Doc Gt 004 Matriz Riesgo Tecnologica

Texto completo

(1)

MATRIZ DE RIESGOS

PROCESO GESTION TECNOLOGICA Y COMUNICACIONES

1

2 Uso indebido de la información

3

4

5

6

7

8 Falta de presentación del informe de gestión

9

Fracaso de eventos programados Suspensión de actividades o eventos

(1)

CÓDIGO

RIESGO

(2)

DESCRIPCIÓN

(3)

Inadecuada adquisicion de software y hardware

1. Adquirir un software que no cumpla los requerimientos y las necesidades de la universidad - 2. Adquirir activos de comunicación (sw, router, etc) que no cumpla los requerimientos y las necesidades de la universidad

Posibilidad de que se acceda, manipule y/o divulgue sin autorización la información privilegiada o de reserva que se origine, suministre o custodie en los sistemas de información

Vulnerabilidad del sistema de información

Posibilidad que terceros entre de forma indebida o fraudulenta a los sistema de información de la Universidad, para alterar, hurtar o dañar la información.

Daños, deterioro o pérdida de los

recursos tecnológicos Posibilidad de que se presenten daños, fallas o perdidas de los recursos tecnologicos, en su uso, y/o almacenamiento .

Ausencia y/o deficiencia en los softwares y sistemas de información

Hace referencia a la falta y/o definiciencia en los sofware y/o sistemas de información.

Inadecuada utilizacion del portal

institucional Hace referencia a la subutilización del portal por parte de la comunidad universitaria

Fallas en las telecomunicaciones y/o fluido electrico

Posibilidad de que se presenten fallas en las telecomunicaciones (internet, redes, intranet, servicio telefonico) o en el fluido eléctrico de la entidad para el desarrollo de sus operaciones

Desconocimiento de los avances del Plan Estrátegico

(2)

10

11

Humedad proucida por sistemas de refrigeración inadecuados y/o filtraciones de agua

Daños en la infraestructura física producida por condensación, hongos, bacterias, acaros.

Accesos no autorizados a las instalaciones del area tecnologica

Ingreso de personas no autorizadas para la manipulación de equipos tecnologicos

(3)

MATRIZ DE RIESGOS

PROCESO GESTION TECNOLOGICA Y COMUNICACIONES

Desinformación de la comunidad universitaria

Sanciones legales, desinformación

Poca o nula divulgació.

(6)

CAUSAS

CONSECUENCIAS

(7)

1.Suministro y/o captura inadecuada de la información de requerimiento y/o necesidades del software

2. Desconocimiento

Perdidas economicas

Paralisis del sistema de información

Inestabilidad de los procesos - fallas en la red de datos

1. Bajo nivel de seguridad para el acceso a la información. 2. Desconocimiento de las políticas de manejo de información.

3. Actos mal intencionados de terceros. 4. Acceso no autorizado a información. 5. Fraude interno.

Mala imagen,

Toma de decisiones no adecuadas.

1. Bajo nivel de seguridad para el acceso a la información. 2. cortafuegos inadecuados. 3. Bugs en los sistemas de información. 4. Desconocimiento en estándares para laimplementación de seguridad en los sistemas de información.

Perdidas economicas.

Inestabilidad de los procesos. Fuga de información

1.Falta y/o inadecuado mantenimiento de los recursos tecnologicos

2.Baja calidad de los recursos tecnologicos 3. Inadecuado uso de los recursos tecnologicos 4. Falta de capacitación sobre el adecuado uso de los recursos tecnologicos. 5. Falta de protección de los recursos tecnologicos.6. terrorismo 7. factores ambientales

Equipos dañados, desprovechamientos de los recursos tecnologicos

1. Demora en el tramite de compra de software y/o sistemas de información

2. Falta y/o inadecuado mantenimiento de los recursos tecnologicos

3. 2.Baja calidad de los recursos tecnologicos

Cambios de precios de compras, perdida de garantias

1. Falta de cultura tecnologica

2. Falta de información sobre el uso y la utilizada 3. Falta de capacitación

1. Falta de disponibilidad del servicio por parte del proveedor 2. Falta de mantenimiento de los equipos y redes 3. Deterioro de las redes 4. Manjeo adecuado y operación de los usuarios y tecnicos 6. Falla en las comunicaciones. 8. Fluctuaciones en el fluido electrico. 9. Falta de protección ante pico de voltajes y/o interrupción del fluido electrico no planificado (Redundancia de Energia).

Perdida de información, demora en los procesos,perdidad de la imagen de la entidad ante el publico, información inoportuna, Incumplimiento del proceso, alteración de la operación.

Elaboración inadecuada o nula del informe. Falta de solcialización del PETI en el area de tecnologia.

Presupuesto inadecuado, frustración de los organizadores, incumplimiento con invitados

(4)

Gas Instantáneo en la Línea de Líquido, Restricciones en la Línea de Líquido, Diseño Inadecuado de Tubería,

Subenfriamiento Inadecuado, Baja Presión de Condensación, Carga Excesiva en el Evaporador, Problemas y Soluciones, Baja Presión de Condensación,

Control del humidificador, Contaminación en el Sistema.

Hospitalizaciones, incapacidades, muerte, perdida de información, interrupción de procesos, daños físicos de planta, daños en infraestructura tecnologica.

1. Inadecuado control de acceso a las instalaciones 2.Puertas no aptas para la seguridad

Perdida, daños, manipulación, robos en la infraestructura tecnologica

(5)

MATRIZ DE RIESGOS

PROCESO GESTION TECNOLOGICA Y COMUNICACIONES

ANALISIS DE RIESGOS

5

BAJA

2

10

MEDIA

2

20

ALTA

2

10

MEDIA

2

20

ALTA

2

10

MEDIA

1

20

ALTA

2

5

BAJA

1

5

BAJA

2

(8)

(6)

20

ALTA

3

(7)

MATRIZ DE RIESGOS

MATRIZ DE RIESGOS

PROCESO GESTION TECNOLOGICA Y COMUNICACIONES

PROCESO GESTION TECNOLOGICA Y COMUNICACIONES

ANALISIS DE RIESGOS

EVALUACIÓN DE RIESGOS

MODERADO

10

Evalución de experto

MODERADO

20

MODERADO

40

MODERADO

20

MODERADO

40

LEVE

10

MODERADO

40

LEVE

5

MODERADO

10

(11)

IMPACTO

(12)

SEVERIDAD

(Riego Inherente)

(13)

CONTROL

Mejoramiento de la jerarquia de usuarios. Divulgación de las politicas de manejo de la información. Monitoreo a los sistemas de información. Procedimientos para la asignación de roles y accesos a los sistemas de información.

Fortalecimiento de los cortafuegos. Procedimientos de control para la detección de vulnerabilidades en los sistemas de información. Aplicación de buenas practicas para el desarrollo e implementación de sistemas de información seguros.

Instalación y verificación del antivirus. Verificación de los tomas electricos, con el fin de establecer que el voltaje sea el apropiado para la instalaciópn de los equipos.

Determinar las caracteristicas adecuadas

Capacitación y divulgación del portal web

Verificación de las condiciones operativas de la ups

Mantener cronograma de acopio de información

Diseñar programa de eventos, Diseño adecuado de la logistica, manejar plan de medios

(8)

CATASTROFICO

60

CATASTROFICO

60

Evalución de experto, Mantenimientos preventivos y programados

Refoezar el acceso fisico a las instalaciones de tecnologia, observación permanente del area

(9)

MATRIZ DE RIESGOS

PROCESO GESTION TECNOLOGICA Y COMUNICACIONES

EVALUACIÓN DE RIESGOS

PREVENTIVO

SI

PREVENTIVO

SI

PREVENTIVO

SI

PREVENTIVO

SI

PREVENTIVO

NO

PREVENTIVO

SI

Sitio web institucional

Mantenimiento de la ups

PREVENTIVO

NO

PREVENTIVO

SI

Sitio web institucional

PREVENTIVO

SI

Plan de medios

(14)

DESCRIPCIÓN DEL CONTROL

TIPO DE CONTROL

(15)

(16) ESTA

DOCUMENTADO

?

(17) DONDE ESTA

DOCUMENTADO

Diagnostico sobre ventajas y desventajas

del software

Procedemientos

establecidos Página web

institucional

Establecimiento de roles en el sistema. Optimización de los controles en los sistemas de información

Manual de seguridad y politicas de informatica sitio web institucional

Verificar que las politicas de protección esten funcionando adecuadamente.

Manual de seguridad y politicas de informatica sitio web institucional

Monitoreo adecuado del antivirus. Verificaión de los puntos electricos, con el objetivo de detectar alguna falla en el fluido que puedad afectar el funcionamiento de los recursos tecnologicos.

Manual de seguridad y politicas de informatica sitio web institucional

Brindar la asesoria necesaria en la adquisición

A traves de cursos y/o manuales de usuario

Involucrar a todas las instancias que suministran información

Divulgación de responsabilidades y tareas

(10)

Correctivo

SI

Sitio web institucional

PREVENTIVO

NO

Diagnostico del sistema de refrigeración y mantenimiento

Instalacion de nuevas cerraduras, cambios de puertas, monitorización de ingresos a las instalaciones de informatica

(11)

MATRIZ DE RIESGOS

MATRIZ DE RIESGOS

PROCESO GESTION TECNOLOGICA Y COMUNICACIONES

PROCESO GESTION TECNOLOGICA Y COMUNICACIONES

EVALUACIÓN DE RIESGOS

CALIFICACIÒN DE RIESGO RESIDUAL

SI

ALTA

5

SI

ALTA

mensual

5

SI

ALTA

Diariamente

10

SI

ALTA

Semanal

5

SI

ALTA

10

SI

ALTA

5

SI

ALTA

Semanal

10

SI

ALTA

Cuando se presenta

5

SI

Media

5

(18)

APLICACIÓN

(19)

EFICACIA DEL

CONTROL

(20)

FRECUENCIA DEL

CONTROL

(21)

VALOR

Cuando se

presenta

Cuando se

presenta

Cuando se

presenta

Cuando se

presenta

(12)

SI

Baja

Programado

10

(13)

MATRIZ DE RIESGOS

PROCESO GESTION TECNOLOGICA Y COMUNICACIONES

CALIFICACIÒN DE RIESGO RESIDUAL

BAJA

2

MODERADO

10

BAJA

2

MODERADO

10

MEDIA

2

MODERADO

20

BAJA

2

MODERADO

10

MEDIA

2

MODERADO

20

BAJA

1

LEVE

5

MEDIA

2

MODERADO

20

BAJA

1

LEVE

5

BAJA

2

MODERADO

10

(22)

(14)

MEDIA

3

CATASTROFICO

30

(15)

MATRIZ DE RIESGOS

PROCESO GESTION TECNOLOGICA Y COMUNICACIONES

TRATAMIENTO

Considerar la participación de la(s) persona experta

Según la ocurrencia

Según la ocurrencia

Diariamente

semanal

Según la ocurrencia

Según la ocurrencia

Lograr la redundancia electrica en la institución Según la ocurrencia

Divulgación del plan Según la ocurrencia

Según la ocurrencia

(26)

ACCIÓN DE TRATAMIENTO

(27)

TIEMPO DE

IMPLEMENTACIÓN

Reasignación de Roles en el sistema, implemenentación de mas niveles de seguridad, socialización de las politicas de manejo de información

Robustecer la seguridad mejorando los cortafuegos. Aplicar buenas practicas en el desarrollo de sistemas de información seguros.

Controlar que los equipos institucionales tengan el antivirus institucional, el buen uso y su actualización

Participación activa del experto en la determinación

de adquiir tecnologia

Involucrar en el plan de capacitación institucional el

uso adecuado del portal

Designar tareas y controlar las responsabilidades de

acuerdo a cronograma del evento

(16)

Según la ocurrencia

Robustecer el control de acceso fisico en el area

Diariamente

Reporte al contratista encargado del area de salud

ocupacional y la ARP para realizar las diferentes

actividades que se requieran. Solicitud de

actualización al procedimiento DE MANTENIMIENTO

CORRECTIVO Y SERVICIOS (Servicios Generales) a

nivel preventivo. Programación de mantenimiento por

parte de servicios generales. Solicitud de estudio

microbiologico de ambiente a Ciencias Básicas.

(17)

MATRIZ DE RIESGOS

PROCESO GESTION TECNOLOGICA Y COMUNICACIONES

TRATAMIENTO

Bajo

Medio

Medio Oficina de informatica

Medio

Medio

Bajo

Alto Servicios Generales

Bajo Procesos involucrados

Medio

Comunicaciones

VERSION: 1

CODIGO: D0C-GT-004

PAGINA: 1 DE 5

(28)

COSTO

RESPONSABLE

(29)

Bienes y

suministros-Oficina de Informatica

Procesos involucrados- Oficina de informatica

Procesos involucrados- Oficina de informatica

Bienes y

suministros-Oficina de Informatica

Talento Humano-Bienestar

Universitario-Oficina de

informatica-comunicaciones

(18)

medio

Medio

Talento Humano-Servicios

Generales-Oficina de

informatica-comunicaciones

Bienes y

suministros-Oficina de Informatica -

Vigilancia Externa-

Servicios generales

Figure

Actualización...

Referencias

Actualización...

Related subjects :