MAPA DE RIESGOS - GRUPO DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN Proceso: Gestionar los recursos de tecnología de la información y comunicación mediante la asesoría y soporte tecnológico necesarios para contribuir con el logro de la misión del Ministerio de Minas y Energía. IDENTIFICACIÓN DEL RIESGO ANÁLISIS VALORACIÓN DE CONTROLES EVALUACIÓN ANTES DE CONTROLES No. 1 RIESGO No tener presupuesto DESCRIPCIÓN DEL RIESGO La no aprobación del presupuesto necesario Código: GESTIÓN TECNOLÓGICA DE INFORMACIÓN Y COMUNICACIÓN Objetivo del Proceso: TIPO DE RIESGO Financiero DESCRIPCIÓN DEL AGENTE GENERADOR DEL RIESGO Comités CAUSAS EFECTO - CONSECUENCIAS PROBABILIDAD CONTROLES EXISTENTES IMPACTO TIPO DE CONTROL VER SIGNIFICADO EN LA HOJA MATRIZ DE CALIFIACIÓN Priorización de proyectos misionales No tener infraestructura tecnológica funcionando 3 Posible 4 Mayor E Extrema Posee una herramienta para ejercer control Existen manuales, instructivos o procedimientos para el manejo de la herramienta En el tiempo que lleva la herramienta ha demostrado ser efectiva Están definidos los responsables de la ejecución del control y del seguimiento RIESGO RESIDUAL La frecuencia de ejecución del control y seguimiento es adecuada Total VARIACIÓN DE PROBABILIDAD O IMPACTO SEGÚN PONDERACIÓN DE CONTROLES PROBABILIDAD Justificación y sustentación de los proyectos Preventivo: Afecta Probabilidad 20 Está documentado y se 20 Está documentado y se aplica aplica 10 Parcialmente 20 Si 10 Parcialmente IMPACTO VALORACIÓN DESPUÉS DE CONTROLES VER SIGNIFICADO EN LA HOJA MATRIZ DE CALIFIACIÓN OPCIÓN DE MANEJO 80 1 Raro 4 Mayor A Alta Reducir el Riesgo M Moderado Reducir el Riesgo AG-P-05-F-06 Versión: 2 Fecha: 05/11/2013 AUTOEVALUACIÓN DEL CONTROL ACCIONES RESPONSABLE INDICADORE FECHA SEGUIMIENTO PRIMER TRIMESTRE RESULTADO SEGUIMIENTO PRIMER TRIMESTRE Adecuada y oportuna justificación del presupuesto solicitado para su respectiva aprobación Coordinador Grupo TIC Presupuesto Solicitado / Presupuesto Asignado 31/03/2014 No se materializó el riesgo Programación y seguimiento a los mantenimientos Técnico Administrativo 3124Grado 18 y Empresa de Mantenimiento y Soporte Número de servicios reportados de no funcionamiento 31/03/2014 No se materializó el riesgo Mantenimientos Correctivos, Migración de Plataformas y Afinamientos Técnico Administrativo 3124Grado 18 y Empresa de Mantenimiento y Soporte Número de plataformas y servicios ajustados y disponibles FECHA SEGUIMIENTO SEGUNDO TRIMESTRE RESULTADO SEGUIMIENTO SEGUNDO TRIMESTRE FECHA SEGUIMIENTO TERCER TRIMESTRE RESULTADO SEGUIMIENTO TERCER TRIMESTRE FECHA SEGUIMIENTO CUARTO TRIMESTRE RESULTADO SEGUIMIENTO CUARTO TRIMESTRE 1 Insignificante 1 Raro 0 No esta documentado ni se 20 aplica Si Reducir el Riesgo 2 Menor 3 Moderado 4 Mayor 5 Catastrófico 2 Improbable 3 Posible 4 Probable 5 Casi Seguro 5 Esta 10 No está documentad 15 Está documentad 20 Está documentad Evitar el Compartir el Riesgo el Transferir Riesgo Correctivo: Afecta Impacto Preventivo: Afecta Probabilidad 20 Probabilidad 2 Infraestructura No Operativa Operativo Entorno Fallas técnicas, físicas o humanas No prestación de los servicios 3 Posible 3 Moderado A Alta Mantenimientos preventivos y correctivos a la infraestructura tecnológica 20 Está documentado y se aplica Preventivo: Afecta Probabilidad 15 Está documentado pero se aplica parcialmente 10 Parcialmente 20 Si 20 Si 1 Raro 3 Moderado 31/03/2014 No se materializó el riesgo 3 Seguimiento a la ejecución del Plan Estratégico Tecnológico Falta de presupuesto o viabilidad del proyecto Rezago tecnológico Entorno y Grupo TIC Existencia y actuación de hackers en los sistemas de información del Ministerio. Ataque Informático Fallas en el tratamiento de la seguridad informática. Impacto negativo en la imagen de la entidad Entorno y Grupo TIC Fallas técnicas por causas ajenas al Ministerio en la prestación de los servicios de telefonía, internet, correo electrónico y redes sociales Indisponibilidad parcial o total de los servicios informáticos. Impacto negativo en la imagen de la entidad Comités o Grupo TIC 2 Improbable 3 Moderado M Moderado Plan Estratégico de TIC Preventivo: Afecta Probabilidad 20 Está documentado y se 20 Está documentado y se aplica aplica 20 Si 20 Si 10 Parcialmente Profesional Especializado 3128-Grado 17 Renovación anual de la infraestructura inferior al 20% 31/03/2014 No se materializó el riesgo 90 1 Raro 3 Moderado M Moderado 4 Uso indebido de la información por terceros 5 Imposibilidad de transmitir y recibir información a través de diversos canales dentro y hacia afuera del Ministerio. Retrasar la atención a los clientes externos Suspensión temporal de las actividades en las cuales la inter relación de información digital es indispensable o de muy alta necesidad, lo cual conlleva retrasos en la entrega de productos finales o prestación del servicio (Ej. Servicio de Correspondencia y Telefonía IP) Tecnológico - Ingeniería Social 3 Posible 2 Menor M Moderado A Alta Procedimiento Gestión de Continuidad y Recuperación de los Servicios de Informática y Comunicaciones Preventivo: Afecta Probabilidad 20 Si 76 a 100 2 Inicial 1 10 Final 4 Inicial 2 1 4 Final 3 Inicial 3 2 Seguimiento a políticas y plataforma de seguridad 20 Está documentado y se 20 Está documentado y se aplica aplica 20 1 3 Final Disminuye en 2 casillas la calificación Inicial en: Ponderación de Controles Plataforma de Seguridad Informática 0 1 3 Reducir el Riesgo Probabilidad Obtención fraudulenta de información confidencial del Ministerio y divulgación de la misma 0 a 50 51 a 75 3 Probabilidad Ocurrencia de inconsistencias o incompatibilidades funcionales de la infraestructura del Ministerio de Minas y Energía en operaciones o integraciones con infraestructuras de otras entidades. Calificación Controles 1 20 10 85 Disminuye en 2 casillas la calificación Inicial en: Ponderación de Controles Obsolescencia Tecnológica de TIC 3 Posible4 Mayor Disminuye en 2 casillas la calificación Inicial en: Ponderación de Controles No acceso e indisponibilidad de los servicios de información 10 Parcialmente 0 No 20 Si 10 Parcialmente Profesional Especializado 3128-Grado 15 Ataques e intentos de hackers <=0 31/03/2014 No se materializó el riesgo 90 1 Raro 2 Menor B Menor 3 Reducir el Riesgo Disminuye en 2 casillas la calificación Inicial en: Ponderación de Controles 3 Inicial 4 1 3 Final 3 Inicial 5 1 3 Final Probabilidad Tecnológico 3 Posible 3 Moderado Planes de Contingencia, DRP y DCA Preventivo: Afecta Probabilidad 20 Está documentado y se 20 Está documentado y se aplica aplica 10 Parcialmente 20 Si 10 Parcialmente Coordinador Grupo TIC Indisponibilidad de servicios de misión critica <= 0 31/03/2014 80 1 Raro 3 Moderado M Moderado Indisponibilidad controlada de tres (3) horas para servicios atados al Portal Web, por actualización de registros DNS para las pruebas de DRP/DCA (Febrero de 2014) Reducir el Riesgo 7 8 Afectación de la Suspensión parcial o total de los infraestructura TIC existente sistemas y/o servicios informáticos en el Centro de Cómputo del albergados en el Centro de Ministerio Cómputo Pérdida o alteración de la información producto de un ataque y/o virus informático Instalación y control de software ilegal No tener o no contar con acceso a archivos, paquetes, aplicaciones, sistemas de información que sean afectados por un virus informático Vulneración de los Derechos de Autor ante el evento de encontrar instalado software ilegal o no permitido por el Ministerio Operativo - Tecnológico Ingeniería Social Operativo - Tecnológico Ingeniería Social Tecnológico - Ingeniería Social Entorno y Grupo TIC Accesos indebidos o no autorizados, errores humanos, indisponibilidad parcial o total de los servicios fortuitos, fallas mecánicas, técnicas, eléctricas o informáticos. manipulación indebida a la Impacto negativo en la infraestructura TIC existente en imagen de la entidad el Centro de Cómputo Entorno y Grupo TIC Penetración exitosa de un virus informático que afecta los recursos informáticos, borra, modifica o cambia la funcionalidad de archivos claves para la operación normal de la plataforma TIC del Ministerio Entorno y Grupo TIC Fallas técnicas en la instalación, control y seguimiento al software legal y permitido para uso en el Ministerio Borrado, alteración e indisponibilidad parcial o total de los recursos informáticos e información clave al servicio del Ministerio. Impacto negativo en la imagen de la entidad Quebrantamiento de los de Derechos de Autor. Detección de software ilegal o no licenciado instalado. Impacto negativo en la imagen de la entidad 3 Posible 3 Posible 2 Menor 2 Menor M Moderado Procedimientos de: 1) Gestión de la Seguridad Informática y 2) Gestión de Continuidad y Recuperación de los Servicios de Informática y Comunicaciones M Moderado Procedimiento Gestión de la Seguridad Informática Preventivo: Afecta Probabilidad 20 Está documentado y se 20 Está documentado y se aplica aplica 10 Parcialmente 20 Si 20 Si 20 Si 20 Si 3 Posible 2 Menor M Moderado 20 Está documentado y se 20 Está documentado y se aplica aplica 10 Parcialmente 1 Raro 3 Moderado M Moderado Reducir el Riesgo Planes de Contingencia, DRP y DCA Coordinador Grupo TIC Indisponibilidad de sistemas y servicios en el Centro de Cómputo <= 0 31/03/2014 No se materializó el riesgo 1 Raro 3 Moderado M Moderado Reducir el Riesgo Plataforma de Antivirus Actualizada con Contrato de Soporte Vigente Coordinador Grupo TIC Ataques exitosos por virus informáticos <= 0 31/03/2014 No se materializó el riesgo 3 20 20 20 20 20 10 20 10 20 20 20 90 20 Calificación Controles 4 20 10 20 20 Calificación Controles 5 20 Si 20 Si 90 1 Raro Ponderación de Controles 1 10 90 Probabilidad Preventivo: Afecta Probabilidad 20 Disminuye en 2 casillas la calificación Inicial en: Ponderación de Controles Procedimiento Gestión de la Seguridad Informática 15 Calificación Controles 3 Probabilidad Preventivo: Afecta Probabilidad 10 Parcialmente 20 Disminuye en 2 casillas la calificación Inicial en: Ponderación de Controles 20 Está documentado y se 20 Está documentado y se aplica aplica 2 Calificación Controles 2 Disminuye en 2 casillas la calificación Inicial en: Ponderación de Controles Probabilidad 6 3 Disminuye en 2 casillas la calificación Inicial en: Probabilidad 2 Menor B Menor Reducir el Riesgo Mantenimientos preventivos y de control previstos en el Contrato de Mantenimiento Vigente Técnico Administrativo 3124Grado 18 y Empresa de Mantenimiento y Soporte Perfiles de usuarios sin autorización para instalación de softw are Técnico Administrativo 3124Grado 18 y Empresa de Mantenimiento y Soporte 31/03/2014 No se materializó el riesgo Instalaciones de softw are no permitido <= 0 20 31/03/2014 No se materializó el riesgo 10 1 Raro1 Insignificante B Baja 1 Raro2 Menor 1 Raro3 Moderado 1 Raro4 Mayor 1 Raro5 Catastrófico 2 Improbable1 Insignificante 2 Improbable2 Menor 2 Improbable3 Moderado B Baja M Moderado A Alta A Alta B Baja B Baja M Moderado 2 Improbable4 Mayor 2 Improbable5 Catastrófico 3 Posible1 Insignificante A Alta E Extrema B Baja 3 Posible2 Menor M Moderado 3 Posible3 Moderado 3 Posible4 Mayor 3 Posible5 Catastrófico A Alta E Extrema E Extrema 4 Probable1 Insignificante M Moderado 4 Probable2 Menor 4 Probable3 Moderado 4 Probable4 Mayor 4 Probable5 Catastrófico 5 Casi Seguro1 Insignificante 5 Casi Seguro2 Menor 5 Casi Seguro3 Moderado A Alta A Alta E Extrema E Extrema A Alta A Alta E Extrema 5 Casi Seguro4 Mayor E Extrema 5 Casi Seguro5 Catastrófico E Extrema IMPACTO PROBABILIDAD INSIGNIFICANTE (1) MENOR (2) MODERADO (3) MAYOR (4) CATASTRÓFICO (5) RARO (1) B B M A A IMPROBABLE (2) B B M A E POSIBLE (3) B M A E E PROBABLE (4) M A A E E CASI SEGURO (5) A A E E E B: ZONA DE RIESGO BAJA: M: ZONA DE RIESGO MODERADO: A: ZONA DE RIESGO ALTA: E: ZONA DE RIESGO EXTREMA: Asumir el Riesgo Asumir el Riesgo, Reducir el Riesgo Reducir el riesgo, Evitar, Compartir o Transferir Reducir el riesgo, Evitar, Compartir o Transferir