METODOLOGIA DE GESTION DE RIESGOS

ANÁLISIS DEL RIESGO

Probabilidad de la ocurrencia de la amenaza Valor de probabilidad

En base al periodo de un mes (30 días)

MUY BAJO 1 No sucede.

BAJO 2 Puede suceder cada mes o con menos frecuencia.

MEDIO 3 Puede suceder cada 15 días.

ALTO 4 Puede suceder una vez cada semana.

MUY ALTO 5 Puede suceder a diario.

Tabla N°1: Probabilidad de la ocurrencia de la amenaza.

Nota: el valor de la probabilidad de ocurrencia de la amenaza se utilizará en la segunda sección del análisis de riesgo, llamado Estimación del Nivel de Riesgo.

Probabilidad que la amenaza explote la vulnerabilidad Valor de probabilidad Descripción

MUY BAJO 1 No es necesario implementar controles al activo de información porque la presencia de esas vulnerabilidades es irrelevante para la continuidad del proceso de atención médica.

BAJO 2 Los controles existentes de los activos de información comprendidos en el proceso de atención médica son seguros y hasta el momento proporcionan un nivel de protección adecuado. No se esperan incidentes nuevos en el futuro.

MEDIO 3 Los controles existentes de los activos de información comprendidos en el proceso de atención médica l son moderados y, básicamente, proporcionan un nivel suficiente de protección. Existe la probabilidad de que haya un incidente en el futuro.

ALTO 4 Los controles existentes de los activos de información comprendidos en el proceso de atención médica son bajos o ineficaces. Existe una gran probabilidad de que haya incidentes en el futuro.

MUY ALTO 5 Los controles existentes de los activos de información comprendida en el proceso de atención médica son ineficientes y el activo está totalmente expuesto. La posibilidad de que haya incidentes es muy probable.

Tabla N°2: Probabilidad que la amenaza explote la vulnerabilidad.

Nota: El valor de la probabilidad que la amenaza explote la vulnerabilidad se utilizará en la segunda sección del análisis de riesgo, llamado Estimación del Nivel de Riesgo.

ESTIMACIÓN DEL NIVEL DEL RIESGO

Probabilidad de ocurrencia de la amenaza MUY BAJO

(1) BAJO

(2) MEDIO

(3) ALTO

(4) MUY ALTO

(5)

Probabilidad que la amenaza explote la vulnerabilidad MB

(1) B

(2) M

(3) A

(4) MA

(5) MB

(1) B

(2) M

(3) A

(4) MA

(5) MB

(1) B

(2) M

(3) A

(4) MA

(5) MB

(1) B

(2) M

(3) A

(4) MA

(5) MB

(1) B

(2) M

(3) A

(4) MA

(5)

Valor del activo (Impacto) 1 0 1 2 3 4 1 2 3 4 5 2 3 4 5 6 3 4 5 6 7 4 5 6 7 8

2 1 2 3 4 5 2 3 4 5 6 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9

3 2 3 4 5 6 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10

4 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11

5 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12

Tabla N°3: Valor del riesgo

Valor del Riesgo Nivel de Riesgo

0; 1; 2; 3 BAJO

4; 5; 6 MEDIO

7; 8; 9 ALTO

10; 11; 12 MUY ALTO

Tabla N°4: Nivel del riesgo

EVALUACIÓN DEL RIESGO

Nivel de Impacto Valor de Impacto Áreas de Impacto

Legal Operativo Imagen

MUY BAJO 1 No afecta el aspecto legal. No afecta el aspecto operativo. No afecta la imagen institucional.

BAJO 2 Acciones administrativas. La paralización o trastornos en las actividades.

...