PROCESO GESTION TECNOLOGICA Y

(1) (2) (3)

CÓDIGO RIESGO DESCRIPCIÓN

1. Adquirir un software que no cumpla los requerimientos y las

Inadecuada adquisicion de software y necesidades de la universidad - 2. Adquirir activos de
1 hardware comunicación (sw, router, etc) que no cumpla los
requerimientos y las necesidades de la universidad

Posibilidad de que se acceda, manipule y/o divulgue sin

2 Uso indebido de la información autorización la información privilegiada o de reserva que se
origine, suministre o custodie en los sistemas de información

Posibilidad que terceros entre de forma indebida o fraudulenta

Vulnerabilidad del sistema de
3 a los sistema de información de la Universidad, para alterar,
información
hurtar o dañar la información.

Daños, deterioro o pérdida de los Posibilidad de que se presenten daños, fallas o perdidas de
4
recursos tecnológicos los recursos tecnologicos, en su uso, y/o almacenamiento .

Ausencia y/o deficiencia en los softwares Hace referencia a la falta y/o definiciencia en los sofware y/o
5 y sistemas de información sistemas de información.

Inadecuada utilizacion del portal Hace referencia a la subutilización del portal por parte de la
6 institucional comunidad universitaria

Posibilidad de que se presenten fallas en las

Fallas en las telecomunicaciones y/o telecomunicaciones (internet, redes, intranet, servicio
7
fluido electrico telefonico) o en el fluido eléctrico de la entidad para el
desarrollo de sus operaciones

Desconocimiento de los avances del

8 Falta de presentación del informe de gestión
Plan Estrátegico

9 Fracaso de eventos programados Suspensión de actividades o eventos

 Humedad proucida por sistemas de
Daños en la infraestructura física producida por condensación,
10 refrigeración inadecuados y/o filtraciones
hongos, bacterias, acaros.
de agua

Accesos no autorizados a las Ingreso de personas no autorizadas para la manipulación de

11 instalaciones del area tecnologica equipos tecnologicos
 MATRIZ DE RIESGOS

CESO GESTION TECNOLOGICA Y COMUNICACIONES metadatos

(6) (7)
CAUSAS CONSECUENCIAS

Perdidas economicas
1.Suministro y/o captura inadecuada de la información de
Paralisis del sistema de información
requerimiento y/o necesidades del software
Inestabilidad de los procesos - fallas en la red de
2. Desconocimiento
datos

1. Bajo nivel de seguridad para el acceso a la información.

2. Desconocimiento de las políticas de manejo de
información. Mala imagen,
3. Actos mal intencionados de terceros. Toma de decisiones no adecuadas.
4. Acceso no autorizado a información.
5. Fraude interno.

1. Bajo nivel de seguridad para el acceso a la información.

2. cortafuegos inadecuados. 3. Bugs en los sistemas de Perdidas economicas.
información. 4. Desconocimiento en estándares para Inestabilidad de los procesos. Fuga de
laimplementación de seguridad en los sistemas de información
información.

1.Falta y/o inadecuado mantenimiento de los recursos

tecnologicos
2.Baja calidad de los recursos tecnologicos
3. Inadecuado uso de los recursos tecnologicos Equipos dañados, desprovechamientos de los
4. Falta de capacitación sobre el adecuado uso de los recursos tecnologicos
recursos tecnologicos. 5. Falta de protección de los
recursos tecnologicos.6. terrorismo 7. factores
ambientales
1. Demora en el tramite de compra de software y/o
sistemas de información
Cambios de precios de compras, perdida de
2. Falta y/o inadecuado mantenimiento de los recursos
garantias
tecnologicos
3. 2.Baja calidad de los recursos tecnologicos

1. Falta de cultura tecnologica

2. Falta de información sobre el uso y la utilizada Desinformación de la comunidad universitaria
3. Falta de capacitación

1. Falta de disponibilidad del servicio por parte del

proveedor 2. Falta de mantenimiento de los equipos y
Perdida de información, demora en los
redes 3. Deterioro de las redes 4. Manjeo adecuado y
procesos,perdidad de la imagen de la entidad
operación de los usuarios y tecnicos 6. Falla en las
ante el publico, información inoportuna,
comunicaciones. 8. Fluctuaciones en el fluido electrico. 9.
Incumplimiento del proceso, alteración de la
Falta de protección ante pico de voltajes y/o interrupción
operación.
del fluido electrico no planificado (Redundancia de
Energia).
Elaboración inadecuada o nula del informe. Falta de
Sanciones legales, desinformación
solcialización del PETI en el area de tecnologia.

Presupuesto inadecuado, frustración de los

Poca o nula divulgació.
organizadores, incumplimiento con invitados
Gas Instantáneo en la Línea de Líquido, Restricciones en
la Línea de Líquido, Diseño Inadecuado de Tubería,
Subenfriamiento Inadecuado, Baja Presión de
Condensación, Carga Excesiva en el Evaporador,
Problemas y Soluciones, Baja Presión de Condensación,
Control del humidificador, Contaminación en el Sistema.
1. Inadecuado control de acceso a las instalaciones
2.Puertas no aptas para la seguridad
Hospitalizaciones, incapacidades, muerte,
perdida de información, interrupción de procesos,
daños físicos de planta, daños en infraestructura
tecnologica.
Perdida, daños, manipulación, robos en la
infraestructura tecnologica
 MATRIZ DE RIESGOS

PROCESO GESTION TECNOLOGICA Y COMUNICACIONES metadatos

ANALISIS DE RIESGOS

(8) (9) (10)

VALOR PROBABILIDAD VALOR

5 BAJA 2

10 MEDIA 2

20 ALTA 2

10 MEDIA 2

20 ALTA 2

10 MEDIA 1

20 ALTA 2

5 BAJA 1

5 BAJA 2
20 ALTA 3

20 ALTA 3
Y COMUNICACIONES metadatos

(12)
(11) (13)
SEVERIDAD
IMPACTO CONTROL
(Riego Inherente)

MODERADO 10 Evalución de experto

Mejoramiento de la jerarquia de
usuarios. Divulgación de las politicas
de manejo de la información.
MODERADO 20 Monitoreo a los sistemas de
información. Procedimientos para la
asignación de roles y accesos a los
sistemas de información.

Fortalecimiento de los cortafuegos.

Procedimientos de control para la
detección de vulnerabilidades en los
MODERADO 40 sistemas de información. Aplicación de
buenas practicas para el desarrollo e
implementación de sistemas de
información seguros.

Instalación y verificación del antivirus.

Verificación de los tomas electricos,
MODERADO 20 con el fin de establecer que el voltaje
sea el apropiado para la instalaciópn
de los equipos.

Determinar las caracteristicas

MODERADO 40 adecuadas

Capacitación y divulgación del portal

LEVE 10 web

Verificación de las condiciones

MODERADO 40 operativas de la ups

Mantener cronograma de acopio de

LEVE 5 información
Diseñar programa de eventos, Diseño
MODERADO 10 adecuado de la logistica, manejar plan
de medios
 Evalución de experto, Mantenimientos
CATASTROFICO 60 preventivos y programados

Refoezar el acceso fisico a las

CATASTROFICO 60 instalaciones de tecnologia,
observación permanente del area
 MATRIZ DE RIESGOS

PROCESO GESTION TECNOLOGICA Y COMUNICACIONES metadatos

EVALUACIÓN DE RIESGOS
(16) ESTA
(14) (15) (17) DONDE ESTA
DOCUMENTADO
DESCRIPCIÓN DEL CONTROL TIPO DE CONTROL DOCUMENTADO
?

Diagnostico sobre ventajas y desventajas

PREVENTIVO SI Procedemientos
del software establecidos Página web
institucional

Establecimiento de roles en el sistema. Manual de seguridad y politicas

Optimización de los controles en los PREVENTIVO SI de informatica sitio web
sistemas de información institucional

Manual de seguridad y politicas

Verificar que las politicas de protección
esten funcionando adecuadamente.
PREVENTIVO SI de informatica sitio web
institucional

Monitoreo adecuado del antivirus.

Verificaión de los puntos electricos, con el
Manual de seguridad y politicas
objetivo de detectar alguna falla en el
fluido que puedad afectar el
PREVENTIVO SI de informatica sitio web
institucional
funcionamiento de los recursos
tecnologicos.

Brindar la asesoria necesaria en la

adquisición
PREVENTIVO NO

A traves de cursos y/o manuales de

usuario
PREVENTIVO SI Sitio web institucional

Mantenimiento de la ups PREVENTIVO NO

Involucrar a todas las instancias que

suministran información
PREVENTIVO SI Sitio web institucional

Divulgación de responsabilidades y tareas PREVENTIVO SI Plan de medios

Diagnostico del sistema de refrigeración y
mantenimiento
Correctivo SI Sitio web institucional

Instalacion de nuevas cerraduras,

cambios de puertas, monitorización de
ingresos a las instalaciones de
PREVENTIVO NO
informatica
NES metadatos

(19) (20)
(18) (21)
EFICACIA DEL FRECUENCIA DEL
APLICACIÓN VALOR
CONTROL CONTROL

SI ALTA Cuando se presenta 5

SI ALTA mensual 5

SI ALTA Diariamente 10

SI ALTA Semanal 5

SI ALTA Cuando se presenta 10

SI ALTA Cuando se presenta 5

SI ALTA Semanal 10

SI ALTA Cuando se presenta 5

SI Media Cuando se presenta 5

SI Baja Programado 10

SI Alta Semanal 10
 MATRIZ DE RIESGOS

PROCESO GESTION TECNOLOGICA Y COMUNICACIONES

CALIFICACIÒN DE RIESGO RESIDUAL

(22) (23) (24) (25)

PROBABILIDAD VALOR IMPACTO SEVERIDAD

BAJA 2 MODERADO 10

BAJA 2 MODERADO 10

MEDIA 2 MODERADO 20

BAJA 2 MODERADO 10

MEDIA 2 MODERADO 20

BAJA 1 LEVE 5

MEDIA 2 MODERADO 20

BAJA 1 LEVE 5

BAJA 2 MODERADO 10
MEDIA 3 CATASTROFICO 30

MEDIA 2 MODERADO 20
 MATRIZ DE RIESGOS

PROCESO GESTION TECNOLOGICA Y COMUNICACIONES metadatos

TRATAMIENTO
(27)
(26)
TIEMPO DE
ACCIÓN DE TRATAMIENTO
IMPLEMENTACIÓN

Considerar la participación de la(s) persona experta Según la ocurrencia

Reasignación de Roles en el sistema, implemenentación de mas

niveles de seguridad, socialización de las politicas de manejo de Según la ocurrencia
información

Robustecer la seguridad mejorando los cortafuegos. Aplicar

buenas practicas en el desarrollo de sistemas de información Diariamente
seguros.

Controlar que los equipos institucionales tengan el antivirus

semanal
institucional, el buen uso y su actualización

Participación activa del experto en la determinación

Según la ocurrencia
de adquiir tecnologia

Involucrar en el plan de capacitación institucional el

Según la ocurrencia
uso adecuado del portal

Lograr la redundancia electrica en la institución Según la ocurrencia

Divulgación del plan Según la ocurrencia

Designar tareas y controlar las responsabilidades de

Según la ocurrencia
acuerdo a cronograma del evento
 Reporte al contratista encargado del area de salud
ocupacional y la ARP para realizar las diferentes
actividades que se requieran. Solicitud de
actualización al procedimiento DE MANTENIMIENTO
Según la ocurrencia
CORRECTIVO Y SERVICIOS (Servicios Generales) a
nivel preventivo. Programación de mantenimiento por
parte de servicios generales. Solicitud de estudio
microbiologico de ambiente a Ciencias Básicas.

Robustecer el control de acceso fisico en el area Diariamente

 VERSION: 1
CODIGO: D0C-GT-004
CACIONES metadatos PAGINA: 1 DE 5

(28) (29)
COSTO RESPONSABLE

Bienes y suministros-
Bajo
Oficina de Informatica

Procesos involucrados- Oficina de

Medio
informatica

Medio Oficina de informatica

Procesos involucrados- Oficina de

Medio
informatica

Bienes y suministros-
Medio
Oficina de Informatica

Talento Humano-Bienestar
Bajo Universitario-Oficina de
informatica-comunicaciones

Alto Servicios Generales

Bajo Procesos involucrados

Medio Comunicaciones
 Talento Humano-Servicios
medio Generales-Oficina de
informatica-comunicaciones

Bienes y suministros-
Oficina de Informatica -
Medio
Vigilancia Externa-
Servicios generales