| R-14 |
Secuestro de WhatsApp / Redes Sociales
|
Ciberseguridad |
3 |
3 |
Crítico (9)
|
Doble factor (2FA) en WhatsApp e Instagram. Limitar acceso a un solo dispositivo. | |
| R-02 |
Malware / ransomware en estaciones de trabajo
|
Ciberseguridad |
2 |
3 |
Crítico (6)
|
Backups verificados (restauración), hardening básico de equipos y bloqueo de macros/adjuntos . | |
| R-08 |
Error operativo crítico en sistemas (carga/validación/pagos)
|
Personal / Humanos |
3 |
2 |
Crítico (6)
|
Implementar doble control en pagos, uso obligatorio de tickets/formularios y checklist de autorización con evidencia. | |
| R-16 |
Fraude y contracargos con tarjetas
|
Factores Externos |
3 |
2 |
Crítico (6)
|
Validar identidad con foto de DNI y tarjeta frontal para ventas no presenciales. | |
| R-01 |
Phishing y robo de credenciales
|
Ciberseguridad |
2 |
2 |
Medio (4)
|
Implementar MFA en M365/sistemas críticos, eliminar usuarios compartidos y capacitación express. | |
| R-09 |
Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA)
|
Factores Externos |
2 |
2 |
Medio (4)
|
Inventario de proveedores críticos, definición de SLA mínimos y procedimiento de contingencia operativa. | |
| R-07 |
Baja de empleado sin revocación de accesos
|
Personal / Humanos |
2 |
2 |
Medio (4)
|
Crear procedimiento de baja (checklist obligatorio), usar cuentas nominadas y revocar accesos en <24 hs. | |
| R-15 |
Fuga intencional de base de clientes
|
Personal / Humanos |
2 |
2 |
Medio (4)
|
Restringir permisos de exportación masiva en CRM. Acuerdos de confidencialidad (NDA). | |
| R-05 |
Corte prolongado de internet en oficina
|
Físico e Infraestructura |
3 |
1 |
Bajo (3)
|
Plan de contingencia, implementación de hotspot/enlace de backup y procedimiento de tareas offline. | |
| R-12 |
Backup insuficiente o no probado
|
Tecnología IT |
1 |
3 |
Bajo (3)
|
Definir dato crítico, crear política de backup, realizar prueba de restauración y confirmar retención en proveedores. | |
| R-13 |
Estafa de Pagos y Correos Interceptados (BEC)
|
Ciberseguridad |
1 |
3 |
Bajo (3)
|
Verificación telefónica obligatoria para cambios de CBU/cuentas. MFA en correos. | |
| R-03 |
Compromiso persistente no detectado (falta de monitoreo)
|
Ciberseguridad |
1 |
2 |
Bajo (2)
|
Centralizar logs mínimos (M365, endpoints, accesos críticos), configurar alertas de accesos anómalos y revisión mensual. | |
| R-10 |
Cambio contractual/regulatorio que afecte el servicio
|
Factores Externos |
1 |
2 |
Bajo (2)
|
Crear carpeta de evidencias (políticas, actas, controles), revisión anual de proveedores y checklist de cumplimiento. | |
| R-04 |
Robo/pérdida de notebook o celular con acceso a sistemas
|
Físico e Infraestructura |
1 |
2 |
Bajo (2)
|
Implementar cifrado/MDM, política de reporte inmediato y revocación rápida de todas las sesiones activas. | |
| R-06 |
Acceso indebido por permisos amplios
|
Personal / Humanos |
2 |
1 |
Bajo (2)
|
Implementar permisos granulares (mínimo privilegio), eliminar usuarios compartidos y establecer RBAC básico. | |
| R-11 |
Configuración inconsistente en endpoints (por gestión manual)
|
Tecnología IT |
2 |
1 |
Bajo (2)
|
Definir baseline mínimo (parches, antivirus, bloqueo, no admin), checklist mensual e inventario de equipos críticos. | |