Detalle: HUM-06

Acciones Prioritarias

Implementar permisos granulares (mínimo privilegio), eliminar usuarios compartidos y establecer RBAC básico.

Activos Críticos en Riesgo

Datos sensibles de clientes (pasaportes, DNI), procesos de administración y sistemas como SharePoint.

Controles Existentes

Permisos limitados a nivel de carpetas en casos aislados y supervisión informal del equipo.

Costos de Oportunidad

Tiempo del personal administrativo desviado a la corrección de datos y auditorías internas de seguridad.

Descripción de la Amenaza

Uso inadecuado de privilegios de acceso para consultar, modificar o extraer información sin necesidad operativa.

Dimensión de Seguridad

Confidencialidad e Integridad: Riesgo de fuga de información privada o pérdida de veracidad en los registros.

Disparador (Trigger)

Detección de modificaciones no autorizadas en archivos críticos o acceso a carpetas por personal no relacionado.

Estrategia de Tratamiento

Mitigar: Aplicar controles de acceso estrictos para reducir la superficie de exposición interna.

Evaluación de Impacto

Alto (3): El compromiso de datos de clientes y la alteración de procesos críticos tienen un impacto severo.

Evaluación de Probabilidad

Alta (3): La falta de controles granulares actuales facilita que el acceso indebido ocurra de forma frecuente.

Evidencias de Control

Matriz de permisos por roles, registro de altas/bajas de usuarios y actas de revisión de accesos.

Identificación del Riesgo

HUM-06: Uso indebido de acceso interno (intencional o por error) en plataformas y SharePoint.

Impacto Financiero (Ventas)

Pérdida de ventas por alteración de bases de datos de prospectos o cotizaciones modificadas indebidamente.

Impacto Reputacional

Pérdida de confianza de los clientes ante errores operativos o filtraciones internas de su identidad.

Impacto en Continuidad

Problemas operativos derivados de información alterada y necesidad de retrabajo para corregir errores.

Impacto en Cumplimiento

Dificultad extrema para realizar auditorías y atribuir responsabilidades individuales ante incidentes.

Impacto en Datos

Fuga o modificación no autorizada de información; pérdida de integridad en la documentación de ventas.

Mecanismos de Mitigación

Administrativo: Registro de altas/bajas. Técnico: Configuración de roles y permisos nominativos.

Métrica de Seguimiento (KPI)

Porcentaje de carpetas críticas con permisos granulares aplicados (Meta: 100%).

Plazo de Ejecución

Implementación obligatoria en una ventana de 30 a 60 días.

Responsables (Owners)

Administración (definición de procesos) y Proveedor IT (ejecución técnica en sistemas).

Riesgo Material (Cuantificar)

Costo de posibles multas por incumplimiento de normativas de protección de datos personales.

Severidad (Exposición)

Riesgo ALTO (9): Requiere mitigación obligatoria con validación de la Dirección General.

Vulnerabilidades Detectadas

SharePoint sin permisos granulares, ausencia de RBAC (roles), usuarios compartidos y falta de proceso formal de altas/bajas.

HUM-06

Acceso indebido por permisos amplios

3/3

3/3

9

Detalles por Tema

Acciones Prioritarias

Activos Críticos en Riesgo

Controles Existentes

Costos de Oportunidad

Descripción de la Amenaza

Dimensión de Seguridad

Disparador (Trigger)

Estrategia de Tratamiento

Evaluación de Impacto

Evaluación de Probabilidad

Evidencias de Control

Identificación del Riesgo

Impacto Financiero (Ventas)

Impacto Reputacional

Impacto en Continuidad

Impacto en Cumplimiento

Impacto en Datos

Mecanismos de Mitigación

Métrica de Seguimiento (KPI)

Plazo de Ejecución

Responsables (Owners)

Riesgo Material (Cuantificar)

Severidad (Exposición)

Vulnerabilidades Detectadas

Acciones Prioritarias