Doc Gt 004 Matriz Riesgo Tecnologica

MATRIZ DE RIE

PROCESO GESTION TECNOLOG

(1) CÓDIGO

(2) RIESGO

(3) DESCRIPCIÓN

1

Inadecuada adquisicion de software y hardware

1. Adquirir un software que no cumpla los requerimientos y las necesidades de la universidad - 2. Adquirir activos de comunicación (sw, router, etc) que no cumpla los requerimientos y las necesidades de la universidad

2

Uso indebido de la información

Posibilidad de que se acceda, manipule y/o divulgue sin autorización la información privilegiada o de reserva que se origine, suministre o custodie en los sistemas de información

3

Vulnerabilidad del sistema de información

Posibilidad que terceros entre de forma indebida o fraudulenta a los sistema de información de la Universidad, para alterar, hurtar o dañar la información.

4

Daños, deterioro o pérdida de los recursos tecnológicos

Posibilidad de que se presenten daños, fallas o perdidas de los recursos tecnologicos, en su uso, y/o almacenamiento .

5

Ausencia y/o deficiencia en los softwares Hace referencia a la falta y/o definiciencia en los sofware y/o y sistemas de información sistemas de información.

6

Inadecuada utilizacion del portal institucional

Hace referencia a la subutilización del portal por parte de la comunidad universitaria

7

Fallas en las telecomunicaciones y/o fluido electrico

Posibilidad de que se presenten fallas en las telecomunicaciones (internet, redes, intranet, servicio telefonico) o en el fluido eléctrico de la entidad para el desarrollo de sus operaciones

8

Desconocimiento de los avances del Plan Estrátegico

Falta de presentación del informe de gestión

9

Fracaso de eventos programados

Suspensión de actividades o eventos

10

Humedad proucida por sistemas de Daños en la infraestructura física producida por condensación, refrigeración inadecuados y/o filtraciones hongos, bacterias, acaros. de agua

11

Accesos no autorizados a las instalaciones del area tecnologica

Ingreso de personas no autorizadas para la manipulación de equipos tecnologicos

MATRIZ DE RIESGOS

PROCESO GESTION TECNOLOGICA Y COMUNICACIONES

(6) CAUSAS

(7) CONSECUENCIAS

Perdidas economicas 1.Suministro y/o captura inadecuada de la información de Paralisis del sistema de información requerimiento y/o necesidades del software Inestabilidad de los procesos - fallas en la red de 2. Desconocimiento datos

1. Bajo nivel de seguridad para el acceso a la información. 2. Desconocimiento de las políticas de manejo de información. Mala imagen, 3. Actos mal intencionados de terceros. Toma de decisiones no adecuadas. 4. Acceso no autorizado a información. 5. Fraude interno.

1. Bajo nivel de seguridad para el acceso a la información. 2. cortafuegos inadecuados. 3. Bugs en los sistemas de Perdidas economicas. información. 4. Desconocimiento en estándares para Inestabilidad de los procesos. Fuga de laimplementación de seguridad en los sistemas de información información.

1.Falta y/o inadecuado mantenimiento de los recursos tecnologicos 2.Baja calidad de los recursos tecnologicos 3. Inadecuado uso de los recursos tecnologicos 4. Falta de capacitación sobre el adecuado uso de los recursos tecnologicos. 5. Falta de protección de los recursos tecnologicos.6. terrorismo 7. factores ambientales

Equipos dañados, desprovechamientos de los recursos tecnologicos

1. Demora en el tramite de compra de software y/o sistemas de información 2. Falta y/o inadecuado mantenimiento de los recursos tecnologicos 3. 2.Baja calidad de los recursos tecnologicos

Cambios de precios de compras, perdida de garantias

1. Falta de cultura tecnologica 2. Falta de información sobre el uso y la utilizada 3. Falta de capacitación

Desinformación de la comunidad universitaria

1. Falta de disponibilidad del servicio por parte del proveedor 2. Falta de mantenimiento de los equipos y redes 3. Deterioro de las redes 4. Manjeo adecuado y operación de los usuarios y tecnicos 6. Falla en las comunicaciones. 8. Fluctuaciones en el fluido electrico. 9. Falta de protección ante pico de voltajes y/o interrupción del fluido electrico no planificado (Redundancia de Energia).

Perdida de información, demora en los procesos,perdidad de la imagen de la entidad ante el publico, información inoportuna, Incumplimiento del proceso, alteración de la operación.

Elaboración inadecuada o nula del informe. Falta de solcialización del PETI en el area de tecnologia.

Sanciones legales, desinformación

Poca o nula divulgació.

Presupuesto inadecuado, frustración de los organizadores, incumplimiento con invitados

Gas Instantáneo en la Línea de Líquido, Restricciones en la Línea de Líquido, Diseño Inadecuado de Tubería, Subenfriamiento Inadecuado, Baja Presión de Condensación, Carga Excesiva en el Evaporador, Problemas y Soluciones, Baja Presión de Condensación, Control del humidificador, Contaminación en el Sistema.

Hospitalizaciones, incapacidades, muerte, perdida de información, interrupción de procesos, daños físicos de planta, daños en infraestructura tecnologica.

1. Inadecuado control de acceso a las instalaciones 2.Puertas no aptas para la seguridad

Perdida, daños, manipulación, robos en la infraestructura tecnologica

MATRIZ DE RIESGOS PROCESO GESTION TECNOLOGICA Y COMUNICACIONES ANALISIS DE RIESGOS (8) VALOR

(9) PROBABILIDAD

(10) VALOR

5

BAJA

2

10

MEDIA

2

20

ALTA

2

10

MEDIA

2

20

ALTA

2

10

MEDIA

1

20

ALTA

2

5

BAJA

1

5

BAJA

2

20

ALTA

3

20

ALTA

3

ESGOS

GICA Y COMUNICACIONES

RIESGOS (11) IMPACTO

(12) SEVERIDAD (Riego Inherente)

MODERADO

10

Evalución de experto

20

Mejoramiento de la jerarquia de usuarios. Divulgación de las politicas de manejo de la información. Monitoreo a los sistemas de información. Procedimientos para la asignación de roles y accesos a los sistemas de información.

40

Fortalecimiento de los cortafuegos. Procedimientos de control para la detección de vulnerabilidades en los sistemas de información. Aplicación de buenas practicas para el desarrollo e implementación de sistemas de información seguros.

MODERADO

20

Instalación y verificación del antivirus. Verificación de los tomas electricos, con el fin de establecer que el voltaje sea el apropiado para la instalaciópn de los equipos.

MODERADO

40

Determinar las caracteristicas adecuadas

LEVE

10

Capacitación y divulgación del portal web

MODERADO

40

Verificación de las condiciones operativas de la ups

LEVE

5

MODERADO

10

MODERADO

MODERADO

(13) CONTROL

Mantener cronograma de acopio de información Diseñar programa de eventos, Diseño adecuado de la logistica, manejar plan de medios

CATASTROFICO

60

Evalución de experto, Mantenimientos preventivos y programados

CATASTROFICO

60

Refoezar el acceso fisico a las instalaciones de tecnologia, observación permanente del area

MATRIZ DE RIESGOS PROCESO GESTION TECNOLOGICA Y COMUNICACIONES EVALUACIÓN DE RIESGOS (16) ESTA (14) (15) DOCUMENTADO DESCRIPCIÓN DEL CONTROL TIPO DE CONTROL ?

(17) DONDE ESTA DOCUMENTADO

Diagnostico sobre ventajas y desventajas del software

PREVENTIVO

SI

Establecimiento de roles en el sistema. Optimización de los controles en los sistemas de información

PREVENTIVO

SI

Manual de seguridad y politicas de informatica sitio web institucional

Verificar que las politicas de protección esten funcionando adecuadamente.

PREVENTIVO

SI

Manual de seguridad y politicas de informatica sitio web institucional

Monitoreo adecuado del antivirus. Verificaión de los puntos electricos, con el objetivo de detectar alguna falla en el fluido que puedad afectar el funcionamiento de los recursos tecnologicos.

PREVENTIVO

SI

Manual de seguridad y politicas de informatica sitio web institucional

Brindar la asesoria necesaria en la adquisición

PREVENTIVO

NO

A traves de cursos y/o manuales de usuario

PREVENTIVO

SI

Mantenimiento de la ups

PREVENTIVO

NO

Involucrar a todas las instancias que suministran información

PREVENTIVO

SI

Sitio web institucional

Divulgación de responsabilidades y tareas

PREVENTIVO

SI

Plan de medios

Procedemientos establecidos Página web institucional

Sitio web institucional

Diagnostico del sistema de refrigeración y mantenimiento

Instalacion de nuevas cerraduras, cambios de puertas, monitorización de ingresos a las instalaciones de informatica

Correctivo

SI

PREVENTIVO

NO

Sitio web institucional

MATRIZ D

ACIONES

PROCESO GESTION TECNO

CALIFICACIÒN DE (18) APLICACIÓN

(19) EFICACIA DEL CONTROL

(20) FRECUENCIA DEL CONTROL

(21) VALOR

SI

ALTA

Cuando se presenta

5

SI

ALTA

mensual

SI

ALTA

Diariamente

SI

ALTA

Semanal

SI

ALTA

Cuando se presenta

10

SI

ALTA

Cuando se presenta

5

SI

ALTA

Semanal

SI

ALTA

Cuando se presenta

5

SI

Media

Cuando se presenta

5

5

10

5

10

SI

Baja

Programado

10

SI

Alta

Semanal

10

MATRIZ DE RIESGOS PROCESO GESTION TECNOLOGICA Y COMUNICACIONES CALIFICACIÒN DE RIESGO RESIDUAL (22) PROBABILIDAD

(23) VALOR

(24) IMPACTO

(25) SEVERIDAD

BAJA

2

MODERADO

10

BAJA

2

MODERADO

10

MEDIA

2

MODERADO

20

BAJA

2

MODERADO

10

MEDIA

2

MODERADO

20

BAJA

1

LEVE

5

MEDIA

2

MODERADO

20

BAJA

1

LEVE

5

BAJA

2

MODERADO

10

MEDIA

3

CATASTROFICO

30

MEDIA

2

MODERADO

20

MATRIZ DE RIESGOS PROCESO GESTION TECNOLOGICA Y COMUNICACIONES TRATAMIENTO (26) ACCIÓN DE TRATAMIENTO

(27) TIEMPO DE IMPLEMENTACIÓN

Considerar la participación de la(s) persona experta

Según la ocurrencia

Reasignación de Roles en el sistema, implemenentación de mas niveles de seguridad, socialización de las politicas de manejo de información

Según la ocurrencia

Robustecer la seguridad mejorando los cortafuegos. Aplicar buenas practicas en el desarrollo de sistemas de información seguros.

Diariamente

Controlar que los equipos institucionales tengan el antivirus institucional, el buen uso y su actualización

semanal

Participación activa del experto en la determinación de adquiir tecnologia

Según la ocurrencia

Involucrar en el plan de capacitación institucional el uso adecuado del portal

Según la ocurrencia

Lograr la redundancia electrica en la institución

Según la ocurrencia

Divulgación del plan

Según la ocurrencia

Designar tareas y controlar las responsabilidades de acuerdo a cronograma del evento

Según la ocurrencia

Reporte al contratista encargado del area de salud ocupacional y la ARP para realizar las diferentes actividades que se requieran. Solicitud de actualización al procedimiento DE MANTENIMIENTO CORRECTIVO Y SERVICIOS (Servicios Generales) a nivel preventivo. Programación de mantenimiento por parte de servicios generales. Solicitud de estudio microbiologico de ambiente a Ciencias Básicas.

Según la ocurrencia

Robustecer el control de acceso fisico en el area

Diariamente

VERSION: 1 CODIGO: D0C-GT-004 PAGINA: 1 DE 5

MUNICACIONES

MIENTO (28) COSTO

(29) RESPONSABLE

Bajo

Bienes y suministrosOficina de Informatica

Medio

Procesos involucrados- Oficina de informatica

Medio

Oficina de informatica

Medio

Procesos involucrados- Oficina de informatica

Medio

Bienes y suministrosOficina de Informatica

Bajo

Talento Humano-Bienestar Universitario-Oficina de informaticacomunicaciones

Alto

Servicios Generales

Bajo

Procesos involucrados

Medio

Comunicaciones

medio

Talento Humano-Servicios Generales-Oficina de informaticacomunicaciones

Medio

Bienes y suministrosOficina de Informatica Vigilancia ExternaServicios generales