martes, 24 de febrero de 2015

MATRIZ DE RIESGO

  MATRIZ DE RIESGOS  MATRIZ DE RIESGOS  MATRIZ DE RIESGOS  MATRIZ DE RIESGOS  MATRIZ DE RIESGOS VERSION: 1 CODIGO: D0C-GT-004 PAGINA: 1 DE 5
PROCESO GESTION TECNOLOGICA Y COMUNICACIONES PROCESO GESTION TECNOLOGICA Y COMUNICACIONES PROCESO GESTION TECNOLOGICA Y COMUNICACIONES PROCESO GESTION TECNOLOGICA Y COMUNICACIONES PROCESO GESTION TECNOLOGICA Y COMUNICACIONES
                                               
(1) CÓDIGO (2) RIESGO (3) DESCRIPCIÓN (6) CAUSAS (7) CONSECUENCIAS ANALISIS DE RIESGOS EVALUACIÓN DE RIESGOS CALIFICACIÒN DE RIESGO RESIDUAL TRATAMIENTO
 (8) VALOR  (9) PROBABILIDAD (10) VALOR  (11) IMPACTO (12) SEVERIDAD (Riego Inherente) (13) CONTROL (14) DESCRIPCIÓN DEL CONTROL (15) TIPO DE CONTROL (16) ESTA DOCUMENTADO? (17) DONDE ESTA DOCUMENTADO (18) APLICACIÓN (19) EFICACIA DEL CONTROL (20) FRECUENCIA DEL CONTROL  (21) VALOR  (22) PROBABILIDAD (23) VALOR  (24) IMPACTO (25) SEVERIDAD (26) ACCIÓN DE TRATAMIENTO (27) TIEMPO DE IMPLEMENTACIÓN (28) COSTO (29) RESPONSABLE
1 Inadecuada adquisicion de software y hardware 1. Adquirir un software que no cumpla los requerimientos y las necesidades de la universidad - 2. Adquirir activos de comunicación (sw, router, etc) que no cumpla los requerimientos y las necesidades de la universidad 1.Suministro y/o captura inadecuada de la información de requerimiento y/o necesidades del software 2. Desconocimiento  Perdidas economicas Paralisis del sistema de información Inestabilidad de los procesos - fallas en la red de datos 5 BAJA 2 MODERADO 10 Evalución de experto Diagnostico sobre ventajas y desventajas del software PREVENTIVO SI Procedemientos establecidos Página web institucional SI ALTA Cuando se presenta 5 BAJA 2 MODERADO 10 Considerar la participación de la(s) persona experta  Según la ocurrencia Bajo Bienes y suministros-Oficina de Informatica
2 Uso indebido de la información Posibilidad de que se acceda, manipule y/o divulgue sin autorización la información privilegiada o de reserva que se origine, suministre o custodie en los sistemas de información 1. Bajo nivel de seguridad para el acceso a la información. 2. Desconocimiento  de las políticas de manejo de información. 3. Actos mal intencionados de terceros. 4. Acceso no autorizado a información. 5. Fraude interno. Mala imagen, Toma de decisiones no adecuadas. 10 MEDIA 2 MODERADO 20 Mejoramiento de la jerarquia de usuarios. Divulgación de las politicas de manejo de la información. Monitoreo a los sistemas de información. Procedimientos para la asignación de roles y accesos a los sistemas de información. Establecimiento de roles en el sistema. Optimización de los controles en los sistemas de información PREVENTIVO SI Manual de seguridad y politicas de informatica sitio web institucional SI ALTA mensual 5 BAJA 2 MODERADO 10 Reasignación de Roles en el sistema, implemenentación de mas niveles de seguridad, socialización de las politicas de manejo de información Según la ocurrencia Medio Procesos involucrados- Oficina de informatica
3 Vulnerabilidad del sistema de información Posibilidad que terceros entre de forma indebida o fraudulenta a los sistema de información de la Universidad, para alterar, hurtar o dañar la información. 1. Bajo nivel de seguridad para el acceso a la información. 2. cortafuegos inadecuados. 3. Bugs en los sistemas de información. 4. Desconocimiento en estándares para laimplementación de seguridad en los sistemas de información. Perdidas economicas. Inestabilidad de los procesos. Fuga de información 20 ALTA 2 MODERADO 40 Fortalecimiento de los cortafuegos. Procedimientos de control para la detección de vulnerabilidades en los sistemas de información. Aplicación de buenas practicas para el desarrollo e implementación de sistemas de información seguros. Verificar que las politicas de protección esten funcionando adecuadamente. PREVENTIVO SI Manual de seguridad y politicas de informatica sitio web institucional SI ALTA Diariamente 10 MEDIA 2 MODERADO 20 Robustecer la seguridad mejorando los cortafuegos. Aplicar buenas practicas en el desarrollo de sistemas de información seguros. Diariamente Medio Oficina de informatica
4 Daños, deterioro o pérdida de los recursos tecnológicos Posibilidad de que se presenten daños, fallas o perdidas de los recursos tecnologicos, en su uso, y/o almacenamiento . 1.Falta y/o inadecuado mantenimiento de los recursos tecnologicos 2.Baja calidad de los recursos tecnologicos 3. Inadecuado  uso de los recursos tecnologicos 4. Falta de capacitación sobre el adecuado uso de los recursos tecnologicos. 5. Falta de protección de los recursos tecnologicos.6. terrorismo 7. factores ambientales Equipos dañados, desprovechamientos de los recursos tecnologicos 10 MEDIA 2 MODERADO 20 Instalación y verificación del antivirus. Verificación de los tomas electricos, con el fin de establecer que el voltaje sea el apropiado para la instalaciópn de los equipos. Monitoreo adecuado del antivirus. Verificaión de los puntos electricos, con el objetivo de detectar alguna falla en el fluido que puedad afectar el funcionamiento de los recursos tecnologicos. PREVENTIVO SI Manual de seguridad y politicas de informatica sitio web institucional SI ALTA Semanal 5 BAJA 2 MODERADO 10 Controlar que los equipos institucionales tengan el antivirus institucional, el buen uso y su actualización semanal Medio Procesos involucrados- Oficina de informatica
5 Ausencia y/o deficiencia en los softwares y sistemas de información Hace referencia a la falta y/o definiciencia en los sofware y/o sistemas de información. 1. Demora en el tramite de compra de software y/o sistemas de información 2. Falta y/o inadecuado mantenimiento de los recursos tecnologicos 3. 2.Baja calidad de los recursos tecnologicos Cambios de precios de compras, perdida de garantias 20 ALTA 2 MODERADO 40 Determinar las caracteristicas adecuadas Brindar la asesoria necesaria en la adquisición PREVENTIVO NO   SI ALTA Cuando se presenta 10 MEDIA 2 MODERADO 20 Participación activa del experto en la determinación de adquiir tecnologia Según la ocurrencia Medio Bienes y suministros-Oficina de Informatica
6 Inadecuada utilizacion del portal institucional Hace referencia  a la subutilización del portal por parte de la comunidad universitaria 1. Falta de cultura tecnologica 2. Falta de información sobre el uso y la utilizada 3. Falta de capacitación Desinformación de la comunidad universitaria 10 MEDIA 1 LEVE 10 Capacitación y divulgación del portal web A traves de cursos y/o manuales de usuario PREVENTIVO SI Sitio web institucional  SI ALTA Cuando se presenta 5 BAJA 1 LEVE 5 Involucrar en el plan de capacitación institucional el uso adecuado del portal Según la ocurrencia Bajo Talento Humano-Bienestar Universitario-Oficina de informatica-comunicaciones
7 Fallas en las telecomunicaciones y/o fluido electrico Posibilidad de que se presenten fallas en las telecomunicaciones (internet, redes, intranet, servicio telefonico) o en el fluido eléctrico de la entidad para el desarrollo de sus operaciones 1. Falta de disponibilidad del servicio por parte del proveedor 2. Falta de mantenimiento de los equipos y redes 3. Deterioro de las redes 4. Manjeo adecuado y operación de los usuarios y tecnicos 6. Falla en las comunicaciones. 8. Fluctuaciones en el fluido electrico. 9. Falta de protección ante pico de voltajes y/o interrupción del fluido electrico no planificado (Redundancia de Energia). Perdida de información, demora en los procesos,perdidad de la imagen de la entidad ante el publico, información inoportuna, Incumplimiento del proceso, alteración de la operación.  20 ALTA 2 MODERADO 40 Verificación de las condiciones operativas de la ups Mantenimiento de la ups PREVENTIVO NO   SI ALTA Semanal 10 MEDIA 2 MODERADO 20 Lograr la redundancia electrica en la institución Según la ocurrencia Alto Servicios Generales
8 Desconocimiento de los avances del Plan Estrátegico Falta de presentación del informe de gestión Elaboración inadecuada o nula del informe. Falta de solcialización del PETI en el area de tecnologia. Sanciones legales, desinformación 5 BAJA 1 LEVE 5 Mantener cronograma de acopio de información Involucrar a todas las instancias que suministran información PREVENTIVO SI Sitio web institucional  SI ALTA Cuando se presenta 5 BAJA 1 LEVE 5 Divulgación del plan Según la ocurrencia Bajo Procesos involucrados
9 Fracaso de eventos programados Suspensión de actividades o eventos Poca o nula divulgació. Presupuesto inadecuado, frustración de los organizadores, incumplimiento con invitados 5 BAJA 2 MODERADO 10 Diseñar programa de eventos, Diseño adecuado de la logistica, manejar plan de medios Divulgación de responsabilidades y tareas PREVENTIVO SI Plan de medios SI Media Cuando se presenta 5 BAJA 2 MODERADO 10 Designar tareas y controlar las responsabilidades de acuerdo a cronograma del evento Según la ocurrencia Medio Comunicaciones
10 Humedad proucida por sistemas de refrigeración inadecuados y/o filtraciones de agua Daños en la infraestructura física producida por condensación, hongos, bacterias, acaros. Gas Instantáneo en la Línea de Líquido, Restricciones en la Línea de Líquido, Diseño Inadecuado de Tubería, Subenfriamiento Inadecuado, Baja Presión de Condensación, Carga Excesiva en el Evaporador, Problemas y Soluciones, Baja Presión de Condensación, Control del humidificador, Contaminación en el Sistema. Hospitalizaciones, incapacidades, muerte, perdida de información, interrupción de procesos, daños físicos de planta, daños en infraestructura tecnologica.  20 ALTA 3 CATASTROFICO 60 Evalución de experto, Mantenimientos preventivos y programados Diagnostico del sistema de refrigeración y mantenimiento Correctivo SI Sitio web institucional  SI Baja Programado 10 MEDIA 3 CATASTROFICO 30 Reporte al contratista encargado del area de salud ocupacional y la ARP para realizar las diferentes actividades que se requieran. Solicitud de actualización al procedimiento  DE MANTENIMIENTO CORRECTIVO Y SERVICIOS (Servicios Generales) a nivel preventivo.  Programación de mantenimiento por parte de servicios generales.  Solicitud de estudio microbiologico de ambiente a Ciencias Básicas. Según la ocurrencia medio Talento Humano-Servicios Generales-Oficina de informatica-comunicaciones
11 Accesos no autorizados a las instalaciones del area tecnologica Ingreso de personas no autorizadas para la manipulación de equipos tecnologicos  1. Inadecuado control de acceso a las instalaciones 2.Puertas no aptas para la seguridad   Perdida, daños, manipulación, robos en la infraestructura tecnologica 20 ALTA 3 CATASTROFICO 60 Refoezar el acceso fisico a las instalaciones de tecnologia, observación permanente del area Instalacion de nuevas cerraduras, cambios de puertas, monitorización de ingresos a las instalaciones de informatica PREVENTIVO NO   SI Alta Semanal 10 MEDIA 2 MODERADO 20 Robustecer el control de acceso fisico en el area  Diariamente Medio Bienes y suministros-Oficina de Informatica - Vigilancia Externa- Servicios generales

No hay comentarios:

Publicar un comentario