| MATRIZ DE RIESGOS | MATRIZ DE RIESGOS | MATRIZ DE RIESGOS | MATRIZ DE RIESGOS | MATRIZ DE RIESGOS | VERSION: 1 CODIGO: D0C-GT-004 PAGINA: 1 DE 5 | |||||||||||||||||||||
| PROCESO GESTION TECNOLOGICA Y COMUNICACIONES | PROCESO GESTION TECNOLOGICA Y COMUNICACIONES | PROCESO GESTION TECNOLOGICA Y COMUNICACIONES | PROCESO GESTION TECNOLOGICA Y COMUNICACIONES | PROCESO GESTION TECNOLOGICA Y COMUNICACIONES | ||||||||||||||||||||||
| (1) CÓDIGO | (2) RIESGO | (3) DESCRIPCIÓN | (6) CAUSAS | (7) CONSECUENCIAS | ANALISIS DE RIESGOS | EVALUACIÓN DE RIESGOS | CALIFICACIÒN DE RIESGO RESIDUAL | TRATAMIENTO | ||||||||||||||||||
| (8) VALOR | (9) PROBABILIDAD | (10) VALOR | (11) IMPACTO | (12) SEVERIDAD (Riego Inherente) | (13) CONTROL | (14) DESCRIPCIÓN DEL CONTROL | (15) TIPO DE CONTROL | (16) ESTA DOCUMENTADO? | (17) DONDE ESTA DOCUMENTADO | (18) APLICACIÓN | (19) EFICACIA DEL CONTROL | (20) FRECUENCIA DEL CONTROL | (21) VALOR | (22) PROBABILIDAD | (23) VALOR | (24) IMPACTO | (25) SEVERIDAD | (26) ACCIÓN DE TRATAMIENTO | (27) TIEMPO DE IMPLEMENTACIÓN | (28) COSTO | (29) RESPONSABLE | |||||
| 1 | Inadecuada adquisicion de software y hardware | 1. Adquirir un software que no cumpla los requerimientos y las necesidades de la universidad - 2. Adquirir activos de comunicación (sw, router, etc) que no cumpla los requerimientos y las necesidades de la universidad | 1.Suministro y/o captura inadecuada de la información de requerimiento y/o necesidades del software 2. Desconocimiento | Perdidas economicas Paralisis del sistema de información Inestabilidad de los procesos - fallas en la red de datos | 5 | BAJA | 2 | MODERADO | 10 | Evalución de experto | Diagnostico sobre ventajas y desventajas del software | PREVENTIVO | SI | Procedemientos establecidos Página web institucional | SI | ALTA | Cuando se presenta | 5 | BAJA | 2 | MODERADO | 10 | Considerar la participación de la(s) persona experta | Según la ocurrencia | Bajo | Bienes y suministros-Oficina de Informatica |
| 2 | Uso indebido de la información | Posibilidad de que se acceda, manipule y/o divulgue sin autorización la información privilegiada o de reserva que se origine, suministre o custodie en los sistemas de información | 1. Bajo nivel de seguridad para el acceso a la información. 2. Desconocimiento de las políticas de manejo de información. 3. Actos mal intencionados de terceros. 4. Acceso no autorizado a información. 5. Fraude interno. | Mala imagen, Toma de decisiones no adecuadas. | 10 | MEDIA | 2 | MODERADO | 20 | Mejoramiento de la jerarquia de usuarios. Divulgación de las politicas de manejo de la información. Monitoreo a los sistemas de información. Procedimientos para la asignación de roles y accesos a los sistemas de información. | Establecimiento de roles en el sistema. Optimización de los controles en los sistemas de información | PREVENTIVO | SI | Manual de seguridad y politicas de informatica sitio web institucional | SI | ALTA | mensual | 5 | BAJA | 2 | MODERADO | 10 | Reasignación de Roles en el sistema, implemenentación de mas niveles de seguridad, socialización de las politicas de manejo de información | Según la ocurrencia | Medio | Procesos involucrados- Oficina de informatica |
| 3 | Vulnerabilidad del sistema de información | Posibilidad que terceros entre de forma indebida o fraudulenta a los sistema de información de la Universidad, para alterar, hurtar o dañar la información. | 1. Bajo nivel de seguridad para el acceso a la información. 2. cortafuegos inadecuados. 3. Bugs en los sistemas de información. 4. Desconocimiento en estándares para laimplementación de seguridad en los sistemas de información. | Perdidas economicas. Inestabilidad de los procesos. Fuga de información | 20 | ALTA | 2 | MODERADO | 40 | Fortalecimiento de los cortafuegos. Procedimientos de control para la detección de vulnerabilidades en los sistemas de información. Aplicación de buenas practicas para el desarrollo e implementación de sistemas de información seguros. | Verificar que las politicas de protección esten funcionando adecuadamente. | PREVENTIVO | SI | Manual de seguridad y politicas de informatica sitio web institucional | SI | ALTA | Diariamente | 10 | MEDIA | 2 | MODERADO | 20 | Robustecer la seguridad mejorando los cortafuegos. Aplicar buenas practicas en el desarrollo de sistemas de información seguros. | Diariamente | Medio | Oficina de informatica |
| 4 | Daños, deterioro o pérdida de los recursos tecnológicos | Posibilidad de que se presenten daños, fallas o perdidas de los recursos tecnologicos, en su uso, y/o almacenamiento . | 1.Falta y/o inadecuado mantenimiento de los recursos tecnologicos 2.Baja calidad de los recursos tecnologicos 3. Inadecuado uso de los recursos tecnologicos 4. Falta de capacitación sobre el adecuado uso de los recursos tecnologicos. 5. Falta de protección de los recursos tecnologicos.6. terrorismo 7. factores ambientales | Equipos dañados, desprovechamientos de los recursos tecnologicos | 10 | MEDIA | 2 | MODERADO | 20 | Instalación y verificación del antivirus. Verificación de los tomas electricos, con el fin de establecer que el voltaje sea el apropiado para la instalaciópn de los equipos. | Monitoreo adecuado del antivirus. Verificaión de los puntos electricos, con el objetivo de detectar alguna falla en el fluido que puedad afectar el funcionamiento de los recursos tecnologicos. | PREVENTIVO | SI | Manual de seguridad y politicas de informatica sitio web institucional | SI | ALTA | Semanal | 5 | BAJA | 2 | MODERADO | 10 | Controlar que los equipos institucionales tengan el antivirus institucional, el buen uso y su actualización | semanal | Medio | Procesos involucrados- Oficina de informatica |
| 5 | Ausencia y/o deficiencia en los softwares y sistemas de información | Hace referencia a la falta y/o definiciencia en los sofware y/o sistemas de información. | 1. Demora en el tramite de compra de software y/o sistemas de información 2. Falta y/o inadecuado mantenimiento de los recursos tecnologicos 3. 2.Baja calidad de los recursos tecnologicos | Cambios de precios de compras, perdida de garantias | 20 | ALTA | 2 | MODERADO | 40 | Determinar las caracteristicas adecuadas | Brindar la asesoria necesaria en la adquisición | PREVENTIVO | NO | SI | ALTA | Cuando se presenta | 10 | MEDIA | 2 | MODERADO | 20 | Participación activa del experto en la determinación de adquiir tecnologia | Según la ocurrencia | Medio | Bienes y suministros-Oficina de Informatica | |
| 6 | Inadecuada utilizacion del portal institucional | Hace referencia a la subutilización del portal por parte de la comunidad universitaria | 1. Falta de cultura tecnologica 2. Falta de información sobre el uso y la utilizada 3. Falta de capacitación | Desinformación de la comunidad universitaria | 10 | MEDIA | 1 | LEVE | 10 | Capacitación y divulgación del portal web | A traves de cursos y/o manuales de usuario | PREVENTIVO | SI | Sitio web institucional | SI | ALTA | Cuando se presenta | 5 | BAJA | 1 | LEVE | 5 | Involucrar en el plan de capacitación institucional el uso adecuado del portal | Según la ocurrencia | Bajo | Talento Humano-Bienestar Universitario-Oficina de informatica-comunicaciones |
| 7 | Fallas en las telecomunicaciones y/o fluido electrico | Posibilidad de que se presenten fallas en las telecomunicaciones (internet, redes, intranet, servicio telefonico) o en el fluido eléctrico de la entidad para el desarrollo de sus operaciones | 1. Falta de disponibilidad del servicio por parte del proveedor 2. Falta de mantenimiento de los equipos y redes 3. Deterioro de las redes 4. Manjeo adecuado y operación de los usuarios y tecnicos 6. Falla en las comunicaciones. 8. Fluctuaciones en el fluido electrico. 9. Falta de protección ante pico de voltajes y/o interrupción del fluido electrico no planificado (Redundancia de Energia). | Perdida de información, demora en los procesos,perdidad de la imagen de la entidad ante el publico, información inoportuna, Incumplimiento del proceso, alteración de la operación. | 20 | ALTA | 2 | MODERADO | 40 | Verificación de las condiciones operativas de la ups | Mantenimiento de la ups | PREVENTIVO | NO | SI | ALTA | Semanal | 10 | MEDIA | 2 | MODERADO | 20 | Lograr la redundancia electrica en la institución | Según la ocurrencia | Alto | Servicios Generales | |
| 8 | Desconocimiento de los avances del Plan Estrátegico | Falta de presentación del informe de gestión | Elaboración inadecuada o nula del informe. Falta de solcialización del PETI en el area de tecnologia. | Sanciones legales, desinformación | 5 | BAJA | 1 | LEVE | 5 | Mantener cronograma de acopio de información | Involucrar a todas las instancias que suministran información | PREVENTIVO | SI | Sitio web institucional | SI | ALTA | Cuando se presenta | 5 | BAJA | 1 | LEVE | 5 | Divulgación del plan | Según la ocurrencia | Bajo | Procesos involucrados |
| 9 | Fracaso de eventos programados | Suspensión de actividades o eventos | Poca o nula divulgació. | Presupuesto inadecuado, frustración de los organizadores, incumplimiento con invitados | 5 | BAJA | 2 | MODERADO | 10 | Diseñar programa de eventos, Diseño adecuado de la logistica, manejar plan de medios | Divulgación de responsabilidades y tareas | PREVENTIVO | SI | Plan de medios | SI | Media | Cuando se presenta | 5 | BAJA | 2 | MODERADO | 10 | Designar tareas y controlar las responsabilidades de acuerdo a cronograma del evento | Según la ocurrencia | Medio | Comunicaciones |
| 10 | Humedad proucida por sistemas de refrigeración inadecuados y/o filtraciones de agua | Daños en la infraestructura física producida por condensación, hongos, bacterias, acaros. | Gas Instantáneo en la Línea de Líquido, Restricciones en la Línea de Líquido, Diseño Inadecuado de Tubería, Subenfriamiento Inadecuado, Baja Presión de Condensación, Carga Excesiva en el Evaporador, Problemas y Soluciones, Baja Presión de Condensación, Control del humidificador, Contaminación en el Sistema. | Hospitalizaciones, incapacidades, muerte, perdida de información, interrupción de procesos, daños físicos de planta, daños en infraestructura tecnologica. | 20 | ALTA | 3 | CATASTROFICO | 60 | Evalución de experto, Mantenimientos preventivos y programados | Diagnostico del sistema de refrigeración y mantenimiento | Correctivo | SI | Sitio web institucional | SI | Baja | Programado | 10 | MEDIA | 3 | CATASTROFICO | 30 | Reporte al contratista encargado del area de salud ocupacional y la ARP para realizar las diferentes actividades que se requieran. Solicitud de actualización al procedimiento DE MANTENIMIENTO CORRECTIVO Y SERVICIOS (Servicios Generales) a nivel preventivo. Programación de mantenimiento por parte de servicios generales. Solicitud de estudio microbiologico de ambiente a Ciencias Básicas. | Según la ocurrencia | medio | Talento Humano-Servicios Generales-Oficina de informatica-comunicaciones |
| 11 | Accesos no autorizados a las instalaciones del area tecnologica | Ingreso de personas no autorizadas para la manipulación de equipos tecnologicos | 1. Inadecuado control de acceso a las instalaciones 2.Puertas no aptas para la seguridad | Perdida, daños, manipulación, robos en la infraestructura tecnologica | 20 | ALTA | 3 | CATASTROFICO | 60 | Refoezar el acceso fisico a las instalaciones de tecnologia, observación permanente del area | Instalacion de nuevas cerraduras, cambios de puertas, monitorización de ingresos a las instalaciones de informatica | PREVENTIVO | NO | SI | Alta | Semanal | 10 | MEDIA | 2 | MODERADO | 20 | Robustecer el control de acceso fisico en el area | Diariamente | Medio | Bienes y suministros-Oficina de Informatica - Vigilancia Externa- Servicios generales | |
martes, 24 de febrero de 2015
MATRIZ DE RIESGO
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario