Pérdida de información causada por error humano por falta de copias de seguridad.

Pérdida de información causada por un ataque cibernético por falta de copias de seguridad.

Pérdida o robo de información y/o documentos sensibles por falta de controles de seguridad en los accesos físicos a las instalaciones de la empresa.

Robo de información por personal inconforme.

Pérdida y errores en el uso de la información de la empresa por falta de concientización en temas de seguridad.

Procesamiento ilegal de datos de clientes o colaboradores por falta de mecanismos de monitoreo.

Robo de medios o documentos sensibles por falta de supervisión del personal externo.

Robo o destrucción de equipos o medios extraíbles y de información por uso inadecuado de las instalaciones.

Pérdida o robo de equipos o medios extraíbles por falta de controles de seguridad en los accesos físicos a las instalaciones de la empresa.

Permisos de usuarios obsoletos o mal asignados.

Abuso de los permisos proporcionados a clientes o proveedores a los sistemas de la organización que impactan en la seguridad de la información.

Abuso de los permisos por procedimientos ineficientes o falta de ellos.

Abuso de los permisos por parte de los usuarios por falta de auditorías o revisiones periódicas a las actividades realizadas en los sistemas.

Abuso de los permisos otorgados por usuarios no identificados.

Abuso de los permisos por fallas o errores sin documentar, y por ende, sin atender.

Corrupción o modificación de la información por falta de control documental.

Corrupción o modificación de la información por falta de supervisión de los registros.

Uso de información no verídica o confiable en los procesos de la organización.

Operaciones de seguridad de la información ineficientes e inseguras por falta de una adecuada segregación de funciones.

Incapacidad para mantener o recuperar la continuidad del negocio.

Robo, pérdida o filtrado de información sensible por medio de la mensajería electrónica.

Trazabilidad e integridad de la información ineficiente por falta de registro de eventos (logs).

Robo, pérdida, filtrado o modificación de información sensible por falta de capacitación a los colaboradores.

Ineficiencia y errores por parte de los colaboradores debido a una falta de claridad en las responsabilidades de seguridad de la información.

Acciones perjudiciales e incluso ilegales por parte de los colaboradores debido a acuerdos de seguridad contractuales ineficientes.

Robo, pérdida o mal uso de la información por uso de recursos de procesamiento no autorizados.

Robo, pérdida o mal uso de la información por falta de monitoreo y seguimiento a las brechas de seguridad.

Incumplimiento de requisitos normativos.

Abuso de los permisos por parte de los usuarios por falta de pruebas al software.

Abuso de los permisos por parte de los usuarios por defectos no atendidos en el software.

Abuso de los permisos por parte de los usuarios por cierres de sesión ineficientes en los sistemas.

Abuso de los permisos por parte de los usuarios por no haber realizado un borrado seguro en la reutilización de equipos.

Abuso de los permisos por parte de los usuarios por falta de pruebas de auditoría a los sistemas.

Abuso de los permisos por parte de los usuarios por una asignación de accesos inadecuada.

Corrupción de datos ocasionada por uso de software de distribución amplia.

Corrupción de datos ocasionada por tener información errónea.

Errores en el uso del sistema causados por una interfaz de usuario complicada e ineficiente.

Errores en el uso del sistema causados por falta de documentación.

Errores en el uso del sistema causados por una configuración incorrecta de los parámetros.

Accesos no autorizados por falta de mecanismos de identificación y autenticación.

Accesos no autorizados por uso de contraseñas ineficientes e inseguras.

Accesos no autorizados por una gestión ineficiente de contraseñas y su almacenamiento.

Procesamiento ilegal de datos causado por la habilitación de servicios innecesarios.

Mal funcionamiento del software por falta de conocimiento y/o entrenamiento en su uso.

Mal funcionamiento del software ocasionado por desarrollos incompletos.

Hackeo a aplicativos por falta de revisiones previas a la liberación de nuevas versiones.

Robo de código de software por falta de una política y/o procedimientos de control de cambios.

Manipulación de software por parte de usuarios internos debido al uso no controlado de aplicativos.

Pérdida de información causada por error humano por falta de copias de seguridad.

Pérdida de información causada por un ataque cibernético por falta de copias de seguridad.

Negación de acciones por falta de pruebas del envío y recepción de mensajes.

Negación de acciones por falta de políticas y procedimientos de transmisión de información.

Pérdida o robo de información durante la transmisión de datos por falta de seguridad en las líneas y redes de comunicación.

Pérdida o robo de información por uso de redes inseguras o sin protección.

Falla en el equipo de telecomunicaciones debido a la mala conexión de los cables en el centro de datos.

Falla en el equipo de telecomunicaciones por falta de redundancias.

Transmisión de información insegura por falta de identificación o autenticación de los involucrados.

Espionaje remoto causado por una arquitectura insegura en la red.

Ataque cibernético en la infraestructura por falta de políticas de seguridad en la red.

Robo de contraseñas almacenadas en la base de datos ocasionado por falta de métodos de cifrado.

Saturación del sistema de información ocasionada por una gestión inadecuada de la red.

Robo de información por personal inconforme.

Destrucción de equipos o medios por parte de los colaboradores por procedimientos inadecuados de contratación.

Errores en el uso de equipos y sistemas ocasionado por un mal entrenamiento en seguridad.

Infección por virus informáticos en computadoras por falta de capacitación al personal.

Pérdida de información y errores en el uso de equipos y sistemas por falta de lineamientos de seguridad para el uso adecuado de activos.

Pérdida y errores en el uso de la información de la empresa por falta de concientización en temas de seguridad.

Procesamiento ilegal de datos de clientes o colaboradores por falta de mecanismos de monitoreo.

Robo de medios o documentos sensibles por falta de supervisión del personal externo.

Uso no autorizado o indebido de los medios de telecomunicaciones y mensajería por falta de lineamientos de seguridad.

Abuso de los permisos por parte de los usuarios por falta de un procedimiento formal para el registro y retiro de accesos.

Permisos de usuarios obsoletos o mal asignados.

Abuso de los permisos proporcionados a clientes o proveedores a los sistemas de la organización que impactan en la seguridad de la información.

Abuso de los permisos por procedimientos ineficientes o falta de ellos.

Abuso de los permisos por parte de los usuarios por falta de auditorías o revisiones periódicas a las actividades realizadas en los sistemas.

Abuso de los permisos otorgados por usuarios no identificados.

Abuso de los permisos por fallas o errores sin documentar, y por ende, sin atender.

Interrupciones, fallas o indisponibilidad de los servicios de la organización.

Incumplimiento en los niveles de servicio del proveedor.

Incumplimiento en el mantenimiento de sistemas por falta de procedimientos.

Corrupción o modificación de la información por falta de control documental.

Corrupción o modificación de la información por falta de supervisión de los registros.

Uso de información no verídica o confiable en los procesos de la organización.

Operaciones de seguridad de la información ineficientes e inseguras por falta de una adecuada segregación de funciones.

Incapacidad para mantener o recuperar la continuidad del negocio.

Robo, pérdida o filtrado de información sensible por medio de la mensajería electrónica.

Instalación de software ineficiente e inseguro.

Trazabilidad e integridad de la información ineficiente por falta de registro de eventos (logs).

Robo, pérdida, filtrado o modificación de información sensible por falta de capacitación a los colaboradores.

Ineficiencia y errores por parte de los colaboradores debido a una falta de claridad en las responsabilidades de seguridad de la información.

Acciones perjudiciales e incluso ilegales por parte de los colaboradores debido a acuerdos de seguridad contractuales ineficientes.

Incumplimiento de requisitos normativos.

Explotación de vulnerabilidades de seguridad por falta de informes sobre su existencia.

Incumplimiento en las regulaciones sobre derechos de propiedad intelectual.

Infección por virus o malware en los equipos de la empresa por uso de software falso o copiado.

Mantenimiento de sistemas ineficiente.

Instalación de sistemas fallida.

Pérdida o daño en el equipo por uso excesivo y desgaste.

Pérdida o daño en el equipo provocado por polvo o suciedad.

Daño electromagnético en el equipo.

Errores causados por configuraciones ineficientes.

Fallas en los equipos por pérdidas en las fuentes de energía.

Pérdida o daño en el equipo provocado por causas ambientales.

Robo de información por falta de medidas de protección al equipo.

Robo de información por equipos desatendidos.

Robo de información por almacenamiento de copias no controladas en el equipo.

Pérdida o robo de información y/o documentos sensibles por falta de controles de seguridad en los accesos físicos a las instalaciones de la empresa.

Uso no autorizado de los equipos ocasionado por falta de lineamientos para la protección de equipos.

Fallas en los equipos por falta de políticas de uso de dispositivos.

Falla en el equipo de telecomunicaciones debido a la mala conexión de los cables en el centro de datos.

Falla en el equipo de telecomunicaciones por falta de redundancias.

Uso no autorizado de los equipos por uso de redes inseguras o sin protección.

Uso no autorizado de los equipos por parte de los colaboradores por falta de políticas de teletrabajo.

Robo de información por personal inconforme.

Destrucción de equipos o medios por parte de los colaboradores por procedimientos inadecuados de contratación.

Errores en el uso de equipos y sistemas ocasionado por un mal entrenamiento en seguridad.

Infección por virus informáticos en computadoras por falta de capacitación al personal.

Pérdida de información y errores en el uso de equipos y sistemas por falta de lineamientos de seguridad para el uso adecuado de activos.

Robo de medios o documentos sensibles por falta de supervisión del personal externo.

Robo o destrucción de equipos o medios extraíbles y de información por uso inadecuado de las instalaciones.

Daños en los equipos y activos de información por inundación en las instalaciones físicas de la empresa.

Pérdida monetaria por una inadecuada administración de los espacios ante desastres naturales.

Pérdida o robo de equipos o medios extraíbles por falta de controles de seguridad en los accesos físicos a las instalaciones de la empresa.

Interrupciones, fallas o indisponibilidad de los servicios de la organización.

Robo, pérdida o mal uso de los equipos de la empresa por falta de procesos disciplinarios para incidentes de seguridad.

Robo, pérdida o mal uso de los equipos de la empresa por falta de políticas, o la implementación de ellas sobre la correcta utilización de los equipos.

Robo, pérdida o mal uso de los equipos de la empresa por falta de políticas, o la implementación de ellas sobre el manejo de equipos en lugares públicos o poco seguros.

Robo, pérdida o mal uso de la información por falta de políticas, o la implementación de ellas sobre la limpieza de escritorios (físicos y/o virtuales) y pantallas.

Incumplimiento de requisitos normativos.

Explotación de vulnerabilidades de seguridad por falta de informes sobre su existencia.

Pérdida o robo de información y/o documentos sensibles por falta de controles de seguridad en los accesos físicos a las instalaciones de la empresa.

Robo o destrucción de equipos o medios extraíbles y de información por uso inadecuado de las instalaciones.

Daños en los equipos y activos de información por inundación en las instalaciones físicas de la empresa.

Pérdida monetaria por una inadecuada administración de los espacios ante desastres naturales.

Pérdida de energía en oficinas causada por una red energética inestable.

Paro de labores por falta de energía eléctrica en las instalaciones.

Pérdida o robo de equipos o medios extraíbles por falta de controles de seguridad en los accesos físicos a las instalaciones de la empresa.

Incumplimiento de requisitos normativos.

Incumplimiento en la disponibilidad del servicio por ausencia de los colaboradores a causa de enfermedades, asuntos personales y/o motivos ambientales.

Pérdida de contratos con clientes por ausencia de personal.

Destrucción de equipos o medios por parte de los colaboradores por procedimientos inadecuados de contratación.

Errores en el uso de equipos y sistemas ocasionado por un mal entrenamiento en seguridad.

Infección por virus informáticos en computadoras por falta de capacitación al personal.

Pérdida y errores en el uso de la información de la empresa por falta de concientización en temas de seguridad.

Procesamiento ilegal de datos de clientes o colaboradores por falta de mecanismos de monitoreo.

Incumplimiento de requisitos normativos.

Permisos de usuarios obsoletos o mal asignados.

Abuso de los permisos proporcionados a clientes o proveedores a los sistemas de la organización que impactan en la seguridad de la información.

Abuso de los permisos por procedimientos ineficientes o falta de ellos.

Abuso de los permisos por parte de los usuarios por falta de auditorías o revisiones periódicas a las actividades realizadas en los sistemas.

Abuso de los permisos otorgados por usuarios no identificados.

Abuso de los permisos por fallas o errores sin documentar, y por ende, sin atender.

Interrupciones, fallas o indisponibilidad de los servicios de la organización.

Incumplimiento en el mantenimiento de sistemas por falta de procedimientos.

Corrupción o modificación de la información por falta de control documental.

Corrupción o modificación de la información por falta de supervisión de los registros.

Uso de información no verídica o confiable en los procesos de la organización.

Operaciones de seguridad de la información ineficientes e inseguras por falta de una adecuada segregación de funciones.

Incapacidad para mantener o recuperar la continuidad del negocio.

Trazabilidad e integridad de la información ineficiente por falta de registro de eventos (logs).

Robo, pérdida, filtrado o modificación de información sensible por falta de capacitación a los colaboradores.

Ineficiencia y errores por parte de los colaboradores debido a una falta de claridad en las responsabilidades de seguridad de la información.

Acciones perjudiciales e incluso ilegales por parte de los colaboradores debido a acuerdos de seguridad contractuales ineficientes.

Incumplimiento de requisitos normativos.

Permisos de usuarios obsoletos o mal asignados.

Abuso de los permisos proporcionados a clientes o proveedores a los sistemas de la organización que impactan en la seguridad de la información.

Abuso de los permisos por procedimientos ineficientes o falta de ellos.

Abuso de los permisos por parte de los usuarios por falta de auditorías o revisiones periódicas a las actividades realizadas en los sistemas.

Abuso de los permisos otorgados por usuarios no identificados.

Abuso de los permisos por fallas o errores sin documentar, y por ende, sin atender.

Interrupciones, fallas o indisponibilidad de los servicios de la organización.

Incumplimiento en los niveles de servicio del proveedor.

Incumplimiento en el mantenimiento de sistemas por falta de procedimientos.

Corrupción o modificación de la información por falta de control documental.

Corrupción o modificación de la información por falta de supervisión de los registros.

Uso de información no verídica o confiable en los procesos de la organización.

Operaciones de seguridad de la información ineficientes e inseguras por falta de una adecuada segregación de funciones.

Incapacidad para mantener o recuperar la continuidad del negocio.

Trazabilidad e integridad de la información ineficiente por falta de registro de eventos (logs).

Robo, pérdida, filtrado o modificación de información sensible por falta de capacitación a los colaboradores.

Ineficiencia y errores por parte de los colaboradores debido a una falta de claridad en las responsabilidades de seguridad de la información.

Acciones perjudiciales e incluso ilegales por parte de los colaboradores debido a acuerdos de seguridad contractuales ineficientes.

Incumplimiento de requisitos normativos.

Fallas en procesos críticos que ocasionen interrupciones en la operación de servicios esenciales, afectando directamente la disponibilidad de recursos, atención al cliente, producción o servicios internos, lo que genera impactos económicos y reputacionales.

Errores en procesos de almacenamiento, respaldo o transferencia de datos que deriven en pérdida total o parcial de información sensible, afectando la integridad de los sistemas y comprometiendo la toma de decisiones o el cumplimiento normativo.

Deficiencias en los controles de acceso durante la ejecución de procesos críticos que permitan a usuarios internos y/o externos acceder a información confidencial o sistemas restringidos, generando riesgos de fuga de datos, sabotaje o fraude.

Fallas en procesos automáticos o manuales que ocasionen errores en el tratamiento de datos (como cálculos financieros, validaciones o autorizaciones), lo que puede provocar impactos legales, financieros o errores masivos en otros sistemas.

Procesos críticos sin mecanismos de control o auditoría adecuados que generan actividades anómalas, fallas técnicas o accesos indebidos, aumentando la exposición ante amenazas persistentes o incidentes internos.

Caída de sistemas o infraestructuras que soportan procesos críticos (como servidores, redes, bases de datos) que ocasionen la detención de operaciones clave y la capacidad de respuesta ante emergencias.

Intervenciones manuales mal ejecutadas en procesos críticos que introduzcan errores o vulnerabilidades, exponiendo a la organización a brechas de seguridad, fallos funcionales y sanciones por incumplimientos regulatorios.

Dependencia de un solo proveedor, herramienta o infraestructura para la ejecución de procesos críticos que obstaculizan la atención y corrección de cualquier falla o indisponibilidad, comprometiendo así el funcionamiento global del proceso y las opciones de recuperación.

Pérdida o robo de información por accesos no autorizados a los sistemas financieros de la empresa debido a un mal manejo de las credenciales o vulnerabilidades en el sistema.

Alteración de registros financieros o datos contables para ocultar fraudes internos o cometer desfalcos.

Uso indebido de información confidencial de la empresa o de clientes con fines personales o fraudulentos (por ejemplo, venderlos a terceros).

Emisión de facturas falsas o sobreprecio en los servicios proporcionados a los clientes para el desvío de fondos de la organización.

Pérdida o robo de información durante la transmisión de datos sensibles (por ejemplo datos de tarjetas de crédito o información personal) a través de una interceptación provocada por un atacante, debido a la falta de cifrado adecuado o una red insegura.

Ejecución de acciones fraudulentas como aprobar pagos que no corresponden o acceder a datos sin autor, debido a una mala asignación o segregación de permisos privilegiados.

Integridad de la información ineficiente o modificaciones no autorizadas a los registros de sistemas (logs) para ocultar actividades fraudulentas.

Falta de conocimiento en la subcontratación de servicios promoviendo de alguna manera la realización de actividades fraudulentas, como la manipulación de datos o el acceso no autorizado a sistemas de clientes.

Transacciones financieras fraudulentas y/o maliciosas a través de accesos internos no autorizados o por vulnerabilidades no remediadas en los sistemas.

Aprobación de gastos no legítimos para obtención de beneficios propios de los actores.

El sistema de IA toma una decisión incorrecta al no poder generalizar su aprendizaje a situaciones imprevistas ("edge cases") del mundo real, debido a la alta complejidad y variabilidad de su entorno operativo, lo que podría resultar en accidentes o daños a la propiedad.

El sistema no puede explicar las decisiones del sistema de IA a las partes interesadas (clientes, reguladores), debido a la opacidad del modelo ("caja negra"), resultando en una pérdida de confianza, sanciones legales y la incapacidad de asignar responsabilidades tras un incidente.

Accesos no autorizados o modificación de los conjuntos de datos de entrenamiento, debido a controles de seguridad deficientes, lo que podría comprometer la privacidad de los datos, la integridad del modelo y la propiedad intelectual.

El sistema de IA genera resultados inexactos debido al uso de datos de entrenamiento de baja calidad (incompletos o irrelevantes), impactando negativamente en las operaciones.

Manipulación del sistema mediante la introducción de datos corruptos en el entrenamiento (envenenamiento de datos), provocando que el modelo falle de manera predecible.

El sistema genera resultados sesgados, debido a un proceso de recopilación de datos que no garantiza una muestra representativa del entorno de despliegue.

El sistema genera resultados incorrectos o deja de estar disponible, debido a fallos en los componentes de hardware subyacentes (ej. GPUs, sensores).

El rendimiento del modelo en producción es inferior al esperado, debido a errores durante su entrenamiento o despliegue, resultando en fallos inesperados del sistema.

El sistema es incapaz de cumplir sus objetivos, debido a una elección incorrecta del algoritmo o la arquitectura durante la fase de diseño.

La precisión del sistema se degrada con el tiempo (deriva del modelo o "model drift"), debido a la falta de un plan de mantenimiento y re-entrenamiento periódico.

No poder detener de forma segura un sistema de IA que opera de manera errática, debido a la ausencia de un mecanismo de desactivación de emergencia ("kill switch").

Las partes interesadas confían excesivamente en los resultados del sistema, debido a una comunicación deficiente sobre sus limitaciones inherentes, lo que puede llevar a decisiones erróneas.

Implementación de un sistema con sesgos o errores críticos, debido a una falta de supervisión humana adecuada en las fases clave del ciclo de vida.

Manipulación de las entradas del sistema (por ejemplo cambiando píxeles en una imagen) para forzar una clasificación incorrecta, comprometiendo la seguridad del sistema.

El sistema perpetúa sesgos históricos presentes en los datos, resultando en decisiones que discriminan a ciertos grupos demográficos (por ejemplo en la concesión de créditos).

El sistema expone información personal sensible al "memorizar" y reproducir datos de su conjunto de entrenamiento.

Incumplimiento con regulaciones específicas de IA, debido a una falta de alineación del diseño y la gobernanza del sistema con los requisitos legales, resultando en multas significativas.