MAPA DE RIESGOS - GRUPO DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN Proceso: Objetivo del Proceso: Gestionar los recursos de tecnología de la información y comunicación mediante la asesoría y soporte tecnológico necesarios para contribuir con el logro de la misión del Ministerio de Minas y Energía. IDENTIFICACIÓN DEL RIESGO ANÁLISIS VALORACIÓN DE CONTROLES EVALUACIÓN ANTES DE CONTROLES No. 1 RIESGO No tener presupuesto DESCRIPCIÓN DEL RIESGO La no aprobación del presupuesto necesario Código: GESTIÓN TECNOLÓGICA DE INFORMACIÓN Y COMUNICACIÓN TIPO DE RIESGO Financiero DESCRIPCIÓN DEL AGENTE GENERADOR DEL RIESGO Comités CAUSAS EFECTO - CONSECUENCIAS PROBABILIDAD CONTROLES EXISTENTES IMPACTO TIPO DE CONTROL VER SIGNIFICADO EN LA HOJA MATRIZ DE CALIFIACIÓN Priorización de proyectos misionales No tener infraestructura tecnológica funcionando 3 Posible 4 Mayor E Extrema Posee una herramienta para ejercer control Existen manuales, instructivos En el tiempo que lleva la o procedimientos para el herramienta ha demostrado ser manejo de la herramienta efectiva Están definidos los responsables de la ejecución del control y del seguimiento RIESGO RESIDUAL La frecuencia de ejecución del control y seguimiento es adecuada VARIACIÓN DE PROBABILIDAD O IMPACTO SEGÚN PONDERACIÓN DE CONTROLES OPCIÓN DE MANEJO PROBABILIDAD Justificación y Preventivo: Afecta sustentación de los Probabilidad proyectos 20 Está documentado y se aplica 20 Está documentado y se aplica 10 Parcialmente 20 Si 10 Parcialmente IMPACTO 1 Raro 4 Mayor ACCIONES RESPONSABLE INDICADORE FECHA SEGUIMIENTO PRIMER TRIMESTRE Adecuada y oportuna justificación del presupuesto solicitado para su respectiva aprobación Coordinador Grupo TIC Presupuesto Solicitado / Presupuesto Asignado 31/03/2014 VER SIGNIFICADO EN LA HOJA MATRIZ DE CALIFIACIÓN 80 A Alta 2 Fecha: 05/11/2013 AUTOEVALUACIÓN DEL CONTROL VALORACIÓN DESPUÉS DE CONTROLES Total AG-P-05-F-06 Versión: RESULTADO SEGUIMIENTO PRIMER TRIMESTRE FECHA SEGUIMIENTO SEGUNDO TRIMESTRE RESULTADO SEGUIMIENTO SEGUNDO TRIMESTRE No se materializó el riesgo 30/06/2014 No se materializó el riesgo Reducir el Riesgo FECHA SEGUIMIENTO TERCER TRIMESTRE RESULTADO SEGUIMIENTO TERCER TRIMESTRE FECHA SEGUIMIENTO CUARTO TRIMESTRE RESULTADO SEGUIMIENTO CUARTO TRIMESTRE 1 Insignificante 1 Raro 0 No esta documentado ni se20 aplica Si Reducir el Riesgo 2 Menor 3 Moderado 4 Mayor 2 Improbable 3 Posible 4 Probable 5 Esta 10 No está documentad 15 Está Evitar el Compartir el Riesgo Transferir el 5 Catastrófico 5 Casi Seguro Probabilidad 2 Infraestructura No Operativa No acceso e indisponibilidad de los servicios de información Operativo Entorno Fallas técnicas, físicas o humanas No prestación de los servicios 3 Posible 3 Moderado A Alta 20 Está documentado y se aplica Preventivo: Afecta Probabilidad 15 Está documentado pero se aplica parcialmente 10 Parcialmente 20 Si 20 Si Programación y seguimiento a los mantenimientos Técnico Administrativo 3124Grado 18 y Empresa de Mantenimiento y Soporte Número de servicios reportados de no funcionamiento 31/03/2014 Mantenimientos Correctivos, Migración de Plataformas y Afinamientos Técnico Administrativo 3124Grado 18 y Empresa de Mantenimiento y Soporte Número de plataformas y servicios ajustados y disponibles 31/03/2014 No se materializó el riesgo 30/06/2014 No se materializó el riesgo 3 Moderado M Moderado Reducir el Riesgo No se materializó el riesgo 30/06/2014 No se materializó el riesgo Disminuye en 2 casillas la calificación Inicial en: 3 Tecnológico Comités o Grupo TIC Falta de presupuesto o viabilidad del proyecto Rezago tecnológico 2 Improbable 3 Moderado M Moderado Plan Estratégico de Preventivo: Afecta TIC Probabilidad 20 Está documentado y se aplica 20 Está documentado y se aplica Seguimiento a la ejecución del Plan Estratégico 20 Si 20 Si 10 Parcialmente Profesional Especializado 3128-Grado 17 Renovación anual de la infraestructura inferior al 20% 31/03/2014 No se materializó el riesgo 30/06/2014 No se materializó el riesgo 90 4 Tecnológico - Ingeniería Social Entorno y Grupo TIC 3 Posible 2 Menor M Moderado Plataforma de Seguridad Informática Preventivo: Afecta Probabilidad 0 a 50 0 51 a 75 1 76 a 100 2 Inicial 1 1 Raro 3 Moderado M Moderado 4 20 Está documentado y se aplica 1 4 3 1 3 Reducir el Riesgo 2 Seguimiento a políticas y plataforma de seguridad 20 Si 10 Final Inicial 3 20 Está documentado y se aplica 20 Final Inicial 2 3 Probabilidad Obtención fraudulenta de información confidencial del Uso indebido de la información por Ministerio y divulgación de la terceros misma Calificación Controles 1 20 10 Final Disminuye en 2 casillas la calificación Inicial en: Ponderación de Controles Fallas en el tratamiento Existencia y actuación de de la seguridad hackers en los sistemas de informática. información del Ministerio. Impacto negativo en la Ataque Informático imagen de la entidad 20 3 Probabilidad Ocurrencia de inconsistencias o incompatibilidades funcionales de la infraestructura del Ministerio de Minas y Energía en operaciones o integraciones con infraestructuras de otras entidades. Correctivo: Afecta Impacto Preventivo: Afecta Probabilidad 85 1 Raro Ponderación de Controles Obsolescencia Tecnológica de TIC 3 Posible4 Mayor Riesgo Disminuye en 2 casillas la calificación Inicial en: Ponderación de Controles Mantenimientos preventivos y correctivos a la infraestructura tecnológica 10 Parcialmente 0 No documentad 20 Está documentad 20 Si 10 Parcialmente Profesional Especializado 3128-Grado 15 Ataques e intentos de hackers <=0 31/03/2014 No se materializó el riesgo 30/06/2014 No se materializó el riesgo 90 Inicial 4 3 1 Raro 2 Menor B Menor 1 3 Final 3 1 3 Reducir el Riesgo Disminuye en 2 casillas la calificación Inicial en: Ponderación de Controles 3 Inicial 5 Final Probabilidad Suspensión temporal de las 5 Imposibilidad de transmitir y actividades en las cuales la inter recibir información a través relación de información digital es de diversos canales dentro y indispensable o de muy alta necesidad, lo cual conlleva retrasos hacia afuera del Ministerio. en la entrega de productos finales o Retrasar la atención a los prestación del servicio (Ej. Servicio de clientes externos Tecnológico Entorno y Grupo TIC Fallas técnicas por causas ajenas al Ministerio en la prestación de los servicios de telefonía, internet, correo electrónico y redes sociales Indisponibilidad parcial o total de los servicios informáticos. Impacto negativo en la imagen de la entidad 3 Posible 3 Moderado A Alta Correspondencia y Telefonía IP) Planes de Contingencia, DRP y DCA Procedimiento Gestión de Continuidad y Recuperación de los Servicios de Informática y Comunicaciones Preventivo: Afecta Probabilidad Procedimientos de: 1) Gestión de la Seguridad Informática y 2) Gestión de Continuidad y Recuperación de los Servicios de Informática y Comunicaciones Preventivo: Afecta Probabilidad Procedimiento Gestión de la Seguridad Informática Preventivo: Afecta Probabilidad 20 Está documentado y se aplica 20 Está documentado y se aplica 10 Parcialmente 20 Si 10 Parcialmente Coordinador Grupo TIC Indisponibilidad de servicios de misión critica <= 0 31/03/2014 80 1 Raro 3 Moderado M Moderado Indisponibilidad controlada de tres (3) horas para servicios atados al Portal Web, por actualización de registros DNS para las pruebas de DRP/DCA (Febrero de 2014) 30/06/2014 6 7 8 Pérdida o alteración de la información producto de un ataque y/o virus informático Instalación y control de software ilegal Suspensión parcial o total de los sistemas y/o servicios informáticos albergados en el Centro de Cómputo No tener o no contar con acceso a archivos, paquetes, aplicaciones, sistemas de información que sean afectados por un virus informático Vulneración de los Derechos de Autor ante el evento de encontrar instalado software ilegal o no permitido por el Ministerio Operativo - Tecnológico Ingeniería Social Operativo - Tecnológico Ingeniería Social Tecnológico - Ingeniería Social Entorno y Grupo TIC Entorno y Grupo TIC Entorno y Grupo TIC Accesos indebidos o no autorizados, errores humanos, fortuitos, fallas mecánicas, técnicas, eléctricas o manipulación indebida a la infraestructura TIC existente en el Centro de Cómputo indisponibilidad parcial o total de los servicios informáticos. Impacto negativo en la imagen de la entidad Penetración exitosa de un virus informático que afecta los recursos informáticos, borra, modifica o cambia la funcionalidad de archivos claves para la operación normal de la plataforma TIC del Ministerio Borrado, alteración e indisponibilidad parcial o total de los recursos informáticos e información clave al servicio del Ministerio. Impacto negativo en la imagen de la entidad Fallas técnicas en la instalación, control y seguimiento al software legal y permitido para uso en el Ministerio Quebrantamiento de los de Derechos de Autor. Detección de software ilegal o no licenciado instalado. Impacto negativo en la imagen de la entidad 3 Posible 3 Posible 2 Menor 2 Menor M Moderado M Moderado 20 Está documentado y se aplica 10 Parcialmente 20 Si 20 Si 10 Parcialmente 20 Si 20 Si 20 Planes de Contingencia, DRP y DCA Coordinador Grupo TIC Indisponibilidad de sistemas y servicios en el Centro de Cómputo <= 0 31/03/2014 No se materializó el riesgo 30/06/2014 No se materializó el riesgo 1 Raro 3 Moderado M Moderado Reducir el Riesgo 1 Raro 3 Moderado M Moderado Reducir el Riesgo Plataforma de Antivirus Actualizada con Contrato de Soporte Vigente Coordinador Grupo TIC Ataques exitosos por virus informáticos <= 0 31/03/2014 No se materializó el riesgo 30/06/2014 No se materializó el riesgo 20 3 Posible 2 Menor M Moderado Preventivo: Afecta Probabilidad 20 Está documentado y se aplica 20 Está documentado y se aplica 10 Parcialmente 20 Si 20 Si 20 90 1 Raro Ponderación de Controles 20 20 20 20 10 Disminuye en 2 casillas la calificación Inicial en: Probabilidad Calificación Controles 4 20 10 20 10 20 20 Calificación Controles 5 Probabilidad Procedimiento Gestión de la Seguridad Informática 3 20 20 90 Disminuye en 2 casillas la calificación Inicial en: Ponderación de Controles 1 10 90 Probabilidad 20 Está documentado y se aplica 15 Calificación Controles 3 Disminuye en 2 casillas la calificación Inicial en: Ponderación de Controles 20 Está documentado y se aplica 20 Disminuye en 2 casillas la calificación Inicial en: Ponderación de Controles 20 Está documentado y se aplica 2 Calificación Controles 2 Reducir el Riesgo Probabilidad Afectación de la infraestructura TIC existente en el Centro de Cómputo del Ministerio 3 No se materializó el riesgo 2 Menor B Menor Reducir el Riesgo Mantenimientos preventivos y de control previstos en el Contrato de Mantenimiento Vigente Técnico Administrativo 3124Grado 18 y Empresa de Mantenimiento y Soporte Perfiles de usuarios sin autorización para instalación de software Técnico Administrativo 3124Grado 18 y Empresa de Mantenimiento y Soporte 31/03/2014 No se materializó el riesgo 30/06/2014 No se materializó el riesgo 31/03/2014 No se materializó el riesgo 30/06/2014 No se materializó el riesgo Instalaciones de software no permitido <= 0 20 20 10 1 Raro1 Insignificante B Baja 1 Raro2 Menor 1 Raro3 Moderado 1 Raro4 Mayor B Baja M Moderado A Alta 1 Raro5 Catastrófico 2 Improbable1 Insignificante 2 Improbable2 Menor 2 Improbable3 Moderado A Alta B Baja B Baja M Moderado 2 Improbable4 Mayor 2 Improbable5 Catastrófico 3 Posible1 Insignificante A Alta E Extrema B Baja 3 Posible2 Menor M Moderado 3 Posible3 Moderado 3 Posible4 Mayor A Alta E Extrema 3 Posible5 Catastrófico E Extrema 4 Probable1 Insignificante M Moderado 4 Probable2 Menor 4 Probable3 Moderado 4 Probable4 Mayor 4 Probable5 Catastrófico 5 Casi Seguro1 Insignificante 5 Casi Seguro2 Menor 5 Casi Seguro3 Moderado A Alta A Alta E Extrema E Extrema A Alta A Alta E Extrema 5 Casi Seguro4 Mayor E Extrema 5 Casi Seguro5 Catastrófico E Extrema IMPACTO PROBABILIDAD INSIGNIFICANTE (1) MENOR (2) MODERADO (3) MAYOR (4) CATASTRÓFICO (5) RARO (1) B B M A A IMPROBABLE (2) B B M A E POSIBLE (3) B M A E E PROBABLE (4) M A A E E CASI SEGURO (5) A A E E E B: ZONA DE RIESGO BAJA: M: ZONA DE RIESGO MODERADO: A: ZONA DE RIESGO ALTA: E: ZONA DE RIESGO EXTREMA: Asumir el Riesgo Asumir el Riesgo, Reducir el Riesgo Reducir el riesgo, Evitar, Compartir o Transferir Reducir el riesgo, Evitar, Compartir o Transferir