ABCDEFGHIJKLMNOPQRSTUVWXYZ
1
2
MATRIZ DE IDENTIFICACION DE RIESGOS ASOCIADOS A LA SEGURIDAD DE LA INFORMACIÓN
3
DIRECCIÓN DE SISTEMAS 2024
4
RIESGOACTIVIDADRESPONSABLERECURSOSSEGUIMIENTOEFICACIA
5
6
NO Adquirir y mantener la infraestructura tecnológica actualizada.Adquirir infraestructura para mantener actualizada la institución y actualizar proveedores y el registro de contrataciones.Dirección de Sistemas, jefe de contrataciónHumanos y económicosSeguimiento al Contrato y las facturas de compra(Cantidad de equipos tecnológicos adquiridos / Cantidad de equipos requeridos)*100
7
Daños en equipos de cómputo, servidores y otros elementos informáticos. Convocar en forma extraordinaria un comité directivo para analizar y aplicar medidas inmediatas que, dentro de la legalidad, permitan el reabastecimiento inmediato de infraestructura tecnológica.Dirección de SistemasHumanos y económicosAcuerdosÍndice de cumplimiento de acciones= (# de acuerdo y resoluciones realizadas / # de acuerdo y resoluciones propuestas) x 100
8
Resoluciones
9
10
Ausencia de soporte técnico para la plataformaAplicar el plan de mantenimiento preventivo.Dirección de SistemasHumanos y físicosPlan de mantenimientoÍndice de mantenimiento=No de mantenimientos realizados/ No de mantenimientos programados.
11
Perdida por robo/hurto de información de orden institucionalIniciar la investigación disciplinaria, fiscal o remitir a las instancias correspondientes para el proceso penal.Dirección de SistemasHumanosPlan de seguridadÍndice de hurto=No de equipos robados/No de equipos de inventario
12
Baja calificación en la gestión y desempeño de la Aplicación Establecer mayor frecuencia de reinducción para actualizar al personal ante los cambios de las aplicaciones.Dirección de SistemasHumanosMedición de ServiciosÍndice de desempeño=Nro. de calificación positiva/Nro. de servicios y aplicaciones activas.
13
Protección de los datos de pruebaAplicar el Sistema de gestión de datosDirección de SistemasHumanos y físicosPlan de seguridad(Número de acciones de buenas prácticas y seguridad implementadas/ Numero de Acciones de buenas prácticas y seguridad propuestas)*100
14
Daños en el softwareUtilizar el Sistema de gestión de softwareDirección de SistemasHumanos y físicosPlan de mantenimientoÍndice de mantenimiento=No de mantenimientos realizados/ No de mantenimientos programados.
15
Bitácoras de los eventos Aplicar metodología scrumDirección de SistemasHumanos y físicosPlan de seguridad(actividades programadas del plan de tratamiento de riesgos de seguridad y privacidad de la información aprobado/ Documento del plan de tratamiento de riesgos de seguridad y privacidad de la información elaborada)*100%
16
Fallas en los Procedimientos para la administración de la Información Consolidar y perfeccionar el sistema de Planificación de procedimientos de administración de informaciónDirección de SistemasHumanos y físicosPlan de seguridad(actividades programadas del plan de tratamiento de riesgos de seguridad y privacidad de la información aprobado/ Documento del plan de tratamiento de riesgos de seguridad y privacidad de la información elaborada)*100%
17
Ausencia de soporte técnico para la Base de Datos del ProyectoFortalecer el equipo de soporte de base de datos.Dirección de SistemasHumanos y físicosPlan de seguridad(actividades programadas del plan de tratamiento de riesgos de seguridad y privacidad de la información aprobado/ Documento del plan de tratamiento de riesgos de seguridad y privacidad de la información elaborada)*100%
18
Calidad baja en los productos entregadosRobustecer los controles de medición de calidad de los productos.Dirección de SistemasHumanos y físicosPlan de seguridadMedición de la calidad de los productos
19
Perdida de información Fortalecer los Firewall en la red de la organización para detectar posibles incursionesDirección de SistemasHumanos y físicosPlan de seguridad(actividades programadas del plan de tratamiento de riesgos de seguridad y privacidad de la información aprobado/ Documento del plan de tratamiento de riesgos de seguridad y privacidad de la información elaborada)*100%
20
El sistema carece de usabilidad en las interfacesFortalecer el equipo de soporte de base de datos e interfacesDirección de SistemasHumanos y físicosPlan de seguridad(actividades programadas del plan de tratamiento de riesgos de seguridad y privacidad de la información aprobado/ Documento del plan de tratamiento de riesgos de seguridad y privacidad de la información elaborada)*100%
21
Migración de datos con diseño inadecuado. Fortalecer el equipo de soporte de migración de datosDirección de SistemasHumanos y físicosPlan de seguridad(actividades programadas del plan de tratamiento de riesgos de seguridad y privacidad de la información aprobado/ Documento del plan de tratamiento de riesgos de seguridad y privacidad de la información elaborada)*100%
22
No cumplimiento de las directrices de manejo de información Fortalecer las capacitaciones de tratamiento y privacidad de la informaciónDirección de SistemasHumanos y físicosPlan de seguridad(actividades programadas del plan de tratamiento de riesgos de seguridad y privacidad de la información aprobado/ Documento del plan de tratamiento de riesgos de seguridad y privacidad de la información elaborada) *100%
23
24
25
Interrupción del acceso a la red Internet Robustecer el acceso a las red Internet Dirección de SistemasHumanos y físicosPlan de seguridad(actividades programadas del plan de tratamiento de riesgos de seguridad y privacidad de la información aprobado/ Documento del plan de tratamiento de riesgos de seguridad y privacidad de la información elaborada)*100%
26
Fallas en el acceso a recursos compartidos dentro de la institución Fortalecer e implantar las Vlan dentro de la institución para compartir recursos informáticos.Dirección de SistemasHumanos y físicosPlan de seguridad(actividades programadas del plan de tratamiento de riesgos de seguridad y privacidad de la información aprobado/ Documento del plan de tratamiento de riesgos de seguridad y privacidad de la información elaborada)*100%
27
Intromisión por parte de personas y/o elementos inoportunos a la red de datos interna de la institución Aplicar Política de control de accesoDirección de SistemasHumanos y físicosPlan de seguridad(actividades programadas del plan de tratamiento de riesgos de seguridad y privacidad de la información aprobado/ Documento del plan de tratamiento de riesgos de seguridad y privacidad de la información elaboradas) *100%
28
29
30
Débil interacción del Sistema con otros sistemas Fortalecer los Firewall en la red de la organización para detectar posibles incursionesDirección de SistemasHumanos y físicosPlan de seguridad(actividades programadas del plan de tratamiento de riesgos de seguridad y privacidad de la información aprobado/ Documento del plan de tratamiento de riesgos de seguridad y privacidad de la información elaborada)*100%
31
Derechos de acceso del usuario Aplicar la Política de control de acceso.Dirección de SistemasHumanos y físicosPlan de seguridad(actividades programadas del plan de tratamiento de riesgos de seguridad y privacidad de la información aprobado/ Documento del plan de tratamiento de riesgos de seguridad y privacidad de la información elaborada)*100%
32
No contar con las copias de seguridad oportunasFortalecer el plan de tratamiento de riesgos de seguridad y privacidad.Dirección de SistemasHumanos y físicosPlan de seguridad(actividades programadas del plan de tratamiento de riesgos de seguridad y privacidad de la información aprobado/ Documento del plan de tratamiento de riesgos de seguridad y privacidad de la información elaborada) *100%.
33
34
35
No implementar copias de seguridad en forma periódica. Fortalecer el plan de tratamiento de riesgos de seguridad y privacidad.Dirección de SistemasHumanos y físicosPlan de seguridad(actividades programadas del plan de tratamiento de riesgos de seguridad y privacidad de la información aprobado/ Documento del plan de tratamiento de riesgos de seguridad y privacidad de la información elaborada)*100%
36
Educar y entrenar a los usuarios Reforzar la capacitación en Políticas de control de accesoDirección de SistemasHumanos y físicosPlan de capacitación (actividades programadas del plan de tratamiento de riesgos de seguridad y privacidad de la información aprobado/ Documento del plan de tratamiento de riesgos de seguridad y privacidad de la información elaborada)*100%
37
 Administrar ProyectosImplementar metodologías de proyectos informáticos Dirección de SistemasHumanos y físicosPlan de seguridad(Número de módulos de sistemas de información implementados/ Numero de módulos de Sistemas de Información proyectados)*100
38
Proyecto mal administrado por fallas en el Grupo de Administración de Proyectos Fortalecer los planes de contingencia por fallas en administración de proyectos.Dirección de SistemasHumanos y físicosPlan de seguridad(Número de módulos de sistemas de información implementados/ Numero de módulos de Sistemas de Información proyectados)*100
39
Contratos de ConfidencialidadPolítica de control de accesoDirección de SistemasHumanos y físicosPlan de seguridad(actividades programadas del plan de tratamiento de riesgos de seguridad y privacidad de la información aprobado/ Documento del plan de tratamiento de riesgos de seguridad y privacidad de la información elaborada)*100%
40
Impericia del Personal Consolidar las capacitaciones de personal para evitar incidentes y fallas en la seguridad de la operación del personal.Dirección de SistemasHumanos y físicosPlan de seguridad(actividades programadas del plan de tratamiento de riesgos de seguridad y privacidad de la información aprobado/ Documento del plan de tratamiento de riesgos de seguridad y privacidad de la información elaborada)*100%
41
Ineficiente valoración de la labor Mejorar los sistemas de medición de la labor del personal.Dirección de SistemasHumanos y físicosPlan de capacitación (Capacitaciones realizadas/
42
capacitaciones programadas) * 100
43
Proceso de comunicación incipiente Mejorar los canales de comunicación del personal.Dirección de SistemasHumanos y físicosPlan de capacitación (Capacitaciones realizadas/
44
capacitaciones programadas) * 100
45
46
Software desarrollado por outsourcing Desarrollar controles efectivos para la medición de la calidad de los software.Dirección de SistemasHumanos y físicosPlan de compras (Número de módulos de sistemas de información implementados/ Numero de módulos de Sistemas de Información proyectados)*100
47
Entregables del proyecto no cumplen expectativas de clientes Desarrollar controles efectivos para los servicios no conformesDirección de SistemasHumanos y físicosPlan de mantenimiento# de servicios no conformes tratados eficazmente*100% / # de servicios no conformes tratados
48
Plazos establecidos para las pruebas del sistema son cortos o irrealesDesarrollar controles efectivos para los servicios no conformesDirección de SistemasHumanos y físicosPlan de mantenimiento# de servicios no conformes tratados eficazmente*100% / # de servicios no conformes tratados
49
Plazos de revisión del sistema son cortos e irreales. Desarrollar controles efectivos para los servicios no conformesDirección de SistemasHumanos y físicosPlan de mantenimiento# de servicios no conformes tratados eficazmente*100% / # de servicios no conformes tratados
50
Incumplimiento en los trabajos solicitados Desarrollar controles efectivos para los servicios no conformesDirección de SistemasHumanos y físicosPlan de mantenimiento# de servicios no conformes tratados eficazmente*100% / # de servicios no conformes tratados
51
Impactos en el cliente no identificados ni satisfechos Desarrollar controles efectivos para los servicios no conformesDirección de SistemasHumanos y físicosPlan de mantenimiento# de servicios no conformes tratados eficazmente*100% / # de servicios no conformes tratados
52
Proyecto con deficiente desarrollo y control Desarrollar controles efectivos para los servicios no conformesDirección de SistemasHumanos y físicosPlan de mantenimiento# de servicios no conformes tratados eficazmente*100% / # d-/+--+10
53
7410e1 servicios no conformes tratados
54
Proyecto excedido en alcance y costos Desarrollar controles efectivos para los servicios no conformesDirección de SistemasHumanos y físicosPlan de mantenimiento# de servicios no conformes tratados eficazmente*100% / # de servicios no conformes tratados
55
Proyecto con problemas de comunicaciónDesarrollar controles efectivos para problemas de comunicación.Dirección de SistemasHumanos y físicosPlan de capacitación# de servicios no conformes tratados eficazmente*100% / # de servicios no conformes tratados
56
Administrar la configuración Fortalecer el sistema de permisos para la administración de las configuraciones de los equipos.Dirección de SistemasHumanos y físicosPlan de capacitación(actividades programadas del plan de tratamiento de riesgos de seguridad y privacidad de la información aprobado/ Documento del plan de tratamiento de riesgos de seguridad y privacidad de la información elaborada)*100%
57
Cierre de proyecto realizado de manera no efectivaDesarrollar controles efectivos para los servicios no conformesDirección de SistemasHumanos y físicosPlan de capacitación(# de servicios no conformes tratados eficazmente*100% / # de servicios no conformes tratados
58
Pruebas de Aceptación inadecuadasDesarrollar controles efectivos para los servicios no conformesDirección de SistemasHumanos y físicosPlan de seguridad# de servicios no conformes tratados eficazmente*100% / # de servicios no conformes tratados
59
Plazos de revisión del sistema son cortos e irreales. Desarrollar controles efectivos para los servicios no conformesDirección de SistemasHumanos y físicosPlan de seguridad# de servicios no conformes tratados eficazmente*100% / # de servicios no conformes tratados
60
Incumplimiento de contrato por parte de la UG. Desarrollar controles efectivos para los servicios no conformesDirección de SistemasHumanos y físicosPlan de seguridad# de servicios no conformes tratados eficazmente*100% / # de servicios no conformes tratados
61
No apropiación de los usuarios al proyecto Desarrollar controles efectivos para los servicios no conformesDirección de SistemasHumanos y físicosPlan de seguridad# de servicios no conformes tratados eficazmente*100% / # de servicios no conformes tratados
62
Compromiso en el cumplimiento de las medidas de prevención Aplicar todo lo concerniente a la salud y seguridad en el trabajo. Dirección de SistemasHumanosPlan de capacitación en salud y seguridad en el trabajo.(Actividades del plan de acción realizadas/ actividades del plan de acción programadas) *100
63
No seguimiento de los riesgosRealizar bitácoras de seguimiento y tratamiento de los riesgos .Dirección de SistemasHumanos y físicosAuditorías internas y externas(Número de actividades ejecutadas en el plan de mejoramiento /Número de actividades programadas en el plan de mejoramiento)*100
64
Baja calificación en el sistema de Control Interno Fortalecer los controles a los indicadores del proceso para mejorar las calificaciones del sistema de control interno.Dirección de SistemasHumanos y físicosAuditorías internas y externas(Número de actividades ejecutadas en el plan de mejoramiento /Número de actividades programadas en el plan de mejoramiento)*100
65
No ejecución de Planes de Mejoramiento Fortalecer el desarrollo de las actividades de los planes de mejoramiento.Dirección de SistemasHumanos y físicosAuditorías internas y externas(Número de actividades ejecutadas en el plan de mejoramiento /Número de actividades programadas en el plan de mejoramiento)*100
66
Formulación inapropiada de los planes de mejoramientoCapacitar al personal en la formulación y seguimiento a los planes de mejoramiento.Dirección de SistemasHumanos y físicosAuditorías internas y externas(Número de actividades ejecutadas en el plan de mejoramiento /Número de actividades programadas en el plan de mejoramiento) *100
67
No llevar a cabo procesos de autoevaluaciónRealizar los procesos de autoevaluación con miras a la mejora continua.Dirección de SistemasHumanos y físicosAuditorías internas y externas(Número de actividades ejecutadas de autoevaluación/Número de actividades programadas en la autoevaluación)*100
68
No seguimiento al desarrollo de los procesosFortalecer el seguimiento a los planes de acciónDirección de SistemasHumanos y físicosAuditorías internas y externas(Número de actividades ejecutadas en el plan de acción /Número de actividades programadas en el plan de acción)*100
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100