| Amenaza | Tema | Detalle y Especificación | Acciones |
|---|---|---|---|
| CYB-01: Phishing y robo de credenciales. | Identificación del Riesgo | CYB-01: Acceso no autorizado mediante phishing y suplantación de identidad en sistemas críticos. | |
| CYB-01: Phishing y robo de credenciales. | Activos Críticos en Riesgo | Microsoft 365 (Correo/SharePoint), Sabre, Turismatica, TMA y Datos Sensibles de Clientes . | |
| CYB-01: Phishing y robo de credenciales. | Descripción de la Amenaza | Uso de ingeniería social y suplantación de identidad para capturar credenciales de acceso. | |
| CYB-01: Phishing y robo de credenciales. | Vulnerabilidades Detectadas | Ausencia de MFA generalizado, baja capacitación, usuarios genéricos/compartidos y falta de IAM formal. | |
| CYB-01: Phishing y robo de credenciales. | Evaluación de Probabilidad | Alta (3): Evento frecuente en el sector con alta exposición diaria vía correo electrónico. | |
| CYB-01: Phishing y robo de credenciales. | Evaluación de Impacto | Alto (3): Afecta sistemas críticos de reservas, datos sensibles y continuidad operativa. | |
| CYB-01: Phishing y robo de credenciales. | Severidad (Exposición) | Riesgo ALTO (9): Nivel máximo que exige mitigación obligatoria y reporte a Dirección. | |
| CYB-01: Phishing y robo de credenciales. | Impacto en Datos | Acceso indebido a correo y archivos, fuga o alteración de reservas y datos de pasajeros. | |
| CYB-01: Phishing y robo de credenciales. | Impacto Reputacional | Pérdida de confianza masiva del cliente y daño a la imagen de la agencia por filtración. | |
| CYB-01: Phishing y robo de credenciales. | Impacto en Continuidad | Bloqueo de cuentas por el proveedor e interrupción de la capacidad de atención y reservas. | |
| CYB-01: Phishing y robo de credenciales. | Impacto en Cumplimiento | Potencial incumplimiento de normativas de privacidad (GDPR/LPDP) y contratos por exposición de datos. | |
| CYB-01: Phishing y robo de credenciales. | Impacto Financiero (Ventas) | Pérdida directa de facturación por imposibilidad de operar en Sabre o Turismatica durante el incidente. | |
| CYB-01: Phishing y robo de credenciales. | Costos de Oportunidad | Desvío de atención del equipo comercial a tareas de recuperación en lugar de ventas y captación. | |
| CYB-01: Phishing y robo de credenciales. | Riesgo Material (Cuantificar) | Estimación de multas legales por brecha de seguridad y costos de remediación técnica/legal. | |
| CYB-01: Phishing y robo de credenciales. | Controles Existentes | Políticas básicas de contraseñas y soporte reactivo del proveedor IT ante incidentes. | |
| CYB-01: Phishing y robo de credenciales. | Acciones Prioritarias | Implementar MFA en M365/sistemas críticos, eliminar usuarios compartidos y capacitación express. | |
| CYB-01: Phishing y robo de credenciales. | Plazo de Ejecución | Ventana de implementación obligatoria de 30 a 60 días. | |
| CYB-01: Phishing y robo de credenciales. | Responsables (Owners) | Proveedor IT (Ejecución técnica) y Administración (Validación y seguimiento). | |
| CYB-01: Phishing y robo de credenciales. | Estrategia de Tratamiento | Mitigar: Reducción del riesgo mediante controles técnicos y formación para bajar la exposición. | |
| CYB-01: Phishing y robo de credenciales. | Evidencias de Control | Capturas de MFA habilitado, Registro de Accesos actualizado y actas de capacitación. | |
| CYB-01: Phishing y robo de credenciales. | Métrica de Seguimiento (KPI) | Porcentaje de cuentas críticas con MFA habilitado (Meta: 100%) y reporte de incidentes trimestral. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Identificación del Riesgo | CYB-02: Infección por código malicioso y cifrado de activos en estaciones de trabajo. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Activos Críticos en Riesgo | Personas, Procesos, Tecnología (PCs/Notebooks) y Datos (archivos locales y compartidos). | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Descripción de la Amenaza | Cifrado de información crítica mediante malware distribuido por enlaces o adjuntos maliciosos para extorsión. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Vulnerabilidades Detectadas | Endpoints sin hardening (gestión centralizada), capacitación inexistente y backups no verificados. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Dimensión de Seguridad | Integridad y Disponibilidad: El ataque altera (cifra) los datos y bloquea el acceso a los sistemas. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Evaluación de Probabilidad | Media-Alta (3): Elevada frecuencia de ataques en el sector y bajo nivel de formación interna actual. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Evaluación de Impacto | Alto (3): Compromete la continuidad operativa total y la integridad de datos sensibles de clientes. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Severidad (Exposición) | Riesgo ALTO (9): Nivel crítico que requiere acciones urgentes y seguimiento activo de Dirección. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Impacto en Datos | Cifrado, pérdida o compromiso de información local y posible propagación a red compartida. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Impacto Reputacional | Imagen de inseguridad ante el cliente y pérdida de confianza por demoras o errores operativos. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Impacto en Continuidad | Indisponibilidad operativa para el trabajo diario e interrupción de procesos comerciales clave. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Impacto en Cumplimiento | Auditorías adversas ante clientes y riesgo de sanciones por pérdida de trazabilidad de datos. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Impacto Financiero (Ventas) | Pérdida de facturación por detención de ventas y procesos comerciales durante el incidente. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Costos de Oportunidad | Tiempo improductivo del personal dedicado a la recuperación en lugar de la atención al cliente. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Riesgo Material (Cuantificar) | Costos de remediación técnica, recuperación de datos y posibles multas por pérdida de información. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Controles Existentes | Antivirus instalado localmente y backups parciales sin prueba formal de restauración. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Acciones Prioritarias | Backups verificados (restauración), hardening básico de equipos y bloqueo de macros/adjuntos . | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Plazo de Ejecución | Ventana de implementación obligatoria de 30 a 60 días. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Responsables (Owners) | Proveedor IT (gestión técnica) y Operaciones (gestión del impacto en el negocio). | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Estrategia de Tratamiento | Mitigar: Aplicar controles técnicos y de recuperación para reducir la exposición y el impacto . | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Mecanismos de Mitigación | Técnico: Restauración de backups y hardening. Humano: Capacitación en ciberseguridad . | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Disparador (Trigger) | Detección de archivos cifrados, notas de rescate o alertas de actividad anómala del antivirus. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Evidencias de Control | Acta de prueba de restauración exitosa, reporte técnico de equipos y registro de capacitación. | |
| CYB-02: Malware / ransomware en estaciones de trabajo. | Métrica de Seguimiento (KPI) | Fecha de la última restauración exitosa y % de equipos con parches de seguridad al día. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Identificación del Riesgo | CYB-03: Intrusión prolongada (APT) o actividad maliciosa sostenida en los sistemas. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Activos Críticos en Riesgo | Tecnología (M365, endpoints, redes) y Datos (bases de datos de clientes y registros históricos). | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Descripción de la Amenaza | Presencia de un atacante dentro de la red por tiempo prolongado, permitiendo la exfiltración silenciosa y gradual de información. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Vulnerabilidades Detectadas | Ausencia de SIEM, logs dispersos por plataforma, falta de correlación de eventos y alertas únicamente locales. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Dimensión de Seguridad | Confidencialidad e Integridad: El riesgo principal es la extracción de datos sensibles sin detección inmediata. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Evaluación de Probabilidad | Media (2): Aunque es un ataque complejo, la falta de herramientas de monitoreo actuales eleva la posibilidad de que ocurra sin ser notado. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Evaluación de Impacto | Alto (3): El acceso prolongado a datos de clientes y sistemas críticos compromete la viabilidad a largo plazo. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Severidad (Exposición) | Riesgo ALTO (6): Resultado de Probabilidad (2) x Impacto (3). Exige acciones obligatorias y seguimiento del Comité. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Impacto en Datos | Extracción gradual de información y acceso prolongado a datos históricos de pasajeros y reservas. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Impacto Reputacional | Daño severo por la detección tardía de un incidente, aumentando la desconfianza del cliente ante la falta de aviso oportuno. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Impacto en Continuidad | Mayor tiempo de recuperación y costos elevados de remediación debido a la profundidad de la intrusión. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Impacto en Cumplimiento | Dificultad crítica para demostrar trazabilidad y evidencia ante auditorías externas o requerimientos legales. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Impacto Financiero (Ventas) | Pérdida de clientes estratégicos y contratos corporativos ante la incapacidad de garantizar la privacidad de los datos. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Costos de Oportunidad | Recursos de IT y Administración desviados a forense digital y limpieza de sistemas en lugar de mejoras operativas. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Riesgo Material (Cuantificar) | Gastos legales, multas por no reportar brechas de datos a tiempo y costos de reposición de sistemas comprometidos. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Controles Existentes | Logs dispersos por plataforma y monitoreo reactivo basado únicamente en la aparición de fallos visibles. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Acciones Prioritarias | Centralizar logs mínimos (M365, endpoints, accesos críticos), configurar alertas de accesos anómalos y revisión mensual. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Plazo de Ejecución | Ventana de implementación definida entre 30 y 60 días. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Responsables (Owners) | Proveedor IT (configuración técnica de logs) y Administración (gestión de evidencias y registros). | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Estrategia de Tratamiento | Mitigar: Reducción del riesgo mediante la mejora de la visibilidad y capacidad de detección temprana. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Mecanismos de Mitigación | Técnico: Centralización de logs. Administrativo: Checklist mensual de revisión y auditoría de accesos. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Disparador (Trigger) | Alertas automáticas de inicio de sesión desde ubicaciones inusuales o picos atípicos en la transferencia de datos. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Evidencias de Control | Checklist de revisión mensual firmado, configuración de alertas centralizada y reportes de logs de M365. | |
| CYB-03: Compromiso persistente no detectado (falta de monitoreo). | Métrica de Seguimiento (KPI) | Tiempo promedio de detección de accesos anómalos y porcentaje de activos críticos con logs centralizados. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Identificación del Riesgo | FIS-04: Robo, vandalismo o pérdida física de dispositivos móviles corporativos. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Activos Críticos en Riesgo | Tecnología (Notebooks/Celulares) y Datos (correo, SharePoint y datos de pasajeros). | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Descripción de la Amenaza | Sustracción o extravío de equipos con sesiones activas que permiten el acceso a la infraestructura cloud de la agencia. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Vulnerabilidades Detectadas | Dispositivos sin cifrado obligatorio, ausencia de MDM, falta de inventario y sesiones activas persistentes. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Dimensión de Seguridad | Confidencialidad: El riesgo principal es la exposición de información sensible de clientes a terceros no autorizados. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Evaluación de Probabilidad | Media (2): Existe una posibilidad real debido a la movilidad del personal y antecedentes de inseguridad urbana. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Evaluación de Impacto | Alto (3): El acceso a datos de clientes y sistemas de reserva genera un impacto legal y reputacional severo. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Severidad (Exposición) | Riesgo ALTO (6): Resultado de Probabilidad (2) x Impacto (3). Exige acciones urgentes y seguimiento activo. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Impacto en Datos | Acceso indebido a correo institucional, archivos de clientes en SharePoint y potencial fuga de información. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Impacto Reputacional | Daño a la imagen de la agencia por la percepción de descuido en el manejo de dispositivos con datos privados. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Impacto en Continuidad | Afectación puntual del colaborador y demoras operativas mientras se repone el equipo y se bloquean accesos. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Impacto en Cumplimiento | Riesgo legal y contractual por exposición de datos sensibles protegidos por la PSI y normativas vigentes. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Impacto Financiero (Ventas) | Costo de reposición inmediata del hardware y pérdida de productividad del vendedor/administrativo afectado. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Costos de Oportunidad | Ventas no concretadas durante el periodo de incomunicación del empleado tras el robo del dispositivo. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Riesgo Material (Cuantificar) | Gastos por gestión de crisis, potenciales multas de protección de datos y costos de licencias de seguridad MDM. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Controles Existentes | Credenciales por usuario en algunos sistemas y capacidad de bloqueo manual tras la detección del incidente. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Acciones Prioritarias | Implementar cifrado/MDM, política de reporte inmediato y revocación rápida de todas las sesiones activas. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Plazo de Ejecución | Ventana de implementación obligatoria definida entre 30 y 60 días. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Responsables (Owners) | Administración (gestión de política) y Proveedor IT (ejecución técnica de cifrado y bloqueos). | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Estrategia de Tratamiento | Mitigar: Reducción del impacto mediante controles técnicos (cifrado) y procedimentales (reporte rápido). | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Mecanismos de Mitigación | Técnico: Cifrado de disco (Bitlocker) y MDM. Administrativo: Inventario de equipos y política de uso. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Disparador (Trigger) | Comunicación inmediata del empleado o detección de geolocalización inusual fuera de horario laboral. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Evidencias de Control | Inventario básico de equipos, capturas de pantalla de cifrado activo y acta de notificación de la política. | |
| FIS-04: Robo/pérdida de notebook o celular con acceso a sistemas. | Métrica de Seguimiento (KPI) | Porcentaje de equipos móviles con cifrado habilitado (Meta: 100%) y tiempo de respuesta ante reportes. | |
| FIS-05: Corte prolongado de internet en oficina. | Identificación del Riesgo | FIS-05: Interrupción de conectividad por fallas del proveedor, energía u obras . | |
| FIS-05: Corte prolongado de internet en oficina. | Activos Críticos en Riesgo | Tecnología (enlaces de internet) y Procesos (ventas, atención al cliente y reservas). | |
| FIS-05: Corte prolongado de internet en oficina. | Descripción de la Amenaza | Caída del servicio de internet que impide el acceso a plataformas cloud y comunicación con clientes. | |
| FIS-05: Corte prolongado de internet en oficina. | Vulnerabilidades Detectadas | Dependencia operativa total de la conectividad y ausencia de un protocolo formal de contingencia local. | |
| FIS-05: Corte prolongado de internet en oficina. | Dimensión de Seguridad | Disponibilidad: El riesgo principal es la interrupción del acceso a los sistemas necesarios para operar. | |
| FIS-05: Corte prolongado de internet en oficina. | Evaluación de Probabilidad | Media (2): Evento posible por antecedentes de señales o fallas del proveedor en la zona. | |
| FIS-05: Corte prolongado de internet en oficina. | Evaluación de Impacto | Medio (2): Afecta parcialmente la atención y las ventas, generando demoras significativas. | |
| FIS-05: Corte prolongado de internet en oficina. | Severidad (Exposición) | Riesgo MODERADO (4): Resultado de Probabilidad (2) x Impacto (2). Requiere medidas preventivas. | |
| FIS-05: Corte prolongado de internet en oficina. | Impacto en Datos | Sin impacto directo, salvo riesgos por el uso de métodos de trabajo inseguros (workarounds). | |
| FIS-05: Corte prolongado de internet en oficina. | Impacto Reputacional | Demoras en la atención al cliente y acumulación de quejas por falta de respuesta inmediata. | |
| FIS-05: Corte prolongado de internet en oficina. | Impacto en Continuidad | Caída parcial de la operación en la sede afectada e interrupción de la comunicación comercial. | |
| FIS-05: Corte prolongado de internet en oficina. | Impacto en Cumplimiento | Incumplimiento de compromisos de atención al cliente y posibles acuerdos de nivel de servicio (SLA). | |
| FIS-05: Corte prolongado de internet en oficina. | Impacto Financiero (Ventas) | Pérdida de ventas inmediatas por imposibilidad de emitir reservas en Sabre o Turismatica durante el corte. | |
| FIS-05: Corte prolongado de internet en oficina. | Costos de Oportunidad | Tiempo improductivo del personal y pérdida de clientes potenciales que buscan atención inmediata en la competencia. | |
| FIS-05: Corte prolongado de internet en oficina. | Riesgo Material (Cuantificar) | Estimación del margen de ventas perdidas por hora de desconexión y posibles penalidades contractuales. | |
| FIS-05: Corte prolongado de internet en oficina. | Controles Existentes | Conectividad estándar de mercado y soluciones informales (como el uso de datos móviles personales). | |
| FIS-05: Corte prolongado de internet en oficina. | Acciones Prioritarias | Plan de contingencia, implementación de hotspot/enlace de backup y procedimiento de tareas offline. | |
| FIS-05: Corte prolongado de internet en oficina. | Plazo de Ejecución | Ventana de implementación definida para los próximos 30 a 60 días. | |
| FIS-05: Corte prolongado de internet en oficina. | Responsables (Owners) | Operaciones: Encargado de ejecutar el plan de contingencia y mantener la atención alternativa. | |
| FIS-05: Corte prolongado de internet en oficina. | Estrategia de Tratamiento | Mitigar: Reducir el impacto operativo mediante la disposición de medios de conexión redundantes. | |
| FIS-05: Corte prolongado de internet en oficina. | Mecanismos de Mitigación | Técnico: Failover automático o manual a hotspot 4G/5G. Administrativo: Protocolo de atención offline. | |
| FIS-05: Corte prolongado de internet en oficina. | Disparador (Trigger) | Interrupción total o degradación crítica del enlace de internet principal por más de 15 minutos. | |
| FIS-05: Corte prolongado de internet en oficina. | Evidencias de Control | Procedimiento de atención alternativa documentado y prueba trimestral de conexión de respaldo. | |
| FIS-05: Corte prolongado de internet en oficina. | Métrica de Seguimiento (KPI) | Tiempo de inactividad (Downtime) anual y porcentaje de disponibilidad del servicio de internet de backup. | |
| HUM-06: Acceso indebido por permisos amplios. | Identificación del Riesgo | HUM-06: Uso indebido de acceso interno (intencional o por error) en plataformas y SharePoint. | |
| HUM-06: Acceso indebido por permisos amplios. | Activos Críticos en Riesgo | Datos sensibles de clientes (pasaportes, DNI), procesos de administración y sistemas como SharePoint. | |
| HUM-06: Acceso indebido por permisos amplios. | Descripción de la Amenaza | Uso inadecuado de privilegios de acceso para consultar, modificar o extraer información sin necesidad operativa. | |
| HUM-06: Acceso indebido por permisos amplios. | Vulnerabilidades Detectadas | SharePoint sin permisos granulares, ausencia de RBAC (roles), usuarios compartidos y falta de proceso formal de altas/bajas. | |
| HUM-06: Acceso indebido por permisos amplios. | Dimensión de Seguridad | Confidencialidad e Integridad: Riesgo de fuga de información privada o pérdida de veracidad en los registros. | |
| HUM-06: Acceso indebido por permisos amplios. | Evaluación de Probabilidad | Alta (3): La falta de controles granulares actuales facilita que el acceso indebido ocurra de forma frecuente. | |
| HUM-06: Acceso indebido por permisos amplios. | Evaluación de Impacto | Alto (3): El compromiso de datos de clientes y la alteración de procesos críticos tienen un impacto severo. | |
| HUM-06: Acceso indebido por permisos amplios. | Severidad (Exposición) | Riesgo ALTO (9): Requiere mitigación obligatoria con validación de la Dirección General. | |
| HUM-06: Acceso indebido por permisos amplios. | Impacto en Datos | Fuga o modificación no autorizada de información; pérdida de integridad en la documentación de ventas. | |
| HUM-06: Acceso indebido por permisos amplios. | Impacto Reputacional | Pérdida de confianza de los clientes ante errores operativos o filtraciones internas de su identidad. | |
| HUM-06: Acceso indebido por permisos amplios. | Impacto en Continuidad | Problemas operativos derivados de información alterada y necesidad de retrabajo para corregir errores. | |
| HUM-06: Acceso indebido por permisos amplios. | Impacto en Cumplimiento | Dificultad extrema para realizar auditorías y atribuir responsabilidades individuales ante incidentes. | |
| HUM-06: Acceso indebido por permisos amplios. | Impacto Financiero (Ventas) | Pérdida de ventas por alteración de bases de datos de prospectos o cotizaciones modificadas indebidamente. | |
| HUM-06: Acceso indebido por permisos amplios. | Costos de Oportunidad | Tiempo del personal administrativo desviado a la corrección de datos y auditorías internas de seguridad. | |
| HUM-06: Acceso indebido por permisos amplios. | Riesgo Material (Cuantificar) | Costo de posibles multas por incumplimiento de normativas de protección de datos personales. | |
| HUM-06: Acceso indebido por permisos amplios. | Controles Existentes | Permisos limitados a nivel de carpetas en casos aislados y supervisión informal del equipo. | |
| HUM-06: Acceso indebido por permisos amplios. | Acciones Prioritarias | Implementar permisos granulares (mínimo privilegio), eliminar usuarios compartidos y establecer RBAC básico. | |
| HUM-06: Acceso indebido por permisos amplios. | Plazo de Ejecución | Implementación obligatoria en una ventana de 30 a 60 días. | |
| HUM-06: Acceso indebido por permisos amplios. | Responsables (Owners) | Administración (definición de procesos) y Proveedor IT (ejecución técnica en sistemas). | |
| HUM-06: Acceso indebido por permisos amplios. | Estrategia de Tratamiento | Mitigar: Aplicar controles de acceso estrictos para reducir la superficie de exposición interna. | |
| HUM-06: Acceso indebido por permisos amplios. | Mecanismos de Mitigación | Administrativo: Registro de altas/bajas. Técnico: Configuración de roles y permisos nominativos. | |
| HUM-06: Acceso indebido por permisos amplios. | Disparador (Trigger) | Detección de modificaciones no autorizadas en archivos críticos o acceso a carpetas por personal no relacionado. | |
| HUM-06: Acceso indebido por permisos amplios. | Evidencias de Control | Matriz de permisos por roles, registro de altas/bajas de usuarios y actas de revisión de accesos. | |
| HUM-06: Acceso indebido por permisos amplios. | Métrica de Seguimiento (KPI) | Porcentaje de carpetas críticas con permisos granulares aplicados (Meta: 100%). | |
| HUM-07: Baja de empleado sin revocación de accesos. | Identificación del Riesgo | HUM-07: Continuidad de acceso post-egreso (riesgo interno o ex-empleado). | |
| HUM-07: Baja de empleado sin revocación de accesos. | Activos Críticos en Riesgo | Datos sensibles de clientes, sistemas operativos (Sabre/Turismatica) y cuentas de Microsoft 365 . | |
| HUM-07: Baja de empleado sin revocación de accesos. | Descripción de la Amenaza | Acceso no autorizado a información y sistemas por parte de personal que ya no pertenece a la organización. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Vulnerabilidades Detectadas | Ausencia de procedimiento sistemático de baja, IAM inexistente y uso de credenciales compartidas. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Dimensión de Seguridad | Confidencialidad e Integridad: Riesgo de extracción de bases de datos o sabotaje de reservas activas. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Evaluación de Probabilidad | Media (2): Si no hay un proceso formal, es altamente posible que algún acceso permanezca activo. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Evaluación de Impacto | Alto (3): El acceso a M365 y datos de clientes tras el egreso compromete la seguridad legal de la agencia. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Severidad (Exposición) | Riesgo ALTO (6): Resultado de Probabilidad (2) x Impacto (3). Requiere mitigación prioritaria. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Impacto en Datos | Acceso no autorizado a archivos de clientes, correos corporativos y sistemas de reserva. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Impacto Reputacional | Alto daño reputacional si ocurre un incidente de fuga de datos o sabotaje post-egreso. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Impacto en Continuidad | Incidentes difíciles de investigar que pueden derivar en interrupciones operativas por remediación. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Impacto en Cumplimiento | Exposición ante auditorías por falta de control de accesos y trazabilidad de usuarios. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Impacto Financiero (Ventas) | Riesgo de desvío de clientes por parte del ex-empleado al mantener acceso a la cartera de contactos. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Costos de Oportunidad | Tiempo administrativo dedicado a auditorías forenses para determinar qué información fue consultada. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Riesgo Material (Cuantificar) | Pérdida de capital intelectual y posibles multas por incumplimiento de la política de privacidad de datos. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Controles Existentes | Bajas manuales realizadas cuando se acuerdan y cambios de contraseña de carácter reactivo. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Acciones Prioritarias | Crear procedimiento de baja (checklist obligatorio), usar cuentas nominadas y revocar accesos en <24 hs. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Plazo de Ejecución | Implementación de las medidas de control en una ventana de 30 a 60 días. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Responsables (Owners) | Administración (proceso) y Proveedor IT (ejecución técnica de la revocación). | |
| HUM-07: Baja de empleado sin revocación de accesos. | Estrategia de Tratamiento | Mitigar: Establecer un flujo de trabajo formal para asegurar la salida segura del personal . | |
| HUM-07: Baja de empleado sin revocación de accesos. | Mecanismos de Mitigación | Administrativo: Checklist de baja. Técnico: Revocación inmediata de sesiones y cuentas nominativas. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Disparador (Trigger) | Notificación oficial de la rescisión contractual o finalización del periodo de prestación de servicios. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Evidencias de Control | Registro de Accesos/Bajas actualizado, checklist de baja firmado y capturas de deshabilitación. | |
| HUM-07: Baja de empleado sin revocación de accesos. | Métrica de Seguimiento (KPI) | Tiempo de revocación de accesos (Meta: $\leq$ 24 horas desde la notificación). | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Identificación del Riesgo | HUM-08: Error humano involuntario en procesos administrativos o financieros críticos . | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Activos Críticos en Riesgo | Procesos (pagos/comprobantes), Datos (registros financieros) y Reputación comercial. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Descripción de la Amenaza | Errores en la carga de datos, validación de pagos o documentación que generan inconsistencias financieras. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Vulnerabilidades Detectadas | Autorizaciones verbales/mail sin registro, falta de doble control y ausencia de tickets o formularios obligatorios. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Dimensión de Seguridad | Integridad: El riesgo principal es la alteración o registro erróneo de información financiera y operativa. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Evaluación de Probabilidad | Media (2): Existen antecedentes o señales de que este tipo de errores pueden ocurrir en la operación diaria. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Evaluación de Impacto | Medio (2): Afecta procesos clave y genera reclamos, aunque puede subir a Alto (3) si involucra pagos sensibles. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Severidad (Exposición) | Riesgo MODERADO (4): Resultado de Probabilidad (2) x Impacto (2). Requiere medidas preventivas planificadas. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Impacto en Datos | Inconsistencias en registros, documentación errónea y pérdida de veracidad en la información contable. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Impacto Reputacional | Reclamos de clientes y proveedores; pérdida de confianza por errores en la gestión de cobros o pagos. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Impacto en Continuidad | Interrupción parcial de la operación por necesidad de retrabajo y corrección de asientos o reservas. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Impacto en Cumplimiento | Dificultad ante auditorías y contratos debido a la falta de trazabilidad en las autorizaciones. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Impacto Financiero (Ventas) | Costos directos por pagos duplicados, cobros insuficientes o pérdidas de señas ante proveedores. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Costos de Oportunidad | Tiempo del equipo administrativo dedicado a la conciliación manual y corrección en lugar de facturación activa. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Riesgo Material (Cuantificar) | Monto total de las transacciones afectadas por falta de validación y posibles multas por errores impositivos. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Controles Existentes | Revisiones informales basadas en la experiencia del equipo, sin un marco procedimental estricto. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Acciones Prioritarias | Implementar doble control en pagos, uso obligatorio de tickets/formularios y checklist de autorización con evidencia. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Plazo de Ejecución | Ventana de implementación recomendada de 30 a 60 días. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Responsables (Owners) | Operaciones (validaciones) y Administración (gestión financiera y trazabilidad). | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Estrategia de Tratamiento | Mitigar: Aplicar controles de validación cruzada para reducir la probabilidad de error humano . | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Mecanismos de Mitigación | Administrativo: Doble validación. Técnico: Registro obligatorio en sistema de tickets . | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Disparador (Trigger) | Detección de descuadre en caja, reporte de error por parte de un proveedor o reclamo de un cliente por pago no acreditado. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Evidencias de Control | Formulario de autorización firmado, tickets de gestión cerrados y actas de revisión de procesos. | |
| HUM-08: Error operativo crítico en sistemas (carga/validación/pagos). | Métrica de Seguimiento (KPI) | Número de errores operativos reportados por mes y porcentaje de pagos con doble validación aplicada. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Identificación del Riesgo | EXT-09: Interrupción del servicio cloud o incidente de seguridad en la infraestructura de un tercero crítico . | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Activos Críticos en Riesgo | Tecnología (Plataformas SaaS), Procesos (Reservas/Facturación) y Datos (Almacenados en la nube). | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Descripción de la Amenaza | Indisponibilidad de servicios esenciales debido a fallas técnicas, ataques cibernéticos o problemas operativos del proveedor externo. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Vulnerabilidades Detectadas | Dependencia del 100% de terceros, ausencia de SLA formales documentados y desconocimiento de planes de recuperación del proveedor. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Dimensión de Seguridad | Disponibilidad y Confidencialidad: El riesgo principal es la detención operativa y la posible exposición de datos en manos del tercero. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Evaluación de Probabilidad | Media (2): Existen antecedentes de caídas globales de servicios cloud y señales ocasionales de inestabilidad. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Evaluación de Impacto | Alto (3): Una caída de Sabre o M365 paraliza totalmente la capacidad de venta y comunicación de la agencia . | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Severidad (Exposición) | Riesgo ALTO (6): Resultado de Probabilidad (2) x Impacto (3). Exige un plan de contingencia operativa. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Impacto en Datos | Pérdida temporal de acceso a información crítica y riesgo de integridad si el incidente del proveedor es un ciberataque. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Impacto Reputacional | Quejas de clientes por interrupción del servicio y caída de la confianza en la capacidad de respuesta de la agencia. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Impacto en Continuidad | Detención de la operación (reservas, facturación y comunicación) hasta la restauración del servicio por el tercero. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Impacto en Cumplimiento | Incapacidad de presentar evidencias ante auditorías de clientes estratégicos debido a fallas del proveedor. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Impacto Financiero (Ventas) | Pérdida de facturación por cada hora de inactividad de las plataformas de reserva y emisión. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Costos de Oportunidad | Pérdida de clientes que migran a competidores con sistemas activos durante la caída del proveedor de Neptuno. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Riesgo Material (Cuantificar) | Costos por compensaciones a clientes y posibles multas contractuales por incumplimiento de servicios. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Controles Existentes | Soporte estándar del proveedor, comunicaciones de estado del servicio y contratos comerciales básicos. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Acciones Prioritarias | Inventario de proveedores críticos, definición de SLA mínimos y procedimiento de contingencia operativa. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Plazo de Ejecución | Ventana de implementación definida entre 30 y 60 días. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Responsables (Owners) | Dirección (Gestión contractual), Administración (Evidencias) y Proveedor IT (Técnico). | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Estrategia de Tratamiento | Mitigar/Aceptar: Establecer planes B operativos y exigir mayores garantías contractuales a los terceros. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Mecanismos de Mitigación | Administrativo: Listado de contactos de soporte y escalamiento. Operativo: Procedimiento de trabajo manual temporal . | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Disparador (Trigger) | Notificación de "Service Outage" por el proveedor o imposibilidad de acceso por más de 30 minutos. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Evidencias de Control | Listado de proveedores críticos con contactos de soporte y acta de revisión anual de servicios. | |
| EXT-09: Caída o incidente del proveedor (M365 / Sabre / Turismatica / TMA). | Métrica de Seguimiento (KPI) | Tiempo de respuesta del soporte del proveedor y porcentaje de disponibilidad anual (Uptime) reportado. | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Identificación del Riesgo | EXT-10: Cambios en condiciones, restricciones o requisitos regulatorios y auditorías de clientes estratégicos . | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Activos Críticos en Riesgo | Procesos (Cumplimiento), Datos (Privacidad) y Reputación institucional . | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Descripción de la Amenaza | Exigencias externas de nuevas normativas o estándares de seguridad solicitados por socios comerciales o autoridades. | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Vulnerabilidades Detectadas | Acuerdos no formalizados, falta de evidencias documentales y ausencia de evaluación periódica de proveedores. | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Dimensión de Seguridad | Cumplimiento: El riesgo es la incapacidad legal o contractual de demostrar que se protege la información según los nuevos estándares. | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Evaluación de Probabilidad | Baja-Media (1-2): Cambios regulatorios no ocurren mensualmente, pero la falta de documentación actual nos hace vulnerables ante un pedido repentino . | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Evaluación de Impacto | Medio-Alto (2-3): Puede ser alto si involucra a un cliente corporativo crítico o a una autoridad regulatoria de viajes. | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Severidad (Exposición) | Riesgo MODERADO (4): Generalmente manejado en Comité, escalando a Alto si hay riesgo de pérdida de contrato . | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Impacto en Datos | Requerimientos de resguardo y privacidad (ej. GDPR) no cubiertos técnicamente por la agencia. | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Impacto Reputacional | Imagen de incumplimiento ante socios estratégicos o demoras en la adecuación de servicios. | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Impacto en Continuidad | Urgencia por regularización documental y fricciones operativas que distraen al equipo de sus tareas centrales. | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Impacto en Cumplimiento | Exigencias no cumplidas, riesgo de pérdida de licencias o clientes corporativos y sanciones económicas. | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Impacto Financiero (Ventas) | Pérdida de contratos corporativos grandes que exigen estándares de seguridad que la agencia no puede demostrar. | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Costos de Oportunidad | Tiempo de la Dirección y Administración dedicado a responder auditorías externas en lugar de expandir el negocio. | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Riesgo Material (Cuantificar) | Monto de sanciones por incumplimiento de normativas de protección de datos y facturación anual de clientes en riesgo. | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Controles Existentes | Gestión reactiva ante requerimientos externos y documentación de seguridad dispersa en carpetas informales. | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Acciones Prioritarias | Crear carpeta de evidencias (políticas, actas, controles), revisión anual de proveedores y checklist de cumplimiento. | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Plazo de Ejecución | Ventana de adecuación documental definida entre 30 y 60 días. | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Responsables (Owners) | Dirección (Decisiones estratégicas) y Administración (Gestión de la evidencia). | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Estrategia de Tratamiento | Mitigar: Formalizar procesos y centralizar evidencias para responder proactivamente a exigencias externas. | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Mecanismos de Mitigación | Administrativo: Carpeta centralizada de evidencias PyME. Legal: Revisión anual de contratos con proveedores críticos . | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Disparador (Trigger) | Notificación de nueva normativa sectorial o solicitud de auditoría de seguridad por parte de un cliente corporativo. | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Evidencias de Control | Carpeta de evidencias actualizada (incluyendo esta PSI y registros), actas de Comité y checklist de contratos. | |
| EXT-10: Cambio contractual/regulatorio que afecte el servicio. | Métrica de Seguimiento (KPI) | Porcentaje de cumplimiento del checklist de evidencias y tiempo de respuesta a auditorías de clientes. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Identificación del Riesgo | TEC-11: Fallo técnico por falta de estandarización en parches, permisos y configuraciones de seguridad . | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Activos Críticos en Riesgo | Tecnología (Notebooks/PCs), Procesos (Soporte IT) y Datos (Seguridad de la información). | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Descripción de la Amenaza | Inexistencia de un estándar de configuración técnica que genera brechas de seguridad y fallas operativas recurrentes. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Vulnerabilidades Detectadas | Administración manual de IT, sin herramienta de gestión centralizada, sin baseline de seguridad y sin controles automáticos. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Dimensión de Seguridad | Integridad y Disponibilidad: El riesgo principal es el mal funcionamiento de los equipos y la exposición ante brechas no detectadas. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Evaluación de Probabilidad | Media (2): Situación posible dada la modalidad actual de soporte bajo demanda y gestión manual. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Evaluación de Impacto | Medio (2): Afecta la productividad y genera incidentes repetidos que degradan la operación. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Severidad (Exposición) | Riesgo MODERADO (4): Resultado de Probabilidad (2) x Impacto (2). Requiere medidas preventivas planificadas. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Impacto en Datos | Brechas de seguridad no detectadas y exposición de información por configuraciones débiles o desactualizadas. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Impacto Reputacional | Incidentes recurrentes que afectan la confianza interna del equipo y la percepción de profesionalismo del cliente. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Impacto en Continuidad | Caída de productividad por fallas técnicas repetidas y mayores tiempos de respuesta para la solución de problemas. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Impacto en Cumplimiento | Falta de evidencia de control y estandarización requerida ante auditorías de seguridad o de clientes estratégicos. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Impacto Financiero (Ventas) | Costos ocultos por reparaciones frecuentes y pérdida de horas de venta por fallas técnicas en equipos de usuarios. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Costos de Oportunidad | Tiempo improductivo de los empleados y del personal de IT dedicado a resolver incidentes que podrían evitarse con estandarización. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Riesgo Material (Cuantificar) | Gasto acumulado en soporte técnico reactivo y costo de recuperación ante incidentes de seguridad derivados de fallas de configuración. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Controles Existentes | Soporte bajo demanda y actualizaciones de seguridad ejecutadas "cuando se puede" de forma manual. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Acciones Prioritarias | Definir baseline mínimo (parches, antivirus, bloqueo, no admin), checklist mensual e inventario de equipos críticos. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Plazo de Ejecución | Ventana de implementación definida para los próximos 30 a 60 días. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Responsables (Owners) | Proveedor IT: Responsable de la ejecución técnica y el mantenimiento del baseline. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Estrategia de Tratamiento | Mitigar: Reducción de la variabilidad técnica mediante controles de estandarización y revisiones periódicas . | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Mecanismos de Mitigación | Técnico: Aplicación de baseline y bloqueo de admin local. Administrativo: Checklist de revisión mensual. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Disparador (Trigger) | Identificación de configuraciones fuera de norma en revisiones aleatorias o aumento en el reporte de fallas similares. | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Evidencias de Control | Inventario básico de equipos, documento de baseline técnico y checklists de revisión mensual completados . | |
| TEC-11: Configuración inconsistente en endpoints (por gestión manual). | Métrica de Seguimiento (KPI) | Porcentaje de equipos alineados al baseline de seguridad y reducción de incidentes técnicos recurrentes. | |
| TEC-12: Backup insuficiente o no probado. | Identificación del Riesgo | TEC-12: Pérdida de información o incapacidad de recuperación post-incidente . | |
| TEC-12: Backup insuficiente o no probado. | Activos Críticos en Riesgo | Datos (SharePoint, clientes), Tecnología (servidores de backup) y Procesos (recuperación de desastres). | |
| TEC-12: Backup insuficiente o no probado. | Descripción de la Amenaza | Inexistencia de copias de seguridad íntegras o fallas en el proceso de restauración ante un desastre o borrado accidental . | |
| TEC-12: Backup insuficiente o no probado. | Vulnerabilidades Detectadas | Backups externos en implementación, falta de pruebas de restauración y dependencia de backups nativos de terceros (Turismatica/TMA) sin verificación . | |
| TEC-12: Backup insuficiente o no probado. | Dimensión de Seguridad | Disponibilidad e Integridad: El riesgo principal es la pérdida definitiva de la información necesaria para operar . | |
| TEC-12: Backup insuficiente o no probado. | Evaluación de Probabilidad | Media (2): Existe incertidumbre técnica sobre la efectividad de los backups actuales ante un fallo total. | |
| TEC-12: Backup insuficiente o no probado. | Evaluación de Impacto | Alto (3): La pérdida de datos de clientes y registros de reservas detiene la operación y genera crisis legal . | |
| TEC-12: Backup insuficiente o no probado. | Severidad (Exposición) | Riesgo ALTO (6): Resultado de Probabilidad (2) x Impacto (3). Requiere mitigación obligatoria según la PSI . | |
| TEC-12: Backup insuficiente o no probado. | Impacto en Datos | Corrupción de archivos o pérdida definitiva de bases de datos de pasajeros y documentación comercial. | |
| TEC-12: Backup insuficiente o no probado. | Impacto Reputacional | Daño crítico a la imagen de la agencia ante la imposibilidad de cumplir con viajes ya señados por pérdida de registros. | |
| TEC-12: Backup insuficiente o no probado. | Impacto en Continuidad | Recuperación lenta o nula de la operación; riesgo de cierre temporal por falta de información operativa. | |
| TEC-12: Backup insuficiente o no probado. | Impacto en Cumplimiento | Exposición ante auditorías y demandas de clientes por falta de trazabilidad y resguardo de datos sensibles. | |
| TEC-12: Backup insuficiente o no probado. | Impacto Financiero (Ventas) | Pérdida de facturación por inoperatividad prolongada y costos de reconstrucción manual de expedientes. | |
| TEC-12: Backup insuficiente o no probado. | Costos de Oportunidad | Desvío total de los recursos humanos a la emergencia de datos, paralizando la gestión de ventas nuevas. | |
| TEC-12: Backup insuficiente o no probado. | Riesgo Material (Cuantificar) | Costo de servicios de recuperación forense y pérdida del valor de mercado por degradación de la base de clientes. | |
| TEC-12: Backup insuficiente o no probado. | Controles Existentes | Backups parciales o nativos del proveedor cloud sin pruebas formales de restauración periódicas. | |
| TEC-12: Backup insuficiente o no probado. | Acciones Prioritarias | Definir dato crítico, crear política de backup, realizar prueba de restauración y confirmar retención en proveedores. | |
| TEC-12: Backup insuficiente o no probado. | Plazo de Ejecución | Ventana de implementación prioritaria definida en 30 a 60 días. | |
| TEC-12: Backup insuficiente o no probado. | Responsables (Owners) | Proveedor IT (ejecución técnica) y Administración (validación de datos críticos). | |
| TEC-12: Backup insuficiente o no probado. | Estrategia de Tratamiento | Mitigar: Asegurar la resiliencia de la información mediante duplicidad y pruebas de integridad . | |
| TEC-12: Backup insuficiente o no probado. | Mecanismos de Mitigación | Técnico: Copias redundantes. Administrativo: Acta formal de prueba de restauración anual . | |
| TEC-12: Backup insuficiente o no probado. | Disparador (Trigger) | Fallo de integridad en archivos habituales o reporte de error en las consolas de backup automáticas . | |
| TEC-12: Backup insuficiente o no probado. | Evidencias de Control | Acta de prueba de restauración con éxito, política de backup aprobada y reportes del proveedor. | |
| TEC-12: Backup insuficiente o no probado. | Métrica de Seguimiento (KPI) | Tiempo de recuperación (RTO) y punto de recuperación (RPO) medidos en la última prueba. |
Haz doble clic en cualquier celda para editarla. Los cambios se guardan automáticamente. Auto-guardado activo