PROBABILIDAD IMPACTO 1 Insignificante 1 Raro 0 No esta

MAPA DE RIESGOS - GRUPO DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN
Proceso:
Gestionar los recursos de tecnología de la información y comunicación mediante la asesoría y soporte tecnológico necesarios para contribuir con el logro de la misión del Ministerio de Minas y Energía.
IDENTIFICACIÓN DEL RIESGO
ANÁLISIS
VALORACIÓN DE CONTROLES
EVALUACIÓN
ANTES DE CONTROLES
No.
1
RIESGO
No tener presupuesto
DESCRIPCIÓN DEL RIESGO
La no aprobación del presupuesto
necesario
Código:
GESTIÓN TECNOLÓGICA DE INFORMACIÓN Y COMUNICACIÓN
Objetivo del Proceso:
TIPO DE RIESGO
Financiero
DESCRIPCIÓN DEL AGENTE
GENERADOR DEL RIESGO
Comités
CAUSAS
EFECTO - CONSECUENCIAS
PROBABILIDAD
CONTROLES
EXISTENTES
IMPACTO
TIPO DE CONTROL
VER SIGNIFICADO EN LA
HOJA MATRIZ DE
CALIFIACIÓN
Priorización de proyectos
misionales
No tener infraestructura
tecnológica funcionando
3 Posible
4 Mayor
E Extrema
Posee una herramienta para
ejercer control
Existen manuales,
instructivos o procedimientos
para el manejo de la
herramienta
En el tiempo que lleva la
herramienta ha demostrado
ser efectiva
Están definidos los
responsables de la ejecución
del control y del seguimiento
RIESGO RESIDUAL
La frecuencia de ejecución
del control y seguimiento es
adecuada
Total
VARIACIÓN DE PROBABILIDAD O
IMPACTO SEGÚN PONDERACIÓN DE
CONTROLES
PROBABILIDAD
Justificación y
sustentación de los
proyectos
Preventivo: Afecta
Probabilidad
20 Está documentado y se 20 Está documentado y se
aplica
aplica
10 Parcialmente
20 Si
10 Parcialmente
IMPACTO
VALORACIÓN
DESPUÉS DE
CONTROLES
VER SIGNIFICADO EN
LA HOJA MATRIZ DE
CALIFIACIÓN
OPCIÓN DE
MANEJO
80
1 Raro
4 Mayor
A Alta
Reducir el
Riesgo
M Moderado
Reducir el
Riesgo
AG-P-05-F-06
Versión:
2
Fecha:
05/11/2013
AUTOEVALUACIÓN DEL CONTROL
ACCIONES
RESPONSABLE
INDICADORE
FECHA SEGUIMIENTO
PRIMER TRIMESTRE
RESULTADO SEGUIMIENTO PRIMER
TRIMESTRE
Adecuada y oportuna
justificación del
presupuesto solicitado
para su respectiva
aprobación
Coordinador Grupo TIC
Presupuesto Solicitado /
Presupuesto Asignado
31/03/2014
No se materializó el riesgo
Programación y
seguimiento a los
mantenimientos
Técnico Administrativo 3124Grado 18 y Empresa de
Mantenimiento y Soporte
Número de servicios
reportados de no
funcionamiento
31/03/2014
No se materializó el riesgo
Mantenimientos
Correctivos, Migración de
Plataformas y
Afinamientos
Técnico Administrativo 3124Grado 18 y Empresa de
Mantenimiento y Soporte
Número de plataformas y
servicios ajustados y
disponibles
FECHA SEGUIMIENTO
SEGUNDO TRIMESTRE
RESULTADO SEGUIMIENTO
SEGUNDO TRIMESTRE
FECHA SEGUIMIENTO
TERCER TRIMESTRE
RESULTADO SEGUIMIENTO
TERCER TRIMESTRE
FECHA SEGUIMIENTO
CUARTO TRIMESTRE
RESULTADO SEGUIMIENTO
CUARTO TRIMESTRE
1 Insignificante
1 Raro
0 No esta documentado ni se 20
aplica
Si
Reducir el Riesgo
2 Menor
3 Moderado
4 Mayor
5 Catastrófico
2 Improbable
3 Posible
4 Probable
5 Casi Seguro
5 Esta
10 No está
documentad
15
Está
documentad
20 Está
documentad
Evitar el
Compartir el
Riesgo el
Transferir
Riesgo
Correctivo: Afecta Impacto
Preventivo: Afecta Probabilidad
20
Probabilidad
2
Infraestructura No Operativa
Operativo
Entorno
Fallas técnicas, físicas o
humanas
No prestación de los
servicios
3 Posible
3 Moderado
A Alta
Mantenimientos
preventivos y
correctivos a la
infraestructura
tecnológica
20 Está documentado y se
aplica
Preventivo: Afecta
Probabilidad
15 Está documentado
pero se aplica
parcialmente
10 Parcialmente
20 Si
20 Si
1 Raro
3 Moderado
31/03/2014
No se materializó el riesgo
3
Seguimiento a la ejecución
del Plan Estratégico
Tecnológico
Falta de presupuesto o
viabilidad del proyecto
Rezago tecnológico
Entorno y Grupo TIC
Existencia y actuación de
hackers en los sistemas de
información del Ministerio.
Ataque Informático
Fallas en el tratamiento de
la seguridad informática.
Impacto negativo en la
imagen de la entidad
Entorno y Grupo TIC
Fallas técnicas por causas
ajenas al Ministerio en la
prestación de los servicios
de telefonía, internet, correo
electrónico y redes sociales
Indisponibilidad parcial o
total de los servicios
informáticos.
Impacto negativo en la
imagen de la entidad
Comités o Grupo TIC
2 Improbable
3 Moderado
M Moderado
Plan Estratégico
de TIC
Preventivo: Afecta
Probabilidad
20 Está documentado y se 20 Está documentado y se
aplica
aplica
20 Si
20 Si
10 Parcialmente
Profesional Especializado
3128-Grado 17
Renovación anual de la
infraestructura inferior al
20%
31/03/2014
No se materializó el riesgo
90
1 Raro
3 Moderado
M Moderado
4
Uso indebido de la información
por terceros
5
Imposibilidad de transmitir y
recibir información a través
de diversos canales dentro y
hacia afuera del Ministerio.
Retrasar la atención a los
clientes externos
Suspensión temporal de las
actividades en las cuales la inter
relación de información digital es
indispensable o de muy alta
necesidad, lo cual conlleva retrasos
en la entrega de productos finales o
prestación del servicio (Ej. Servicio de
Correspondencia y Telefonía IP)
Tecnológico - Ingeniería
Social
3 Posible
2 Menor
M Moderado
A Alta
Procedimiento
Gestión de
Continuidad y
Recuperación de
los Servicios de
Informática y
Comunicaciones
Preventivo: Afecta
Probabilidad
20 Si
76 a 100
2
Inicial 1
10
Final
4
Inicial 2
1
4
Final
3
Inicial 3
2
Seguimiento a políticas y
plataforma de seguridad
20 Está documentado y se 20 Está documentado y se
aplica
aplica
20
1
3
Final
Disminuye en 2 casillas la
calificación Inicial en:
Ponderación de Controles
Plataforma de
Seguridad
Informática
0
1
3
Reducir el
Riesgo
Probabilidad
Obtención fraudulenta de
información confidencial del
Ministerio y divulgación de la
misma
0 a 50
51 a 75
3
Probabilidad
Ocurrencia de inconsistencias o
incompatibilidades funcionales de
la infraestructura del Ministerio de
Minas y Energía en operaciones o
integraciones con infraestructuras
de otras entidades.
Calificación Controles 1
20
10
85
Disminuye en 2 casillas la
calificación Inicial en:
Ponderación de Controles
Obsolescencia Tecnológica
de TIC
3 Posible4 Mayor
Disminuye en 2 casillas la
calificación Inicial en:
Ponderación de Controles
No acceso e indisponibilidad de
los servicios de información
10 Parcialmente
0 No
20 Si
10 Parcialmente
Profesional Especializado
3128-Grado 15
Ataques e intentos de
hackers <=0
31/03/2014
No se materializó el riesgo
90
1 Raro
2 Menor
B Menor
3
Reducir el
Riesgo
Disminuye en 2 casillas la
calificación Inicial en:
Ponderación de Controles
3
Inicial 4
1
3
Final
3
Inicial 5
1
3
Final
Probabilidad
Tecnológico
3 Posible
3 Moderado
Planes de Contingencia,
DRP y DCA
Preventivo: Afecta
Probabilidad
20 Está documentado y se 20 Está documentado y se
aplica
aplica
10 Parcialmente
20 Si
10 Parcialmente
Coordinador Grupo TIC
Indisponibilidad de servicios
de misión critica <= 0
31/03/2014
80
1 Raro
3 Moderado
M Moderado
Indisponibilidad controlada de tres (3)
horas para servicios atados al Portal
Web, por actualización de registros
DNS para las pruebas de DRP/DCA
(Febrero de 2014)
Reducir el
Riesgo
7
8
Afectación de la
Suspensión parcial o total de los
infraestructura TIC existente sistemas y/o servicios informáticos
en el Centro de Cómputo del
albergados en el Centro de
Ministerio
Cómputo
Pérdida o alteración de la
información producto de un
ataque y/o virus informático
Instalación y control de
software ilegal
No tener o no contar con acceso a
archivos, paquetes, aplicaciones,
sistemas de información que sean
afectados por un virus informático
Vulneración de los Derechos de
Autor ante el evento de encontrar
instalado software ilegal o no
permitido por el Ministerio
Operativo - Tecnológico Ingeniería Social
Operativo - Tecnológico Ingeniería Social
Tecnológico - Ingeniería
Social
Entorno y Grupo TIC
Accesos indebidos o no
autorizados, errores humanos, indisponibilidad parcial o
total de los servicios
fortuitos, fallas mecánicas,
técnicas, eléctricas o
informáticos.
manipulación indebida a la
Impacto negativo en la
infraestructura TIC existente en imagen de la entidad
el Centro de Cómputo
Entorno y Grupo TIC
Penetración exitosa de un virus
informático que afecta los
recursos informáticos, borra,
modifica o cambia la
funcionalidad de archivos
claves para la operación
normal de la plataforma TIC del
Ministerio
Entorno y Grupo TIC
Fallas técnicas en la
instalación, control y
seguimiento al software
legal y permitido para uso
en el Ministerio
Borrado, alteración e
indisponibilidad parcial o
total de los recursos
informáticos e información
clave al servicio del
Ministerio.
Impacto negativo en la
imagen de la entidad
Quebrantamiento de los
de Derechos de Autor.
Detección de software
ilegal o no licenciado
instalado.
Impacto negativo en la
imagen de la entidad
3 Posible
3 Posible
2 Menor
2 Menor
M Moderado
Procedimientos de: 1)
Gestión de la
Seguridad Informática
y 2) Gestión de
Continuidad y
Recuperación de los
Servicios de
Informática y
Comunicaciones
M Moderado
Procedimiento
Gestión de la
Seguridad
Informática
Preventivo: Afecta
Probabilidad
20 Está documentado y se 20 Está documentado y se
aplica
aplica
10 Parcialmente
20 Si
20 Si
20 Si
20 Si
3 Posible
2 Menor
M Moderado
20 Está documentado y se 20 Está documentado y se
aplica
aplica
10 Parcialmente
1 Raro
3 Moderado
M Moderado
Reducir el
Riesgo
Planes de Contingencia,
DRP y DCA
Coordinador Grupo TIC
Indisponibilidad de sistemas
y servicios en el Centro de
Cómputo <= 0
31/03/2014
No se materializó el riesgo
1 Raro
3 Moderado
M Moderado
Reducir el
Riesgo
Plataforma de Antivirus
Actualizada con Contrato
de Soporte Vigente
Coordinador Grupo TIC
Ataques exitosos por virus
informáticos <= 0
31/03/2014
No se materializó el riesgo
3
20
20
20
20
20
10
20
10
20
20
20
90
20
Calificación Controles 4
20
10
20
20
Calificación Controles 5
20 Si
20 Si
90
1 Raro
Ponderación de Controles
1
10
90
Probabilidad
Preventivo: Afecta
Probabilidad
20
Disminuye en 2 casillas la
calificación Inicial en:
Ponderación de Controles
Procedimiento
Gestión de la
Seguridad
Informática
15
Calificación Controles 3
Probabilidad
Preventivo: Afecta
Probabilidad
10 Parcialmente
20
Disminuye en 2 casillas la
calificación Inicial en:
Ponderación de Controles
20 Está documentado y se 20 Está documentado y se
aplica
aplica
2
Calificación Controles 2
Disminuye en 2 casillas la
calificación Inicial en:
Ponderación de Controles
Probabilidad
6
3
Disminuye en 2 casillas la
calificación Inicial en:
Probabilidad
2 Menor
B Menor
Reducir el
Riesgo
Mantenimientos
preventivos y de control
previstos en el Contrato
de Mantenimiento Vigente
Técnico Administrativo 3124Grado 18 y Empresa de
Mantenimiento y Soporte
Perfiles de usuarios sin
autorización para
instalación de softw are
Técnico Administrativo 3124Grado 18 y Empresa de
Mantenimiento y Soporte
31/03/2014
No se materializó el riesgo
Instalaciones de softw are
no permitido <= 0
20
31/03/2014
No se materializó el riesgo
10
1 Raro1 Insignificante
B Baja
1 Raro2 Menor
1 Raro3 Moderado
1 Raro4 Mayor
1 Raro5 Catastrófico
2 Improbable1 Insignificante
2 Improbable2 Menor
2 Improbable3 Moderado
B Baja
M Moderado
A Alta
A Alta
B Baja
B Baja
M Moderado
2 Improbable4 Mayor
2 Improbable5 Catastrófico
3 Posible1 Insignificante
A Alta
E Extrema
B Baja
3 Posible2 Menor
M Moderado
3 Posible3 Moderado
3 Posible4 Mayor
3 Posible5 Catastrófico
A Alta
E Extrema
E Extrema
4 Probable1 Insignificante
M Moderado
4 Probable2 Menor
4 Probable3 Moderado
4 Probable4 Mayor
4 Probable5 Catastrófico
5 Casi Seguro1 Insignificante
5 Casi Seguro2 Menor
5 Casi Seguro3 Moderado
A Alta
A Alta
E Extrema
E Extrema
A Alta
A Alta
E Extrema
5 Casi Seguro4 Mayor
E Extrema
5 Casi Seguro5 Catastrófico
E Extrema
IMPACTO
PROBABILIDAD
INSIGNIFICANTE (1)
MENOR (2)
MODERADO (3)
MAYOR (4)
CATASTRÓFICO (5)
RARO (1)
B
B
M
A
A
IMPROBABLE (2)
B
B
M
A
E
POSIBLE (3)
B
M
A
E
E
PROBABLE (4)
M
A
A
E
E
CASI SEGURO (5)
A
A
E
E
E
B: ZONA DE RIESGO BAJA:
M: ZONA DE RIESGO MODERADO:
A: ZONA DE RIESGO ALTA:
E: ZONA DE RIESGO EXTREMA:
Asumir el Riesgo
Asumir el Riesgo, Reducir el Riesgo
Reducir el riesgo, Evitar, Compartir o Transferir
Reducir el riesgo, Evitar, Compartir o Transferir