ABCDEFGHIJKLMNOPQRSTUVWXYZAAABACADAEAFAGAHAIAJAKALAMAN
1
EMPRESAS PÚBLICAS DEL QUINDÍO S.A E.S.P
MATRIZ PARA LA GESTIÓN DE RIESGOS
MAPA DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN - VIGENCIA 2025
2
3
Código: GCI-P-02-R-02Versión: 05Fecha de Emisión: 12/04/2021Página: 1 de
4
Proceso:GESTIÓN ADMINISTRATIVA Y FINANCIERA : Sistemas de Información
5
Objetivo:Garantizar el suministro de información necesaria, oportuna y confiable a los grupos de interes internos y externos, que facilite el cumplimiento de la misión con el apoyo del software, hardware y medios de comunicación pertinentes de acuerdo con las normas legales y las politicas de la organización.
6
Alcance:1 enero al 31 de diciembre de 2025
7
Identificación del riesgoAnálisis del riesgo inherenteEvaluación del riesgo - Valoración de los controlesEvaluación del riesgo - Nivel del riesgo residualPlan de Acción
8
Referencia ImpactoCausa InmediataCausa RaízDescripción del RiesgoClasificación del RiesgoFrecuencia con la cual se realiza la actividadProbabilidad Inherente%Criterios de impactoObservación de criterioImpacto
Inherente
%Zona de Riesgo InherenteNo. ControlDescripción del ControlAfectaciónAtributosProbabilidad ResidualProbabilidad Residual Final%Impacto Residual Final%Zona de Riesgo FinalTratamientoPlan de AcciónResponsableFecha ImplementaciónFecha SeguimientoSeguimientoEstado
9
Tipo
Implementación
Calificación
Documentación
Frecuencia
Evidencia
10
37Económico y ReputacionalPerdida total o parcial de la información historica de la Empresa. DAÑO LOGICO: Ataque informático,, Inadecuada configuración por error humano involuntario.
DAÑO FISICO: Alteración de corriente eléctrica, fallas en el Herdware
Posibilidad de que ocurra un daño lógico, físico o ataques informáticos en el servidor de datos que aloja la información del sistema IALEPH, el cual cuenta con informacion de consulta de Acueducto, Alcantarillado y gas historica de la empresa hasta el 2023, ocasionando pérdida total o parcial de la información que alli reposa.
Las causas pueden ser debido a: un ataque informático, alteración de corriente eléctrica, inadecuada configuración por error humano involuntario.

Fallas Tecnologicas365Media60%
Dificultad en consultas operativas y análisis históricos de servicios públicos.
Interrupción parcial o total del acceso a la información histórica del sistema IALEPH
Riesgos legales derivados de la pérdida de información institucional.
Nivel de pérdida de datos (parcial o total).
Alteración, corrupción o eliminación de registros históricos.
Pérdida de trazabilidad de la información institucional.
Afectación de la confianza en la gestión de la información.
Debilitamiento de la imagen institucional frente a entes de control y usuarios internos.

Dificultad en consultas operativas y análisis históricos de servicios públicos.
Interrupción parcial o total del acceso a la información histórica del sistema IALEPH
Riesgos legales derivados de la pérdida de información institucional.
Nivel de pérdida de datos (parcial o total).
Alteración, corrupción o eliminación de registros históricos.
Pérdida de trazabilidad de la información institucional.
Afectación de la confianza en la gestión de la información.
Debilitamiento de la imagen institucional frente a entes de control y usuarios internos.
Menor40%Moderado1Responsable: Profesional Universitario del Proceso de Sistemas de Información.
Periocidad: Se realizará la revisión diaria de la conectividad y del funcionamiento del servidor donde esta alojdo el sistema IALEPH
Propósito: velar por la integridad física y lógica del servidor de datos.
Control: Se realizará una verificación de la conexión con el servidor de datos por medio de fla aplicacion .jar disponible en los equipos de la entidad.
Desviación: El servidor cuenta fuentes alternas de energía para evitar apagones repentinos que pueden generar daños.
Soporte: Seguimiento de disponiblidiad del software
Probabilidad
Preventivo
Automático
50%
Documentado
Continua
Con Registro
30,0%Baja30%Menor40%Moderado
Reducir (mitigar)

Monitoreo continuo del servidor
Revision de las UPS,
Control de acceso del ingreso al servidor
Capacitar al personal en manejo seguro de sistemas y buenas prácticas TI.



P.U Sistemas1/1/202501/09/2025 - 31/12/2025

En Empresas Publicas del Quindío se cuenta con un servidor en donde esta alojado el software IALEPH, el cual tiene la información de acueducto, alcantarillado y gas de la empresa esta información aloja datos de la empresa desde diciembre 2022 hacia atras. en este 3 cuatrimestre del 2025 lo que se ha venido realizando es: para evitar alteraciones de corrientes electricas ES LA REVICIÓN DE las ups que se encargan del respaldo del edificio y del rack donde esta alojado el servidor IALEPH, asi garantizando de que se tenga un respaldo mayor al momento de un apagon y la información siempre este disponible, se revisa periodicamente que las maquinas virtuales en donde estan alojadas las bases de datos del software esten encendidas para que la información este disponible para ser consumida por los funcionarios de la empresa, y ademas de esto se ingresa al software para revisar que si este en linea.
11
38ReputacionalSuspensión del servicio por falta de pago.

Vencimiento del contrato con el proveedor.

Fallas técnicas o caída del proveedor de internet.

Corte del servicio por mora o incumplimiento contractual.
Falta de control y seguimiento a contratos y fechas de pago.

Ausencia de políticas o procedimientos para la gestión de proveedores tecnológicos.

Deficiente planificación presupuestal de servicios tecnológicos.

Falta de responsables definidos para la gestión del servicio.
Posibilidad de interrupción en la operatividad de la empresa debido a fallas o suspensión del servicio de internet, ocasionadas por la no renovación oportuna de contratos, incumplimiento en pagos o fallas del proveedor del servicio
Fallas Tecnologicas365Media60%Generar interrupciones en la operación diaria de la empresa, afectando la comunicación, el acceso a plataformas tecnológicas, la ejecución de procesos en línea y la continuidad de las actividades laborales, lo que podría ocasionar retrasos operativos, pérdidas económicas y afectación en la calidad del servicio prestado a clientes y aliadosGenerar interrupciones en la operación diaria de la empresa, afectando la comunicación, el acceso a plataformas tecnológicas, la ejecución de procesos en línea y la continuidad de las actividades laborales, lo que podría ocasionar retrasos operativos, pérdidas económicas y afectación en la calidad del servicio prestado a clientes y aliadosModerado60%Moderado1Responsable: Profesional Universitario del Proceso de Sistemas de Información.
Periocidad: cuentas mensuales del servicio de internet, y semanalmente se realizaran mediciones de la velocidad del internet
Propósito: dar continuidad al servicio de internet y su buen funcionamiento
Control: cronograma establecido, con el operador para la presentacion de las cuentas de cobro y seguimiento con el area de soporte para garantizar el servicio
Desviación: Incumplimiento en el seguimiento y control de pagos, contratos y monitoreo del servicio de internet, generando riesgo de suspensión o interrupción de la conectividad empresarial.
Soporte: Facturas y comprobantes de pago del servicio de internet, contrato vigente con el proveedor, registros de seguimiento a vencimientos, reportes de monitoreo del servicio y evidencias de gestión de incidencias o soporte técnico.
Probabilidad
Preventivo
Automático
50%
Documentado
Continua
Con Registro
30,0%Baja30%Moderado60%Moderado
Reducir (mitigar)
Implementar un control periódico para el seguimiento de fechas de vencimiento de contratos y pagos del servicio de internet mediante un cronograma o calendario de alertas automáticas; definir responsables para la gestión y verificación oportuna de pagos y renovaciones; establecer un monitoreo continuo de la disponibilidad del servicio para detectar fallas a tiempo; mantener comunicación permanente con el proveedor para atención de incidente
P.U Sistemas1/1/202501/09/2025 - 31/12/2025Durante el tercer cuatrimestre de 2025, se adelantaron acciones que han permitido controlar el riesgo relacionado con posibles fallas en el internet y en las video-cámaras de la entidad. se mantiene vigente el Contrato de Prestación de Servicios No. 033 de 2025 con la empresa AYA Comunicaciones, con vigencia hasta el 31 de diciembre de 2025, garantizando la prestación del servicio de internet y la grabación de cámaras en las diferentes coordinaciones. Como supervisor del contrato, se ha velado por la realización oportuna de los pagos mes a mes, lo que ha asegurado la continuidad del servicio sin interrupciones críticas. Adicionalmente, se efectúa una revisión diaria de la consola de cámaras para verificar que permanezcan en línea y grabando correctamente la información. Gracias a estas acciones, durante el periodo no se presentaron incidentes que comprometieran la integridad o disponibilidad de la información, logrando mantener el riesgo en un nivel bajo y bajo control.
12
*Nota: La columna referencia se sugiere para mantener el consecutivo de riesgos, así el riesgo salga del mapa no existirá otro riesgo con el mismo número. Una entidad puede ir en el riesgo 150 pero tener 70 riesgos, lo que permite llevar una traza de los riesgos. Esta información la debe administrar la Oficina Asesora de Planeación o Gerencia de Riesgos.
13
Fuente: Adaptado de Curso Riesgo Operativo Universidad del Rosario por Dirección de Gestión y Desempeño Institucional de Función Pública, 2020.
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100