 | 1 | 1 | 1 | I | No aplica | — | — |
| A-003 | Mantenimiento | REPORTE TÉCNICO DE INTERVENCIÓN | 2 | 2 | 3 | 2 | 2 | 3 | IV | REPORTE TÉCNICO DE INTERVENCIÓN | IV | Digitalizar reportes en ITSM con firma electrónica, respaldo automático en la nube |
| A-004 | Mesa de Ayuda | PLATAFORMA ITSM | 3 | 3 | 5 | 3 | 3 | 5 | V | PLATAFORMA ITSM | V | Plan de continuidad manual, SLA con penalidades al proveedor, monitoreo de uptime 24/7 |
| A-005 | Mesa de Ayuda | HISTORIAL DE TICKETS E INCIDENCIAS | 3 | 2 | 4 | 2 | 3 | 4 | V | HISTORIAL DE TICKETS E INCIDENCIAS | V | Implementar RBAC, auditorías de acceso mensuales, cifrado en reposo y en tránsito |
| A-006 | Mesa de Ayuda | CANAL DE COMUNICACIÓN CON EL CLIENTE | 2 | 1 | 2 | 1 | 2 | 2 | III | No aplica | — | — |
| A-007 | Inventario Tecnológico | BASE DE DATOS DE INVENTARIO TECNOLÓGICO | 3 | 3 | 5 | 3 | 3 | 5 | V | BASE DE DATOS DE INVENTARIO TECNOLÓGICO | V | Backups automáticos diarios cifrados, pruebas de restauración trimestrales, MFA en acceso a base de datos |
| A-008 | Inventario Tecnológico | REPORTE PERIÓDICO DE ESTADO DEL PARQUE TI | 1 | 2 | 2 | 1 | 2 | 2 | III | No aplica | — | — |
| A-009 | Inventario Tecnológico | PLAN DE RENOVACIÓN TECNOLÓGICA | 2 | 1 | 2 | 1 | 1 | 1 | II | No aplica | — | — |
Escalas de ponderación:
Amplitud Geográfica
1 zona afectada
1Más de una zona afectada
2Afectación de todas las zonas
3Período de Afectación
24 horas o menos
1Hasta 72 horas
2Más de 72 horas
3Matriz de Impacto (Período × Amplitud)
| Período Afectación | Amplitud = 1 | Amplitud = 2 | Amplitud = 3 |
|---|---|---|---|
| 24h o menos (1) | 1 | 2 | 3 |
| Hasta 72h (2) | 2 | 3 | 4 |
| Más de 72h (3) | 3 | 4 | 5 |
El impacto se calcula como: Período × Amplitud. El resultado determina la criticidad del activo y los controles requeridos.
Severidad
Poca o nula severidad en el grado de vulnerabilidad
Severidad moderada por el grado de vulnerabilidad
Altamente severo el nivel de vulnerabilidad
Exposición
Poca o nula exposición
Nivel moderado de exposición
Altamente expuesto
Capacidad
Poca o nula capacidad de realizar el ataque
Capacidad moderada. Se tiene el conocimiento y habilidades para realizar el ataque, pero pocos recursos
Altamente capaz. Se tienen los conocimientos, habilidades y recursos necesarios para realizar un ataque
Motivación
Poca o nula motivación. No se está inclinado a actuar
Nivel moderado de motivación. Se actuará si se le pide o provoca
Altamente motivado. Casi seguro que intentará el ataque
| ID | Proceso | Activo | C-I-D | Valor | Vulnerabilidades | Amenazas | Evento de Riesgo | Controles |
|---|---|---|---|---|---|---|---|---|
| A-001 | Mantenimiento | EQUIPO DE CÓMPUTO | 3-3-5 | Alto | Ausencia de programa de mantenimiento preventivo documentado | Fallo mecánico / eléctrico por desgaste acumulado | Interrupción del servicio por daño irreparable al equipo del cliente | Establecer calendario de mantenimiento preventivo firmado por el cliente, registrar cada intervención en ITSM con checklist validado |
| A-002 | Mantenimiento | KIT DE HERRAMIENTAS Y CONSUMIBLES | 1-3-4 | Medio | Falta de control de existencias y reposición reactiva de consumibles | Indisponibilidad de la herramienta crítica durante visita táctica | Visita de mantenimiento incompleta por carencia de relaciones o herramientas | Implementar inventario mínimo de consumibles con puntos de reorden, verificar kit antes de cada visita |
| A-003 | Mantenimiento | REPORTE TÉCNICO DE INTERVENCIÓN | 3-5-3 | Alto | Registro manual sin validación de integridad ni control de versiones | Alteración o pérdida del reporte antes de la firma del cliente | Disputa legal o incumplimiento de SLA por reporte incompleto o no firmado | Digitalizar reportes en ITSM con firma electrónica del cliente; respaldo automáticamente en la nube al cierre del ticket |
| A-004 | Mesa de Ayuda | PLATAFORMA ITSM | 2-5-5 | Alto | Dependencia de un único proveedor SaaS sin plan de continuidad documentado | Interrupción no planificada del servicio en la nube (caída del proveedor) | Incumplimiento masivo de SLAs por indisponibilidad total de la plataforma ITSM | Definir plan de continuidad con procedimiento manual de tickets, exigir SLA al proveedor con penalidades, monitoreo de uptime con alertas automáticas |
| A-005 | Mesa de Ayuda | HISTORIAL DE TICKETS E INCIDENCIAS | 4-5-4 | Alto | Ausencia de controles de acceso granulares por rol de usuario | Acceso no autorizado al historial de incidencias de clientes | Fuga de información confidencial del cliente y posible violación a normativas de privacidad | Implementar RBAC (control de acceso basado en roles), auditorías de acceso mensuales, cifrado de datos en reposo y en tránsito |
| A-006 | Mesa de Ayuda | CANAL DE COMUNICACIÓN CON EL CLIENTE | 2-3-4 | Medio | Falta de canal alternativo documentado ante falla del modo principal | Indisponibilidad del canal oficial de reporte de incidentes, agravando el impacto operativo | Usuario incapaz de reportar incidentes urgentes, agravando el impacto operativo | Definir al menos dos canales de comunicación alternativos documentados, notificar a clientes en caso de falla del canal principal |
| A-007 | Inventario Tecnológico | BASE DE DATOS DE INVENTARIO TECNOLÓGICO | 5-5-4 | Alto | Sin política de respaldo periódico ni procedimiento de recuperación ante desastres | Ransomware o corrupción de datos que afecta la base de datos del cliente con impacto en su vida de activos | Pérdida total o parcial de la base de datos del inventario del cliente con impacto en su decisión de ciclo de vida de activos | Establecer backups automáticos diarios cifrados con retención de 30 días, realizar pruebas de restauración trimestrales, activar MFA en acceso a base de datos |
| A-008 | Inventario Tecnológico | REPORTE PERIÓDICO DE ESTADO DEL PARQUE TI | 2-3-3 | Medio | Proceso de generación de reportes no automatizado y dependiente de criterio técnico individual | Error humano en la consolidación de datos del parque tecnológico | Reporte con datos incorrectos que lleva a decisiones erróneas sobre el parque tecnológico del cliente | Automatizar generación de reportes desde ITSM con plantilla estandarizada, establecer revisión por segunda persona antes de entregar al cliente |
| A-009 | Inventario Tecnológico | PLAN DE RENOVACIÓN TECNOLÓGICA | 3-4-2 | Medio | Criterios de obsolescencia no definidos formalmente ni documentados | Planificación de renovación basada en percepción subjetiva sin métricas objetivas | Plan de renovación ineficiente que genera sobrecostos o riesgos operativos no mitigados para el cliente | Definir política de ciclo de vida de activos con criterios técnicos documentados (antigüedad, fallas recurrentes, soporte del fabricante), validar plan con dirección |
Leyenda:
C-I-D: Confidencialidad-Integridad-Disponibilidad (escala 1-5) ·Valor: Nivel global de riesgo para el negocio (Alto/Medio)