Informe NTI - A - 3

Anexo - NTP3
Evaluacin de Riesgos en
Tecnologas de Informacin
88 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones
Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 89
Introduccin
Actualmente, la gestin de Tecnologas de Informacin y Comunicaciones (TIC) en la
CGR es una de las prioridades de la agenda del Despacho de la Contralora, lo cual
se evidencia en la composicin de los presupuestos de tecnologa, el desarrollo de
proyectos, la proyeccin de la formacin y perfil del personal de la CGR en los temas
tecnolgicos, as como en la elaboracin de un plan estratgico, totalmente alineado
con los objetivos de la institucin.
En vista de la evolucin de las mejores prcticas, es preciso realizar evaluaciones
de riesgos constantemente, para mejorar y adecuar; si es necesario, el gobierno
corporativo de las TIC, as como el marco de gestin, a los adelantos en la materia de
TI.
Actualmente la CGR posee 600 computadoras de uso personal y 78 impresoras
distribuidas dentro de la organizacin y en los grupos externos de fiscalizacin.
Para el almacenamiento de bases de datos se tienen dos reas de almacenamiento
en red; conectadas con fibra a servidores, con capacidades en disco de 500 GB y de
700 GB, con una ocupacin total cercana al 70% de su espacio total.
Adems, dispone de servidores para la ejecucin de programas de seguridad,
monitoreo y vigilancia. Al respecto, la disponibilidad de equipo debe ajustarse a las
necesidades y prioridades que se deriven de la insercin tecnolgica deseada.
Se tiene una red de rea local, con sistemas tolerantes a fallas y con capacidad
para enlazar a los funcionarios con sistemas de informacin automatizados, correo
electrnico, intranet e Internet. Ahora bien, en vista de la importancia que reviste la
conectividad y las nuevas tendencias mviles de la comunicacin tecnolgica, resulta
necesario evolucionar hacia el aprovechamiento de esas potencialidades tecnolgicas

en la gestin de la fiscalizacin.
Adems, se utiliza software especializado para administrar el ancho de banda y
filtrar el acceso a Internet, software de antivirus, administrador de las direcciones del
protocolo de Internet (IP), la administracin del firewall, los certificados privados, un
administrador de proyectos, software para registro de atencin de averas, el directorio
activo de todos los funcionarios de la CGR, la administracin de la central telefnica, el
software de capacitacin en lnea, y la vigilancia de la seguridad de las instalaciones.
Lo anterior, representa una base tecnolgica que requiere ser complementada con
software especializado para la fiscalizacin, y software colaborativo; entre otros, que
permitan una fiscalizacin ampliamente soportada en tecnologa de punta.
Finalmente, se cuenta con varios sistemas de informacin que soportan tanto las
tareas sustantivas como las de apoyo al nivel institucional; considerndose algunos
como muy crticos.
Modelo de anlisis de riesgos

Contexto estratgico
La CGR es un rgano de control de la Asamblea Legislativa y tiene bajo su fiscalizacin
472 instituciones pblicas, ms Juntas de Educacin, Asociaciones, y empresas
privadas que administren fondos pblicos, para que con base en los estudios realizados
se le permita a la ciudadana conocer, acerca de cmo sus gobernantes y funcionarios
pblicos estn utilizando los recursos que se les asignaron. Presupuestariamente
depende de un presupuesto aprobado por la Asamblea Legislativa.
Para transparentar la gestin pblica se basa en su ley orgnica, la ley de control
interno, en el sistema para evaluacin de riesgos, en resoluciones de cumplimiento
obligatorio, y en normas tcnicas sobre la gestin en tecnologas de informacin

comunicacin.
La clientela de la CGR la conforma prcticamente todo el pas: ciudadana, proveedores,
instituciones, empresas, y organismos internacionales; los cuales confan en la gestin
que lleva a cabo la Contralora para garantizarle a la ciudadana el buen manejo de la
Hacienda Pblica.
Adems de la transparencia hacia la ciudadana sobre la gestin de los funcionarios
pblicos, tambin es muy importante mantener el control poltico con el objetivo de
evaluar cualquier situacin que pueda afectar la estrategia.
Otro aspecto que es de importancia para la CGR es la imagen que se pueda reflejar
a la ciudadana, con el objetivo de mantener y mejorar la confianza que se tiene en la
institucin como garante de la Hacienda Pblica.
Para dar cumplimiento al propsito de fortalecer el buen gobierno, todos los funcionarios
deben tener presentes aspectos importantes de nuestra gestin, como los siguientes:
Clasificacin de las instituciones pblicas con base en factores de riesgo.
Esto significa que el monto del presupuesto no va a ser la nica variable para
determinar hacia dnde dirigir la fiscalizacin, sino que tambin interesa
la calidad de la administracin y sus rganos de decisin, de la auditora
interna, la contratacin, la planificacin, las variables financieras y otras.
Es necesario que definamos un conjunto de variables y no busquemos el
sistema perfecto para identificar las entidades de ms riesgo y a partir de
ah definir a dnde vamos a ir y qu vamos a hacer. Esto tambin significa
que no solo la institucin est clara hacia donde vamos, sino que los que
estn en el entorno tambin lo tengan claro, ya que lo ms operativo lo
debern asumir las auditoras internas y el mismo sistema de control de

cada institucin.
Aplicacin de los temas estratgicos para la fiscalizacin, segn las
particularidades de las reas de fiscalizacin y los resultados de la
clasificacin anterior, es decir, cada rea deber dedicarse prioritariamente
a algunos de los temas aqu planteados, no necesariamente a todos.
Seguimiento de disposiciones como elemento esencial para ir midiendo el
impacto de nuestra gestin.
Elaboracin de indicadores sencillos para medir los resultados propuestos
en el plan de trabajo.
Ejecucin efectiva de la agenda de mejoras internas, ya que los proyectos
que se definan darn el salto cualitativo que la institucin requiere para
tener un nivel mayor de incidencia en la gestin de las administraciones
pblicas.
Recurso humano y tecnologa. En relacin con las personas, stas deben
ser capaces, si existe una brecha frente a las necesidades de los procesos
de trabajo, esta debe cerrarse por medio de capacitacin u otras acciones
que les permitan desarrollar mejor sus competencias. El gerente tiene
una responsabilidad importante en materia de recurso humano, tiene una
responsabilidad en forma directa e inmediata en su manejo, buscando el
equilibrio para lograr un desarrollo integral de la gente y hacer converger
los objetivos de las personas con los de la institucin. Por su parte, la
tecnologa es fundamental para apoyar el trabajo no solo en la simplificacin
sino tambin siendo utilizada para almacenar y proporcionar informacin
que apoye la toma de decisiones.
Medicin del desempeo en funcin de resultados. Hay que darle un cambio
a la evaluacin del desempeo. Debe verse como una retroalimentacin.
Esta debe asociarse al logro de los objetivos de la unidad, ms los
compromisos personales. Es una evaluacin asociada con resultados de
proyectos tangibles.
Estos lineamientos contribuirn a la organizacin del trabajo y a la formulacin de los

planes de trabajo operativos de los prximos aos de las diferentes Divisiones, reas
y Unidades de la Contralora General, base fundamental sobre la cual, rendiremos
cuentas a la ciudadana.
De acuerdo con sanas prcticas de gestin, todo plan institucional en la Contralora
General, debe estar directamente relacionado con los objetivos estratgicos, estrategias,
factores clave de xito y las orientaciones del Plan Estratgico Institucional 20082012, de ah que el plan estratgico en tecnologas de informacin y comunicacin
(PETIC) no es una excepcin, en este sentido, la gestin institucional de tecnologas de
informacin y comunicacin para el perodo 2008-2012, se debe realizar de acuerdo
con las siguientes orientaciones estratgicas:
a. Control como medio y no como fin
b. No afectacin del inters pblico
c. No coadministrar
d. Mayor proactividad, presencia, impacto y oportunidad
e. Enfoque preventivo
f. nfasis en los resultados de la gestin pblica
g. Fiscalizacin y control sobre una base costo-beneficio
h. Aplicacin de procesos con base en el Manual General de la Fiscalizacin
Integral
i. Cultura de medicin continua de la gestin
j. Mejora continua que fortalezca la autocrtica constructiva
Con base a las orientaciones estratgicas se pueden observar posibles riesgos
financieros, sociales, operativos, tcnicos, legales, y humanos, sobre los cuales vamos
a estar trabajando en el presente anlisis y valoracin de riesgos, siempre que estn
relacionados con tecnologas de informacin.
Factores claves de xito

El cumplimiento de la estrategia institucional 2008-2012 est en funcin de lograr la
articulacin de esfuerzos institucionales alrededor de los siguientes elementos:
a. Desarrollo de las competencias de los funcionarios ajustadas a los
requerimientos de la CGR para enfrentar el entorno
b. Aprovechamiento de las tecnologas de informacin en las fiscalizacin y la
toma de decisiones
c. Integracin institucional que facilite la toma de decisiones y la consistencia
de los productos de fiscalizacin.
Visin de la CGR
Garantizamos a la sociedad costarricense, la vigilancia efectiva de la Hacienda Pblica.
Misin de la CGR
Somos el rgano constitucional, auxiliar de la Asamblea Legislativa que fiscaliza el uso
de los fondos pblicos para mejorar la gestin de la Hacienda Pblica y contribuir al
control poltico y ciudadano.
Valores
Los siguientes elementos constituyen la gua de actuacin que debe inspirar la gestin
y rectitud de los actos de los funcionarios de la Contralora General de la Repblica, a
efecto de implementar la visin y misin institucionales:
Excelencia: Bsqueda de la mxima calidad y desempeo en el trabajo
diario.
Respeto: Valorar los derechos y formar de pensar de los dems.
Justicia: Dar a los dems lo que les corresponde de acuerdo con sus
derechos y deberes.
Integridad: Es realizar todas las acciones con rectitud.
Compromiso: Es sentirse identificado con la Contralora General y as dar el
mximo esfuerzo.
La CGR tiene cuatro macro procesos:
a. Fiscalizacin Integral
b. Gobierno Corporativo
c. Gestin del Conocimiento
d. Gestin del Recurso Humano
La gestin de tecnologas de informacin apoya estos macro procesos con cuatro
procesos:
a. Infraestructura
b. Seguridad y Control
c. Suministro de Servicios
d. Insercin Tecnolgica
Sobre estos cuatro procesos se realizar una valoracin de los riesgos a los cuales
estn expuestos, y el nivel de exposicin de los mismos.
La Unidad de Tecnologa de Informacin (UTI)

El Reglamento Orgnico de la Contralora General de la Repblica, emitido mediante
resolucin No. R-CO-34-2009 del 22 de mayo de 2009, en su Captulo II, Seccin
CUARTA, artculo 26, establece con respecto a la Unidad Tecnologas de Informacin:
Es la unidad encargada de implementar, desarrollar y evolucionar soluciones

tecnolgicas y de comunicacin, para apoyar y facilitar la ejecucin de los procesos
internos Para ello lidera el proceso de gestin de tecnologas de informacin y
comunicacin y participa del proceso de asesora interna en materia de su competencia.
Visin de la UTI
Una Contralora General posicionada y ampliamente digitalizada, con acceso inmediato
a la informacin, con eficientes herramientas tecnolgicas de apoyo para realizar
fiscalizacin de la Hacienda Pblica; todo con el objetivo de transparentar la gestin
pblica, fomentar la participacin ciudadana, combatir la corrupcin y apoyar el buen
Gobierno.
Misin de la UTI
Somos una Unidad especializada para brindar servicios oportunos en tecnologas de
informacin y comunicacin para fortalecer la fiscalizacin superior, la transparencia,
la participacin ciudadana, y la rendicin de cuentas por medio de la gestin realizada
en la Contralora General.
Objetivos de la UTI
Los siguientes son los objetivos estratgicos de la UTI:
a. Contar con una infraestructura de Tecnologas de Informacin y
Comunicaciones (TICs) estable y adecuada a las necesidades de la
Institucin y del pas.
b. Alinear la plataforma tecnolgica hacia el logro de objetivos institucionales,
integrada a procesos y actividades, y puesta al servicio de los usuarios
internos y externos.
c. Desarrollar la infoestructura de soluciones y servicios definidos y priorizados

en el Plan Institucional, en aras de impulsar la eficiencia, la eficacia, la
transparencia, la participacin ciudadana y el combatir de la corrupcin.
d. Fortalecer el Gobierno Electrnico mediante transparentar la gestin pblica,
la simplificacin de procesos, la generacin de trmites electrnicos y la
participacin ciudadana.
e. Coordinar con el Centro de Capacitacin, la capacitacin de los funcionarios
de la Contralora General de la Repblica y de otras instituciones para mejor
uso y aprovechamiento de las TICs.
f. Mantener una organizacin actualizada con las tendencias modernas
de tecnologas de informacin y comunicaciones (TICs), y con los
requerimientos de informacin y tecnologa de la institucin.
Contexto de la administracin de riesgos

La administracin de riesgos se lleva a cabo considerando los procesos de USTI que
estn relacionados con las tecnologas de informacin y la Plan Estratgico 2008
2012, a efectos de establecer y fortalecimiento los controles necesarios en aquellos
que as lo requieran. En la identificacin de riesgos se consideran los efectos que
una mala gestin pueda tener en la imagen de la CGR, las prdidas producto de
inversiones que no generen rditos, y las orientaciones estratgicas.
En los anexos 1 y 2 se presentan los riesgos relacionados con los objetivos del Plan
Estratgico Institucional 2008-2012 y con los objetivos del Plan Tctico Institucional
2009-2011; riesgos que constituyen el fundamento para la valoracin de riesgos a nivel
operativo, y que estarn siendo aplicados y revisados en el contexto de la ejecucin y
seguimiento del PAO 2009 y de la formulacin detallada del PAO 2010.
La evaluacin de riesgos se llevar a cabo sobre los procesos de la USTI: Infraestructura,

Seguridad y Control, Suministro de Servicios, e Insercin tecnolgica, basados en
COBIT.
Portafolio de riesgos
Marco de administracin de riesgos
Es importante definir claramente el marco de trabajo que ser utilizado para la gestin
de los riesgos en la Unidad de Tecnologas de Informacin de la CGR; los objetivos son
los siguientes:
a. Contar con un marco de referencia para la gestin de los riesgos; este marco
de referencia debe ser conocido y comprendido por todos los miembros de
la Unidad.
b. Preparar a la organizacin para eventos de riesgo que pueda atentar contra
los servicios prestados por la UTI.
c. Orientar la gestin de la Unidad para tomar medidas que ayuden, dentro
de las posibilidades de la Institucin, a mantener la continuidad de las
operaciones.
d. Fortalecer la imagen institucional por medio de una operacin tecnolgica
ms estable y confiable.
La estrategia para la administracin de los riesgos est basada en los siguientes
aspectos:
Utilizar los sub procesos de COBIT por gua y referencia para la identificacin
de riesgos de gestin.
Complementar la identificacin de riesgos basndose en los procesos de la
Unidad, esto para identificar riesgos operativos.
Utilizar escalas de calificacin de los riesgos (impacto, probabilidad,
exposicin) de acuerdo con modelos internaciones.
El alcance de este ejercicio de anlisis de riesgos comprende lo siguiente:

Actividades de gestin de la UTI las cuales estn a cargo de la jefatura y de
los coordinadores.
Procesos de la UTI que incluyen las operaciones continuas y el desarrollo
de proyectos
Proyectos tecnolgicos de trascendencia institucional lo cuales influyen en
la imagen que se proyecta a la ciudadana.
Riesgos relacionados con el recurso ms importante de la organizacin: el
recurso humano.
Criterios de evaluacin de riesgos

Para la evaluacin de riesgos se utilizarn, como valores primarios, la calificacin de
impacto y probabilidad de cada riesgo. Para ambos casos se utilizarn tablas de 5
valores con las equivalencias que se sealan a continuacin. A partir de esos valores
se calcular el nivel de exposicin y la severidad de los riesgos representndolos en el
mapa trmico.
Para clasificar los riesgos se utilizarn 5 categoras asociadas con el origen del riesgo.
Se utilizarn criterios de referencia especficos para cada categora con el propsito de
de facilitar la evaluacin de impacto para cada riesgo.
Calificacin de la probabilidad
Para la calificar la probabilidad de los riesgos se utilizar una tabla de 5 valores:
P
5
4
3
2
1
Probabilidad
Significado
Casi seguro
Muy probable
Probable
Poco probable
Raro
Calificacin del impacto

Para calificar el impacto se utilizar una tabla general de referencia con 5 valores;
adicionalmente se utilizarn tablas especficas donde se describirn los criterios para
asignar la calificacin de impacto segn la categora de cada riesgo:
I
5
4
3
2
1
Impacto
Significado
Mayor
Importante
Significativo
Regular
Menor
Severidad del riesgo

Para medir la severidad del riesgo se utilizarn 4 valores que se determina segn la
calificacin del impacto y la probabilidad, es decir el nivel de exposicin:
Severidad
Significado
4
3
2
1
Extrema
Alta
Moderada
Baja
Mapa trmico
En la siguiente tabla se presenta el modelo para el mapa trmico donde segn la
calificacin de impacto y probabilidad el riesgo es calificado por corlo en su nivel de
severidad. El corlo rojo representa severidad extrema, el color naranja severidad alta,
Impacto
el color amarillo claro severidad moderada y el color verde claro severidad baja:
Probabilidad
Categoras de los riesgos

Las categoras utilizadas son las siguientes:
Categora
Descripcin
Riesgos relacionados con la ausencia o aplicacin
Gestin
incorrecta de mtodos de gestin de las tecnologas de

informacin y comunicaciones.
Incumplimiento de directrices, procedimientos y

Operacin
metodologas y estndares en los procesos operativos

de la UTI.
Riesgos relacionados con las fallas potenciales de la
Infraestructura
infraestructura tecnolgica utilizada en la CGR.

Eventos que atentan contra la confidencialidad,
Seguridad
integridad y disponibilidad de la informacin.

Relacionados con el desempeo y regularidad de los
Recurso humano
recursos humanos.
Insercin Tecnolgica
Es posible que un riesgo pertenezca o est relacionado con dos o ms categoras;
por ejemplo, el incumplimiento de un procedimiento operativo puede dar lugar a un
evento de seguridad. En estos casos el riesgo ser asociado a la categora que se
considere ms relevante o donde el impacto sea mayor.
Impacto de los riesgos segn su categora

Gestin
I
Significado
5
Mayor
4
Importante
Significativo
Regular
Menor
Criterios de calificacin
Evento que impedir el logro de los objetivos institucionales.
El logro de objetivos institucionales se ve afectado de manera
importante.
Evento que representar un retraso significativo en el logro de
objetivos institucionales.
El evento afecta levemente el logro de objetivos de la UTI y
de la CGR.
Evento que afecta la gestin de la UTI sin llegar a impactar en
el logro de los objetivos.
Operacin
I
Significado
Mayor
4
3
Importante
Significativo
Evento que paraliza la prestacin de servicios por parte de
la unidad afectando a la institucin de manera considerable.
Evento que provoca la interrupcin parcial de servicios.
Evento que provoca interrupciones intermitentes.
Evento que provoca la interrupcin momentnea de los
servicios de la unidad, esta interrupcin es percibida por la
Regular
institucin.
Evento que provoca una disminucin en los tiempos de
Menor
respuesta que experimentan los usuarios.

Evento que afecta slo las operaciones de la UTI.
Infraestructura
I
Significado
Mayor
Importante
Significativo
Regular
Menor
Falla severa en un componente vital de la infraestructura
tecnolgica que impide la operacin normal de la institucin.
Falla en un componente de la infraestructura tecnolgica que
afecta parcialmente la prestacin de servicios.
Falla en un componente de la infraestructura tecnolgica que
afecta de manera intermitente la prestacin de servicios.
Falla en un equipo que afecta la prestacin de servicios slo
en la UTI.
Falla en un componente que puede ser sustituido de
inmediato por mantener equipo similar en inventario. Se
afecta la operacin de la institucin por minutos.
Seguridad
I
Significado
Mayor
La seguridad es vulnerada y se desconocen sus efectos.
Un ente no autorizado tiene acceso a informacin confidencial.
Informacin total en la disponibilidad de informacin.
Los datos institucionales han sido alterados.
Un ente no autorizado tiene acceso a informacin sensitiva.

4
Importante
Interrupcin de ms de 1 da hbil en la disponibilidad de la

informacin.
Se reciben ataques masivos sobre la plataforma.
Un funcionario de la institucin tiene acceso a informacin a
la cual no est autorizado.
Significativo
Interrupcin de 1 da hbil en la disponibilidad de la

informacin.
Prdida de datos que se pueden restaurar por medio de los
procesos de recuperacin.
Entes no autorizados tienen acceso a informacin parcial en
Regular
modo consulta.
Interrupcin de 4 horas en la disponibilidad de la informacin.
Hay intentos de acceso a la informacin.
Interrupcin momentnea en la disponibilidad de la
Menor
informacin.
Un ente no autorizado tiene la oportunidad de observar datos
que se estn utilizando en la operacin de la institucin.
Recurso humano (Revisar objetivos)

I
Significado
Se prescinde de un funcionario importante para el logro de
los objetivos.
Mayor
El evento imposibilita a todo el personal de la UTI para realizar

sus funciones de manera indefinida.
Evento que provoca que un funcionario exceda en ms de un
40% el tiempo estimado para finalizar una actividad.
Los objetivos a lograr exceden las cargas de trabajo de los

recursos asignados a la UTI.
4
Importante
Evento que imposibilita que el personal de la UTI pueda

laborar durante un da hbil.
Evento que provoca que un funcionario exceda en un 40% el
tiempo estimado para finalizar una actividad.
No se tiene participacin del patrocinador para el logro de los
objetivos.
Significativo
Evento que imposibilita a un funcionario de la UTI para

laborar durante cinco das hbiles en el lapso de un mes.
Situacin que provoca que un funcionario exceda en un 20%
el tiempo estimado para finalizar una actividad.
Evento que provoca que un funcionario exceda en un 10% el
tiempo estimado para finalizar una actividad.
Regular
Evento que afecta, de manera temporal y no mayor de 4

horas, que los funcionarios de la UTI puedan realizar sus
funciones.
Se asignan objetivos adicionales que afectan levemente la
Menor
carga de trabajo.
Evento que imposibilita a un funcionario de la UTI para
laborar durante un da hbil.
Criterios para la aceptacin de riesgos

Se aceptarn aquellos riesgos cuya severidad, la cual se obtiene del impacto del riesgo
y su probabilidad, est calificada como Baja y Moderada; estos valores se representan
en el mapa trmino con los colores verde claro y amarillo claro respectivamente.
Estructura de los riesgos

Como se indic anteriormente, la UTI apoya los macro procesos institucionales por
medio de cuatro procesos; stos son los siguientes:
Infraestructura
El proceso de infraestructura se refiere al soporte tecnolgico brindado por medio
de la red de comunicaciones interna, conexiones inalmbricas, acceso va Internet a
la CGR, a las unidades para almacenamiento de datos en red, a los servidores, a la
plataforma de usuario final, al software en uso debidamente autorizado y soportado
por la CGR, a la solucin telefnica en uso, y a todos los componentes necesarios para
mantener el ambiente necesario para su operacin.
Seguridad y Control
En este proceso estamos hablando de las cmaras de vdeo, acceso al Centro
de Cmputo y a la UTI en general, software y hardware necesario para fortalecer
la seguridad y el control, monitoreo en general, administracin de componentes o
funcionalidades.
Suministro de Servicios
El suministro de servicios abarca acuerdos de atencin de usuarios, niveles de
disponibilidad de la plataforma, atencin de averas, desarrollo y evolucin de sistemas,
operacin de equipos, continuidad de los servicios, mantenimiento y reparacin de
equipos, conexiones de red, y evacuacin de dudas.
Insercin Tecnolgica
Se pretende con este proceso que todos los funcionarios utilicen la tecnologa con
mucho entusiasmo, que le saquen todo el provecho posible, que producto de su
uso hagan aportes que faciliten el mejoramiento continuo de la plataforma, y que las
inversiones en TI permitan una mejor gestin y fiscalizacin.
A partir de esos procesos y tomando como punto de partida los sub dominios de Cobit
se realizar la identificacin de los riesgos y el posterior anlisis. De este modo se
determinar el nivel de riesgo absoluto y controlado de cada uno de los procesos de la
Unidad. Igualmente, los mapas trmicos se presentarn por cada proceso.
El beneficio de utilizar los procesos de la UTI, como elemento central en la estructura
de riesgos, es que se facilita el anlisis y el diseo de posteriores planes de accin
ya que en cada proceso se trabajar con un sub conjunto de riesgos lo que hace el
ejercicio ms manejable.
Identificacin de riesgos
La identificacin de riesgos corresponde a la confeccin de una lista de los posibles
eventos que pueden afectar las operaciones y los servicios ofrecidos por TI a la
institucin; para facilitar la posterior evaluacin del riesgo en cuanto a su nivel de
impacto se les asocia la categora correspondiente:
Id
1
2
3
4
5
6
7
8
9
10
11
Descripcin del Riesgo

Adquisicin de soluciones automatizadas que no satisfagan
las necesidades de la institucin.
Desarrollar productos que no
cumplen
especificaciones.
Desarrollar productos
en
basados
con
las
requerimientos
incorrectos.
Versiones de software desactualizadas.
Adquirir software sin programas fuentes.
Adquirir software que no tiene representacin en el pas.
Equipo daado no puede ser reparado.
Red inalmbrica insegura.
Dao fsico en los equipos de la plataforma tecnolgica.
Obsolescencia de la infraestructura tecnolgica.
Desarrollo de sistemas y servicios que son difciles de
utilizar para el usuario.
Categora
Gestin
Gestin
Gestin
Gestin
Gestin
Gestin
Operacin
Operacin
Operacin
Gestin
Gestin
12
13
14
15
16
17
18
19
20
21
22
23
Gestin
No existe gua de usuario para el uso del sistema.
Gestin
Retrasos en los procesos de contratacin administrativa.
Se adquiere equipo no compatible con la infraestructura
en uso.
Se adquiere equipo sin que existan talleres para la
Gestin
Gestin
reparacin y mantenimiento de los mismos.

Operacin
Trabajar directamente en equipos de produccin.
Versiones de software para desarrollo y produccin
diferentes.
No contar con la metodologa y procedimientos necesarios
para la administracin de los cambios.
Libertad en el uso de componentes tecnolgicos (software
libre).
Instalacin de parches sin seguir las recomendaciones del
proveedor.
Ausencia de niveles de servicio aceptados que faciliten la
gestin.
Definicin de niveles de servicio que sobrepasan la
capacidad instalada de TI.
No contar con los recursos necesarios para cumplir con los
Operacin
Operacin
Gestin
Operacin
Gestin
Gestin
Gestin
24
niveles de servicio.
Gestin
No existe contrato de mantenimiento
Debilidad en la administracin de servicios de terceros
25
que implica que stos no cumplan satisfactoriamente los Gestin
26
27
28
requerimientos del negocio.

Gestin
Incumplimiento de las polticas definidas por las partes.
Operacin
Tiempo de respuesta degradado.
No hacer planeamiento de la capacidad.
Gestin
Los recursos de la infraestructura tecnolgica no son
29
30
31
32
33
34
suficientes para atender las demandas de servicios.

Recuperacin de software no es factible
Suspensin de servicio de Internet
Fallas en los equipos de comunicaciones
Fallas en los servidores (computadores principales)
Equipo de usuario final inseguro.
Gestin
Operacin
Infraestructura
Infraestructura
Infraestructura
Seguridad
Ausencia de controles cruzados que comprueben la

35
36
37
38
39
40
41
integridad de la informacin y el funcionamiento correcto Seguridad

de las aplicaciones.
Errores en la creacin de usuarios y en la asignacin de
privilegios de acceso.
Sistemas sin mecanismos de trazabilidad de transacciones
(pistas de auditora).
No se conocen los costos asignados a los servicios
prestados por TI.
No se cuenta con un proceso de anlisis para mejorar los
costos que estn asociados a los servicios de TI.
El personal no cuenta con el tiempo suficiente para recibir,
de manera completa, la capacitacin correspondiente.
El personal no cuenta con las actitudes y aptitudes
Seguridad
Seguridad
Gestin
Gestin
Gestin
requeridas para hacer uso de la informacin por medio de RRHH

las soluciones automatizadas.
La capacitacin que se brinda a los usuarios no es efectiva
42
43
44
45
46
47
48
para que puedan utilizar eficientemente los recursos Gestin

informticos disponibles.
No se cuenta con presupuesto para disear e implementar
programas de capacitacin para los usuarios.
No contar con una respuesta oportuna y efectiva para
Gestin
las consultas de los usuarios de TI y a la atencin de los Operacin

incidentes.
Las soluciones que se aplican, ante los incidentes
reportados por los usuarios, no son efectivas.
Los usuarios no estn informados sobre los procedimientos
que se deben seguir para reportar los incidentes.
No se cuenta o no se aplica el procedimiento definido para
la asignacin, atencin y seguimiento de los incidentes.
No se realiza una adecuada gestin de mtricas sobre los
incidentes reportados y atendidos.
Operacin
Gestin
Operacin
Gestin
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
Se realizan cambios operativos que no se reflejan en la

documentacin.
Se realizan cambios en la configuracin de componentes
de la infraestructura y no se reflejan en la documentacin.
No se conoce el impacto de hacer cambios en los
componentes de la configuracin.
No se aplica el procedimiento oficializado para la gestin
Operacin
Operacin
Operacin
Operacin
de problemas.
No se documentan las soluciones aplicadas a los problemas. Operacin
Hay dificultad para definir el mbito de accin de los
proveedores para la solucin de problemas.
Alteracin o prdida de la informacin registrada en base
Gestin
Seguridad
de datos o equipos.
Operacin
Informacin desactualizada o incorrecta.
Seguridad
Acceso no autorizado a la informacin.
Instalaciones fsicas mal diseas que pongan en peligro la
Gestin
integridad del equipo de cmputo y del personal.

Seguridad
Acceso no autorizado al centro de cmputo.
Seguridad
Ausencia de detectores de humo.
Fallas en los equipos que mantienen el medio ambiente
apropiado para la operacin de TI (UPS, Aire acondicionado)
No aplicacin de las polticas para la generacin de
respaldos.
No efectuar un monitoreo constante sobre la operacin de
la plataforma.
Suspensin de servicios sin seguir el procedimiento
establecido.
No contar con un proceso para revisar peridicamente el
Infraestructura
Operacin
Operacin
Operacin
Gestin
desempeo actual y la capacidad de los recursos de TI.

Gestin
No percibir los cambios que se realizan en el entorno.
Utilizacin de indicadores sobre el desempeo de TI que
no son relevantes y que no colaboran en la identificacin
de oportunidades de mejora en los procesos importantes
de TI.
Gestin
No contar con un programa de control interno efectivo para

68
69
70
71
72
73
TI que incluya auto-evaluaciones y revisiones por parte de Gestin

terceros.
Gestin
No contar con la documentacin de los procesos de TI.
Seguridad
Uso de software no licenciado
Exceder la cantidad de usuarios autorizados para utilizar
un producto licenciado.
Facilitar los medios para la instalacin de software a
terceros.
Contar con un plan estratgico no alineado a la estrategia
Operacin
Operacin
Gestin
74
institucional.
Gestin
Se tiene Plan Estratgico desactualizado.
No contar con un modelo de informacin del negocio que
75
sea utilizado en la creacin y actualizacin de los sistemas Gestin
76
de informacin.
Gestin
Arquitectura de informacin desactualizada.
Arquitectura de informacin no responde a la cadena de
77
78
79
80
81
82
83
84
85
86
valor.
Adquisicin de tecnologas que no aportan valor a la
organizacin.
Contar con equipo costoso que no cuenta con contratos de
mantenimiento.
No aplicacin de los canales de comunicacin establecidos
Gestin
Gestin
Gestin
Gestin
para informar sobre la gestin de TI.

No se tienen documentados los canales de comunicacin. Gestin
RRHH
No se tiene dominio sobre las herramientas en uso.
Equipo de trabajo con baja motivacin, poco creativo y no
comprometido con el logro de los objetivos.
Contar con un sistema de administracin de la calidad
RRHH
deficiente en la definicin y aplicacin de procesos y Operacin

procedimientos para el desarrollo de las TIC en la institucin.
Desarrollar productos que no cumplen con los
requerimientos de calidad.
No administrar los riesgos de TI.
Operacin
Gestin
87
88
89
90
91
92
93
94
95
Utilizar un marco de trabajo deficiente para la gestin de
Gestin
riesgos, y no alineado con el apetito del riesgo institucional.

El personal no est capacitado adecuadamente para
Gestin
realizar una gestin efectiva de los riesgos.

No contar con el contenido presupuestario para la ejecucin
Gestin
de los proyectos.
Gestin
Inestabilidad en el equipo de proyecto.
Gestin
Desarrollo de proyectos no alineados al Plan Estratgico
Gestin
Los proyectos no estn documentados
No contar con un marco de referencia para la gestin
de los proyectos en cuanto a su iniciacin, planificacin,
Gestin
ejecucin, control y cierre, o aplicar ese marco de referencia

deficientemente.
Exceder el tiempo planificado para la ejecucin de los
Gestin
proyectos.
Falta de apoyo del patrocinador del proyecto.
Gestin
Identificacin de causas
Cada uno de los riesgos identificados est asociado con una o varias causas, conocer
las causas es importante para enfocar los posteriores esfuerzos de mitigacin y
contingencia as como para calificar los controles existentes. Las causas asociadas a
cada riesgo identificado son las siguientes:
Id
Descripcin del riesgo

Adquisicin
de
Causas
soluciones
automatizadas que no satisfagan las

necesidades de la institucin.
Desarrollar
productos
que
Especificacin
requerimientos
no
adecuada.
No se valid el cumplimiento del

producto.
Errores
no analizar
cumplen con las especificaciones.
de
de
concepto
al
las
especificaciones
No se validaron los componentes del

producto
Desarrollar productos basados en

requerimientos incorrectos.
Versiones
de
Ausencia
de
de
validacin
requerimientos
Patrocinador sin compromiso

No hay contrato de mantenimiento.
software Personal
desactualizadas.
para
no
est
actualizar
capacitado
el
software.
No est planificada la actualizacin.

Mala
gestin
en
la
5
Adquirir software sin programas adquisicin

fuentes.
de
Adquisicin
de
software
software
es
imprescindible
6
Adquirir software que no tiene

representacin en el pas.
No se tiene otra opcin

No hay contrato de mantenimiento.
Equipo
daado
no
puede
reparado.
ser No se tienen repuestos en el pas.

No hay repuestos para ese equipo.
No hay presupuesto para reparacin.
La
red
es
vulnerable
No se tiene la capacidad para

configurar adecuadamente la red
Impericia
humana
Dao fsico en los equipos de la Alteracin

plataforma tecnolgica.
Medio
tiene
Obsolescencia de la infraestructura para

tecnolgica.
sistema
ambiente
Sabotaje
No
se
10
del
elctrico
no
apropiado
la
expertise
actualizarla
Que no se renueven los contratos de

mantenimiento
Desarrollo de sistemas y servicios

11
que son difciles de utilizar para el

usuario.
12
13
14
del sistema.
Retrasos en
17
desarrollo
de
los
procesos
contratacin administrativa.
Se adquiere equipo no compatible
con la infraestructura en uso.
talleres
para
la
reparacin
para
sistemas
No se piensa en las facilidades para

su
elaboracin
El sistema es muy simple de usar

de Se apela el cartel o la adjudicacin.
mantenimiento de los mismos.
16
compleja
el cliente
No existe gua de usuario para el uso Se
omiti
Se adquiere equipo sin que existan

15
Mentalidad
Negligencia administrativa.
Elaboracin
especificaciones
Versiones de software para desarrollo

y produccin diferentes.
incorrectas
Aceptacin de un modelo diferente

No
se
solicita
en
las
especificaciones
de
compra
El proveedor es representante nico

en el pas
Se
obtuvieron
Trabajar directamente en equipos de del

produccin.
de
ambiente
de
passwords
produccin
Se autoriza realizar trabajo en este

ambiente
No
se
han
actualizado
El soporte en Costa Rica no es el

mejor
No contar con la metodologa y

18
procedimientos necesarios para la No ha sido prioritario su desarrollo.

administracin de los cambios.
No se respetan las polticas definidas
19
Libertad en el uso de componentes No se tienen las herramientas

tecnolgicos (software libre).
necesarias
instalacin
para
controlar
su
No
20
21
22
Instalacin de parches sin seguir las los

recomendaciones del proveedor.
control
parches
autorizados
No se revisa la documentacin del
sobrepasan la capacidad instalada No se considera el recurso humano
contar
con
los
recursos
necesarios para cumplir con los

disponible
Fallas de hardware y software
superan
Se
el
estimado
daan
necesarias
No
se
26
herramientas
tiene
presupuesto.
No existe contrato de mantenimiento Se encuentra en periodo de garanta.
servicios de terceros que implica que responsables
definido
por
stos no cumplan satisfactoriamente Administracin
de
contrato.
contratos
no
los requerimientos del negocio.

adecuada.
Incumplimiento de las polticas No se gestiona con base en las
definidas por las partes.
polticas definidas
Servidores
d
27
realizado
las
Est en trmite.
Debilidad en la administracin de No
se
han
25
sobre
aceptados que faciliten la gestin.

niveles.
Definicin de niveles de servicio que No se realiza el anlisis de capacidades
No
24
tiene
proveedor
Ausencia de niveles de servicio No hay acuerdos de servicios de
de TI.
23
se
ocasionalmente
d
Servidores ocasionalmente saturados

Ataque a los componentes de la red
Sistema consume muchos recursos
(AB,CPU)
La
28
No
hacer
planeamiento
de
actividad
la del
capacidad.
no
plan
es
parte
de
gestin
No se tiene la capacidad para

realizarlo
No se planificaron las compras
Los recursos de la infraestructura con

29
base
tecnolgica no son suficientes para de

atender las demandas de servicios.
al
la
crecimiento
infraestructura
Se da un crecimiento en recursos no
planificado
Procedimiento
30
Recuperacin de software no es recuperacin

factible
incorrecto
No se cuenta con el recurso para

recuperarlo
Fallas
en
31
para
el
proveedor
equipo
del
del
servicio
Se dao un componente interno

Deficiencias en la administracin
Impericia
humana
32
Fallas
en
los
equipos
comunicaciones
de Alteracin
Se
del
sistema
dao
elctrico
el
equipo
Sabotaje
Impericia
33
Fallas
en
los
servidores El
(computadores principales)
Se
humana
equipo
alter
se
la
dao
configuracin
Alteracin del sistema elctrico

Se libera el equipo de algunas
polticas
34
se
de
trasladan
seguridad
a
una
cuando
Institucin
La instalacin de componentes no
es controlada en algunos casos
Ausencia de controles cruzados

35
que comprueben la integridad de

la informacin y el funcionamiento
correcto de las aplicaciones.
Errores en la creacin de usuarios
36
y en la asignacin de privilegios de
acceso.
Sistemas
37
38
39
40
sin
mecanismos
No
se
Los
controles
programaron
programados
son
dbiles
No
se
tiene
el
conocimiento
necesario para realizar la funcin

Se desconoce la cobertura autorizada
para cada privilegio

de No se realizaron
las
pruebas
trazabilidad de transacciones (pistas completas sobre el sistema que se

de auditora).
puso en produccin
No se conocen los costos asignados No se tiene un modelo de costos
a los servicios prestados por TI.
No se maneja contabilidad de costos
No se cuenta con un proceso de
No se tienen los insumos necesarios
anlisis para mejorar los costos que
No ha sido prioritario
estn asociados a los servicios de TI.
El personal no cuenta con el Las
cargas
de
trabajo
tiempo suficiente para recibir, de no
estn
balanceadas
manera completa, la capacitacin No se tiene un plan de capacitacin

correspondiente.
autorizado
El personal no cuenta con las
actitudes y aptitudes requeridas
41
para hacer uso de la informacin

por
medio
de
las
soluciones
automatizadas.
La capacitacin que se brinda a los
42
usuarios no es efectiva para que

puedan utilizar eficientemente los
recursos informticos disponibles.
La utilizacin del sistema es compleja

No se tiene cultura informatizada
El instructor no tiene facilidad para

la transferencia de conocimientos
La capacitacin no fue prctica
43
44
45
46
47
No se cuenta con presupuesto para No
se
disear e implementar programas las
partidas
presupuestaron
necesarias
de capacitacin para los usuarios.

Se recort la partida presupuestaria
No contar con una respuesta
Personal
no
capacitado.
oportuna y efectiva para las consultas
Desinters por el usuario final.
de los usuarios de TI y a la atencin
Saturacin de consultas.
de los incidentes.
No se aprueba la solucin
Las soluciones que se aplican, ante
por
parte
del
usuario
los incidentes reportados por los
El tcnico carece del conocimiento
usuarios, no son efectivas.
necesario
No
se
han
divulgado
Los usuarios no estn informados
los
procedimientos
para
sobre los procedimientos que se
realizar
los
reportes
deben seguir para reportar los
Los usuarios han estado fuera de la
incidentes.
institucin por meses
No se cuenta o no se aplica el Se
presentan
solicitudes
procedimiento
definido
para
la de
un
nivel
superior
asignacin, atencin y seguimiento Se atienden incidentes no registrados

de los incidentes.
en el sistema
No se realiza una adecuada gestin El sistema no genera la informacin
48
de mtricas sobre los incidentes necesaria para generar las mtricas

reportados y atendidos.
49
No se dispone del tiempo necesario

No
se
tiene
un
sistema
Se realizan cambios operativos que para

no se reflejan en la documentacin.
control
de
cambios
Se realizan cambios sin que exista la

documentacin formal
Se
50
realizan
cambios
en
la
configuracin de componentes de la
infraestructura y no se reflejan en la
documentacin.
Los cambios se realizan bajo presin

No existe un sistema para control de
cambios
No se conoce el impacto de hacer

51
cambios en los componentes de la

configuracin.
No se tiene el ambiente completo

para
pruebas
Urga
la
preliminares
correccin
de
la
configuracin
No se aplica el procedimiento Se brindan soluciones sin que
52
oficializado
para
la
gestin
de se realice la gestin requerida
problemas.
53
Urge la solucin del problema

No
es
costumbre
No se documentan las soluciones informtico

aplicadas a los problemas.
de accin de los proveedores para la

solucin de problemas.
Alteracin
55
prdida
realizarlo
No se aplican sanciones por la
Hay dificultad para definir el mbito

54
del
de
omisin
No
se
definieron
reglas
contractuales
claras
Los proveedores se trasladan el

problema
Violacin
de
la
la Programa
con
fallas
seguridad
de
lgica
informacin registrada en base de Recuperacin de la base de datos

datos o equipos.
con un respaldo desactualizado

Fallas en disco no perceptibles
Registro de datos incorrecta
56
57
Informacin
desactualizada
o Falla
incorrecta.
Acceso
no
en
el
Webservices
Desconocimiento del sistema por
autorizado
la
informacin.
parte del personal usuario

Se
comparte
password
entre
el
usuarios
Violacin de la seguridad
Instalaciones fsicas mal diseas que Estructura vieja no pensada para TI.
58
pongan en peligro la integridad del No

equipo de cmputo y del personal.
es
importante
administracin.
para
la
59
60
61
Acceso no autorizado al centro de

cmputo.
63
64
el
medio
ambiente
de otros
No se tiene el presupuesto necesario
para la operacin de TI (UPS, Aire Suministro
generacin de respaldos.
No efectuar un monitoreo constante

sobre la operacin de la plataforma.
Suspensin de servicios sin seguir el
procedimiento establecido.
peridicamente el desempeo actual
energa
elctrica
cintas
para
inapropiado
Falta
de
los
respaldos
Dao en los equipos para toma de

respaldos
Exceso
de
estabilidad
seguridad
de
la
por
plataforma
No se tienen todas las herramientas

Iniciativas
para
suspensin
de
servicios
sin
colegiarlas
La suspensin es urgente
No existe sistema para evaluacin
del desempeo.
Modificaciones
No percibir los cambios que se inciden

realizan en el entorno.
de
preventivo
de
No aplicacin de las polticas para la generar
y la capacidad de los recursos de TI.
66
contrato
apropiado mantenimiento
No contar con un proceso para revisar

65
Personal autorizado facilita el ingreso
para comprarlo
Fallas en los equipos que mantienen No
existe
acondicionado)
62
Administrador del CC lo permite
en
legales
el
que
desarrollo
Cambios tecnolgicos en el entorno

que afectan el desarrollo
Utilizacin de indicadores sobre

el desempeo de TI que no son
67
relevantes y que no colaboran en la No se realiz un anlisis de los

identificacin de oportunidades de indicadores que se requieren en TI
mejora en los procesos importantes
de TI.
No contar con un programa de
68
control interno efectivo para TI

que incluya auto-evaluaciones y
revisiones por parte de terceros.
69
70
No contar con la documentacin de

los procesos de TI.
No
se
tienen
directrices
No hay planificacin para llevar a

cabo el auto control
La documentacin no fue actualizada
No se tiene manual para Gobierno
Corporativo
En equipo de usuario final las
polticas
no
estaban
aplicadas
Se emite una autorizacin temporal
para pruebas
Exceder la cantidad de usuarios El software permite exceder la cantidad
71
autorizados para utilizar un producto No se tiene control sobre los usuarios

licenciado.
72
73
74
Facilitar los medios para la instalacin

de software a terceros.
instalados
Se viol la seguridad para trasladar
medios de instalacin de software
Desconocimiento contractual
Se
modifica
la
estrategia
Contar con un plan estratgico no y
no
se
comunica
alineado a la estrategia institucional. Se desarrollan sistemas que no

Se
tiene
desactualizado.
Plan
responden a la estrategia institucional

Estratgico No se tiene un administrador del
PETIC.
No contar con un modelo de

informacin
75
del
negocio
que
sea utilizado en la creacin y

actualizacin de los sistemas de
76
77
informacin.
Arquitectura
de
No se tienen los recursos para

elaborarlo
informacin No se tiene un administrador de la
desactualizada.
arquitectura
No se diseo
Arquitectura de informacin no
responde a la cadena de valor.
de
a
la
informacin
la
arquitectura
con
base
de
valor
cadena
Se construy primero la arquitectura

de informacin
Se
instalan
78
Adquisicin de tecnologas que no con

aportan valor a la organizacin.
no
cuenta
con
contratos
de
mantenimiento.
No aplicacin de los canales de
80
comunicacin
establecidos
para
informar sobre la gestin de TI.
81
82
adquirido
Se venci
se
tiene
contratar
convenios
canales de comunicacin.
No se tiene dominio sobre las
la
garanta
Facilidad
presupuesto
el
de
no
para
mantenimiento
No se autoriza el gasto
Problemas
de
gestin
canales
de
comunicacin no incluidos en los

canales formales
Funcionan
muy
No se tienen documentados los los
herramientas en uso.
Se incluyen como parte del software
Contar con equipo costoso que

79
base
tecnologas
canales
bien
informales
No se han documentado los canales

informales
El personal no fue capacitado
La
transferencia
funcion
tecnolgica
no
Equipo
83
de
trabajo
baja
motivacin, poco creativo y no Clima
laboral
no
adecuado
comprometido con el logro de los Se desconocen los objetivos

objetivos.
Contar con
un
administracin
84
con
sistema
de
la
de
calidad Falta
de
experiencia
deficiente en la definicin y aplicacin administracin

de
procesos
de
la
en
la
calidad
procedimientos No existe existen directrices para
para el desarrollo de las TIC en la administrar la calidad

institucin.
Desarrollar
85
productos
que
cumplen con los requerimientos de

calidad.
86
88
89
90
Ausencia
de
de
validacin
requerimientos
Omisin de pruebas de calidad

Incumplimiento de plan de calidad
No
existe
la
administracin

Utilizar
87
no
un
marco
de
basada
en
riesgos
No se tienen los recursos necesarios

trabajo No
se
ha
brindado
la
deficiente para la gestin de riesgos, capacitacin
necesaria.
y no alineado con el apetito del riesgo No existe la administracin basada

institucional.
en riesgos.
El personal no est capacitado
No se ha brindado la capacitacin
adecuadamente para realizar una
necesaria.
gestin efectiva de los riesgos.
Elaboracin
de
No contar con el contenido
presupuesto
incorrecto.
presupuestario para la ejecucin de
No
presupuestar
proyectos.
los proyectos.
Recorte presupuestario.
Inestabilidad en el equipo de Reduccin
de
personal.
proyecto.
Clima laboral inadecuado.
Aceptar proyecto que no han sido

91
92
Desarrollo de proyectos no alineados

al Plan Estratgico
Los
proyectos
contar
D e s c o n o c i m i e n t o
del
no
estn
documentados
No
validados contra el Plan Estratgico.

Plan
Estratgico.
Es obligatorio desarrollarlo.
El personal omite la documentacin
La
documentacin
existente
es
omisa
con
un
marco
de
referencia para la gestin de los

93
proyectos en cuanto a su iniciacin, No hay metodologa oficial para la

planificacin,
ejecucin,
control gestin de proyectos.
y cierre, o aplicar ese marco de

referencia deficientemente.
94
95
Exceder el tiempo planificado para

la ejecucin de los proyectos.
Planificacin
no
adecuada
Modificacin en los requerimientos

Reduccin de recursos
Falta de apoyo del patrocinador del No se tiene inters en el proyecto

proyecto.
No hay personal disponible
Evaluacin de riesgos
Evaluacin de riesgos absolutos
La primera evaluacin corresponde a los riesgos absolutos, es decir, valorar el nivel de
severidad de cada riesgo sin tomar en cuenta el efecto de los controles que se aplican
actualmente.
Como fue definido anteriormente, la calificacin se realiza utilizando dos criterios
primarios que son la probabilidad (P) y el impacto (I) de cada riesgo, de esto valores
se deriva el nivel de exposicin (P * I) y la severidad de los riesgos (se utiliza la escala

de colores del mapa trmico para su representacin):
Id
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Riesgo
cumplen
con
las
especificaciones.
Desarrollar productos basados en requerimientos incorrectos.
Desarrollo de sistemas y servicios que son difciles de utilizar
para el usuario.
Se adquiere equipo no compatible con la infraestructura en
uso.
Se adquiere equipo sin que existan talleres para la reparacin
y mantenimiento de los mismos.
Versiones de software para desarrollo y produccin diferentes.
libre).
proveedor.
gestin.
2
3
1
1
3
5
3
3
4
4
4
4
3
5
4
4
8
12
4
4
9
25
12
12
12
3
4
4
4
12
16
12
22
23
Definicin de niveles de servicio que sobrepasan la capacidad

instalada de TI.
12
24
25
que implica que stos no cumplan satisfactoriamente los
26
27
28

3
3
3
3
3
3
9
9
9
12
29
30
31
32
33
34
35
36
37
38
39
40
41

2
3
4
4
8
12
10
2
4
5
3
10
12
integridad de la informacin y el funcionamiento correcto de
12
12
las aplicaciones.
No se conocen los costos asignados a los servicios prestados
por TI.
El personal no cuenta con las actitudes y aptitudes requeridas
para hacer uso de la informacin por medio de las soluciones
automatizadas.

42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
para que puedan utilizar eficientemente los recursos

las consultas de los usuarios de TI y a la atencin de los
incidentes.
Las soluciones que se aplican, ante los incidentes reportados
por los usuarios, no son efectivas.
No se cuenta o no se aplica el procedimiento definido para la
asignacin, atencin y seguimiento de los incidentes.
documentacin.
Se realizan cambios en la configuracin de componentes de
la infraestructura y no se reflejan en la documentacin.
No se aplica el procedimiento oficializado para la gestin de
problemas.
No se documentan las soluciones aplicadas a los problemas.
Alteracin o prdida de la informacin registrada en base de
datos o equipos.
12
12
12
20
3
3
4
5
12
15
60
61
62
63
64
65

No aplicacin de las polticas para la generacin de respaldos.
la plataforma.
establecido.
66

67
no son relevantes y que no colaboran en la identificacin de
15
12
12
oportunidades de mejora en los procesos importantes de TI.

68
TI que incluya auto-evaluaciones y revisiones por parte de
69
70
terceros.
Exceder la cantidad de usuarios autorizados para utilizar un
2
2
3
3
6
6
producto licenciado.
Facilitar los medios para la instalacin de software a terceros.
16
74
institucional.
16
75
sea utilizado en la creacin y actualizacin de los sistemas
76
de informacin.
12
71
72
73
77
78
valor.
organizacin.
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95

mantenimiento.
No se tienen documentados los canales de comunicacin.
deficiente en la definicin y aplicacin de procesos y
Desarrollar productos que no cumplen con los requerimientos
de calidad.
El personal no est capacitado adecuadamente para realizar
una gestin efectiva de los riesgos.
de los proyectos.
No contar con un marco de referencia para la gestin de
los proyectos en cuanto a su iniciacin, planificacin,
deficientemente.
proyectos.
P = Probabilidad, I = Impacto, S = Severidad
2
3
2
4
4
12
12
16
16
16
10
2
4
3
3
6
12
16
16
12
16
Mapas trmicos riesgos absolutos

Infraestructura
5
32, 33
31,
Impacto
61
49,
50, 51
14
7, 27
10
2
1
1
Probabilidad
Seguridad y control
5
Impacto
5, 6,
57
53
30, 35, 55
4, 9, 18, 36,
37, 56, 62
17, 84, 86,

87
47, 54, 58,

68, 70, 71
16, 19, 20,

26, 52, 59,
60, 63, 72,
15, 34
1
1
Probabilidad
Suministro de servicios
5
Impacto
4
3
2
45
29, 82, 83
23, 40, 41,
11, 12, 21,
43, 46
38, 44, 64
92, 93
94
42
1
1
Probabilidad
Impacto
Insercin tecnolgica (Gestin)

5
89
2, 3,
67, 76
22, 66, 69,
1, 13, 25,
77, 78, 79,
28, 39, 48,
3
2
73, 74,95
91,
81
1
1
Probabilidad
Identificacin de controles
Id

Adquisicin
de
Controles
Se realiza un diagnstico sobre
soluciones las
automatizadas que no satisfagan de

necesidades
factibilidad
adquirir
la
solucin.
Se le da participacin del usuario

para validar las necesidades.
Pruebas
de
productos
Desarrollar
productos
que
no basadas
cumplen con las especificaciones.
en
casos
de
uso.
Aprobacin de fases de anlisis y

diseo para comprobar el alcance.
Utilizar
3
casos
Desarrollar productos basados en especificar

requerimientos incorrectos.
de
los
uso
para
requerimientos.
Validacin y aprobacin de los

requerimientos por el patrocinador.
Por medio de los contratos de
mantenimiento
Versiones
de
software
desactualizadas.
se
planifican
aplican actualizaciones del software.

Se
estableci
que
todos
la
los
directriz
equipos
para
estn
estandarizados en cuanto a las
Adquirir software sin programas

fuentes.
versiones del software.

Como parte de los carteles de
licitacin se solicitan todos los
programas fuente.
La presentacin del software en el
Adquirir software que no tiene pas es requisito de admisibilidad

representacin en el pas.
Equipo daado no puede ser

reparado.
de los procesos de contratacin

administrativa.
Mantener vigentes los contratos de
mantenimiento para los equipos.
Contar con equipos de respaldos.
Se utiliza un esquema de
seguridad
para
acceso
la
restringir
red
el
inalmbrica.
La red inalmbrica existente entre

el estacionamiento y el edificio
principal est totalmente separada
de la red institucional.
Se cuenta con planta de diesel y UPS.

Est restringido el acceso al Centro
9
Dao fsico en los equipos de la de Cmputo. Se ha dispuesto una

plataforma tecnolgica.
cmara de seguridad en la puerta.

Se
cuenta
con
sensores
de
temperatura y humedad.
Plan de renovacin y fortalecimiento
10
Obsolescencia de la infraestructura de la infraestructura tecnolgica.

tecnolgica.
Planificacin de adquisiciones con
Desarrollo de sistemas y servicios

11
que son difciles de utilizar para el

usuario.
12
13
14
los
productos
constante
de
desarrollados.
Revisiones de los productos por

parte de los clientes.
Se incluye informacin en lnea para
No existe gua de usuario para el

uso del sistema.
Retrasos
anticipacin.
Supervisin
en
cada opcin del sistema de modo

que el usuario no necesite el manual.
Se desarrollan tutores virtuales sobre
los
procesos
contratacin administrativa.
de
la utilizacin de los sistemas.

Se revisan previamente los carteles
para validar que estn redactados
de forma clara y precisa.

Se adquiere equipo no compatible Revisin de los carteles. Adquisicin
con la infraestructura en uso.
de tecnologa de arquitectura abierta.

Es un requisito de admisibilidad,
Se adquiere equipo sin que existan dentro de los procedimientos de

15
talleres
para
la
reparacin
mantenimiento de los mismos.
y contratacin administrativa, que los

potenciales oferentes cuenten con el
respectivo taller de servicio.
Se
16
17
Trabajar directamente en equipos

de produccin.
Versiones
de
cuenta
servidor
de
desarrollo.
puesta en produccin de los nuevos
software
para
desarrollo y produccin diferentes.
programas.
Aplicacin del procedimiento para
la puesta en produccin de los
programas nuevos y modificados.
Se
han
definido
y
funciones.
procedimientos necesarios para la Se cuenta con un procedimiento

para aplicar los cambios en los

sistemas de informacin.
Definicin
y
aplicacin
polticas
19
un
Aplicacin del procedimiento para la
No contar con la metodologa y responsabilidades

18
con
Libertad en el uso de componentes el

tecnolgicos (software libre).
uso
institucionales
de
estndar
de
sobre
software
autorizado
para
institucin.
la
Los perfiles de usuario no tienen

autorizacin para instalar software.
Se
revisan
las
indicaciones
20
Instalacin de parches sin seguir las de

recomendaciones del proveedor.
los
proveedores.
Los parches se aplican primero en

equipo de prueba.
Se utiliza un software para gestionar
21
Ausencia de niveles de servicio las solicitudes de servicio pero los

aceptados que faciliten la gestin.
tiempos de respuesta esperados no

estn acordados.
Anlisis del PAO y portafolio de

Definicin de niveles de servicio que proyecto en conjunto con la Gerencia
22
sobrepasan la capacidad instalada de Divisin tomando en cuenta

de TI.
No
23
contar
las cargas de trabajo y el personal

con
los
actual.
recursos Se cuenta con equipo renovado
necesarios para cumplir con los que presenta niveles aceptables de

estabilidad.
Desarrollo peridico del Diagnstico de
Necesidades de Capacitacin (DNC).
24
No existe contrato de mantenimiento Ejecucin
del
programa
de
capacitacin (de acuerdo con el
Debilidad en la administracin de
25
servicios de terceros que implica que

stos no cumplan satisfactoriamente
los requerimientos del negocio.
26
Incumplimiento de las polticas

definidas por las partes.
disponible presupuestario).
En el rea de infraestructura se
realiza un seguimiento peridico
de
los
contratos
el
cumplimiento
de
validar
derechos
adquiridos por la institucin.

Se analizan las clusulas de los
contratos y se giran las instrucciones
del caso.
Monitoreo de los servicios para
determinar
27
para
cargas
de
trabajo.
Balanceo de cargas de trabajo

(distribucin de funciones entre los
servidores).
Antes
de
liberar
un
nuevo
servicio se realizan proyecciones

sobre
las
requeridas
28
capacidades
y
disponibles.
No hacer planeamiento de la Una vez al ao se realiza un ejercicio

capacidad.
para valorar la capacidad instalada

y
las
proyecciones
de
nuevos
requerimientos; esto se hace como

insumo para el Plan de Compras
Los recursos de la infraestructura

29
tecnolgica no son suficientes para

atender las demandas de servicios.
30
Institucional.
Se planifica
tecnologa
la
adquisicin
de
para
mantener
la
capacidad de procesamiento de
informacin.
Revisin de los respaldos generados.
Recuperacin de software no es Se cuenta con equipos que se

factible
pueden utilizar, ante contingencias,

para reestablecer los servicios.
Se cuenta con una red moderna
31
que da estabilidad en la operacin

interna.
Contratos
32
Fallas
en
los
equipos
comunicaciones
de
mantenimiento.
de Equipo de contingencia y aplicacin

de respaldos de acuerdo con las
polticas definidas.
Contratos
de
mantenimiento.
33
Fallas
en
los
servidores Equipo de contingencia y aplicacin
(computadores principales)
de respaldos de acuerdo con las

polticas definidas.
Aplicacin
polticas
34
de
de
seguridad
por
medio
de
Active
Directory.
Perfiles
de
usuarios
limitados
software
para
automtica
instalar
modificaciones
en
el
hacer
equipo.
Los equipos se encuentran en garanta.

A los equipos se les ha aplicado el
Service Pack recomendado por el
proveedor.
Ausencia de controles cruzados
35
que comprueben la integridad de

la informacin y el funcionamiento
correcto de las aplicaciones.
Por medio del Centro de Operaciones

se revisa la calidad de la informacin
en sistemas clave.
El personal que tiene a cargo la
Errores en la creacin de usuarios

36
y en la asignacin de privilegios de
acceso.
Sistemas
37
trazabilidad
capacitado para estas funciones.

Como
parte
del
desarrollo
de
proyectos se deben definir los roles

sin
mecanismos
de
y una descripcin.
de Se ha definido la utilizacin de pistas
transacciones como parte de los estndares de
38
implementacin de la seguridad est
programacin. Se utiliza el LogMiner.

Se debe mejorar el registro de costos
No se conocen los costos asignados asociados a cada servicio para

contar con informacin precisa en
este sentido.
No se cuenta con un proceso de Se debe mejorar el registro de costos
39
anlisis para mejorar los costos que asociados a cada servicio para
estn asociados a los servicios de contar con informacin precisa en
TI.
este sentido.
El personal no cuenta con el Se informa con anticipacin a las

40
41
tiempo suficiente para recibir, de jefaturas sobre las actividades de

manera completa, la capacitacin capacitacin para que se tome en
correspondiente.
cuenta en la asignacin de trabajos.
El personal no cuenta con las
Peridicamente, por medio del
actitudes y aptitudes requeridas
Centro de Capacitacin, se realizan
para hacer uso de la informacin
charlas para fomentar la cultura
por medio de las soluciones
informtica en la institucin.
automatizadas.
Se preparan guas para la
La capacitacin que se brinda a los
42
usuarios no es efectiva para que

puedan utilizar eficientemente los
recursos informticos disponibles.
capacitacin que sirva de apoyo

a los estudiantes e instructores.
Se
preparan
Se
seleccionan
tutores
los
virtuales.
instructores
buscando personal con facilidad de

expresin.
Se est fomentando el uso de
No se cuenta con presupuesto para capacitacin virtual que reduce

43
disear e implementar programas significativamente los costos. Para

de capacitacin para los usuarios.
esto se ha equipado al Centro de

Capacitacin.
Utilizacin de un software para
No contar con una respuesta

44
oportuna
efectiva
para
las
consultas de los usuarios de TI y a

la atencin de los incidentes.
automatizar
la
presentacin
de
los incidentes, la asignacin y

el
seguimiento
correspondiente.
Manejo de niveles de prioridad por

procesos y usuarios crticos para la
institucin.
Se da capacitacin a los tcnicos

Las soluciones que se aplican, ante en
45
Los usuarios no estn informados

sobre los procedimientos que se
deben seguir para reportar los
incidentes.
No se cuenta o no se aplica el
47
procedimiento definido para la

asignacin, atencin y seguimiento
de los incidentes.
No se realiza una adecuada gestin

48
de mtricas sobre los incidentes

reportados y atendidos.
49
nuevos
productos.
los incidentes reportados por los Se solicita al usuario que firme

usuarios, no son efectivas.
46
los
la solicitud de servicio cuando el

trabajo est concluido.
Por medio del correo electrnico
frecuentemente se envan mensajes
a los funcionarios recordndoles
polticas y procedimientos en materia
de TI.
Se cuenta
para
El
con
gestionar
personal
las
de
instrucciones
procedimiento.
un
un
funcionario
la
claras
Se
software
solicitudes.
USTI
sobre
cuenta
responsable
tiene
el
con
del
seguimiento.
Se aplican encuestas a los usuarios
para conocer su nivel de satisfaccin
y sus recomendaciones para mejorar
el servicio prestado.
Documentacin
Se realizan cambios operativos que procesos
de
los
operativos.
no se reflejan en la documentacin. Actualizacin de guas de trabajo

cuando se realizan cambios.
Se implement una bitcora donde

Se
50
realizan
cambios
en
la
configuracin de componentes de
la infraestructura y no se reflejan en
la documentacin.
realizados en la configuracin de TI.

Parte del procedimiento, para la
aplicacin de los cambios, es la
actualizacin de la documentacin

51
se registran todos los cambios
cambios en los componentes de la

configuracin.
correspondiente.
Se tiene documentada la relacin de
componentes de TI necesarios para
la implementacin y funcionamiento
de los servicios clave.

No se aplica el procedimiento Se tiene que oficializar y aplicar
52
oficializado para la gestin de el proceso para la gestin de

problemas.
53
No se documentan las soluciones

Hay dificultad para definir el mbito
54
de accin de los proveedores para

la solucin de problemas.
problemas.
Se est elaborando el documento
para la documentacin, el proveedor
si lo realiza por obligacin contractual
Se especifica claramente, en los
carteles de los procedimientos, las
responsabilidades de los proveedores
y los servicios requeridos.
Peridicamente
revisan
Alteracin
55
prdida
de
la
informacin registrada en base de

datos o equipos.
los
se
respaldos.
Se tienen definidos roles de acceso

por usuario y se revisa que no exista
conflicto en los roles asignados.
Se revisan los programas, con
mucho detalle, antes de ponerlos en
produccin.
Se
revisa
del
56
Informacin
desactualizada
incorrecta.
Se
de
la
la
cdigo
cre
la
generado.
una
CGR
gestin
de
calidad
dependencia
especializada
la
en
informacin.
Se brinda asesora y capacitacin

constante a los usuarios.
Se han definido polticas de TI con
responsabilidad para los usuarios.
57
Acceso
no
autorizado
la
informacin.
Se
ha
esquema
implementado
automtico
para
un
que
los usuarios cambien sus claves.

No se gestionan claves por medios
informales de comunicacin.
Las instalaciones tienen puertas
Instalaciones fsicas mal diseas con control de acceso restringido.

58
que pongan en peligro la integridad En el ao 2005 se acondicionaron

del equipo de cmputo y del los sitios de trabajo para tener ms
personal.
59
60
Acceso no autorizado al centro de

cmputo.
Fallas en los equipos que mantienen
61
el medio ambiente apropiado para

la operacin de TI (UPS, Aire
acondicionado)
visibilidad y fomentar el trabajo en

equipo.
Se cuenta con acceso restringido
(por tarjeta) y cmaras de vigilancia.
Se tiene una bitcora de acceso.
Est pendiente por restricciones de
presupuesto.
Se han realizado revisiones de la
instalacin elctrica. Se cuenta con
planta y UPS.
Definicin
de
62
No aplicacin de las polticas para

la generacin de respaldos.
de
contingencia
generacin
El
procedimiento
para
de
personal
la
respaldos.
responsable
debe
informar cuando se presenta alguna

dificultad en la generacin de los
respaldos.
Se
cuenta
para
63
No efectuar un monitoreo constante Se
con
herramienta
monitorear
cuenta
sobre la operacin de la plataforma. monitorear
la
red.
con
software
los
servidores
para
de
aplicaciones, bases de datos y

sistemas.
Bitcoras
64
Suspensin de servicios sin seguir

el procedimiento establecido.
de
configuracin
de
servicios.
procedimientos
cambios
y
Se
en
la
suspensin
han
definido
instruido
al
la
definicin
personal.
No
65
para
contar
revisar
con
un
proceso
peridicamente
el
desempeo actual y la capacidad

de los recursos de TI.
Est
pendiente
oficializacin del procedimiento para

realizar esta actividad.
La
institucin,
por
medio
de
Estrategia Institucional, mantiene

66
No percibir los cambios que se un monitoreo constante sobre los

realizan en el entorno.
cambios en el entorno. Se encarga

de reflejarlos en los planes de
trabajo.

67
relevantes y que no colaboran en la Se debe mejorar la definicin y

identificacin de oportunidades de anlisis de indicadores de TI.
de TI.
No contar con un programa de
68
control interno efectivo para TI

que incluya auto-evaluaciones y
revisiones por parte de terceros.
Se realizan las auto evaluaciones

solicitadas en la Ley General de
Control Interno.
Se cuenta con descripcin de
69
No contar con la documentacin de procesos

los procesos de TI.
procedimientos.
Los procesos se describen en el plan

de TI.
Los perfiles
70
de
usuario
tienen
restriccin para la instalacin de

software.
Se lleva el inventario de licencias
Exceder la cantidad de usuarios

71
autorizados
para
utilizar
un
72
Facilitar
los
medios
adquiridas y licencias instaladas.

Los usuarios no tienen autorizacin
para instalar software (se restringe
por perfil de usuario en Active
para
la
instalacin de software a terceros.
Directory).
Se ha instruido, sobre el tema, al
personal de Servicio al Cliente que
tiene a cargo la gestin de medios.
El ejercicio para la definicin del

Plan Estratgico y sus posteriores
revisiones
73
Contar con un plan estratgico no

alineado a la estrategia institucional.
se
participacin
de
todas
realizan
de
con
la
representantes
las
Divisiones.
Se cuenta con el apoyo y seguimiento

del Despacho de las Srs. Contraloras
sobre el uso de las tecnologas de
informacin.
El Plan Estratgico
74
Se
tiene
Plan
se
revisa
Estratgico anualmente y se ajusta cuando se
desactualizado.
realizan cambios en la planificacin
estratgica institucional.
No contar con un modelo de El modelo de informacin est
informacin
75
del
negocio
que documentado a nivel de las bases
sea utilizado en la creacin y de datos y se cuenta con una

actualizacin de los sistemas de aplicacin automatizada que genera
informacin.
76
77
78
Arquitectura
los informes.
Se design un funcionario para
de
informacin
desactualizada.
Arquitectura de informacin no
responde a la cadena de valor.
Adquisicin de tecnologas que no
aportan valor a la organizacin.
que conozca la informacin de la

institucin y valide los proyectos pero
no se han establecido los controles
documentales del caso.
Se deben mejorar la documentacin
de la arquitectura de la informacin
en funcin de la cadena de valor.
Se revisan las caractersticas de
los productos de acuerdo con las
necesidades de la institucin.
Contar con equipo costoso que

79
no
cuenta
con
contratos
de
mantenimiento.
comunicacin establecidos para

informar sobre la gestin de TI.
81
82
tiene
un
renovacin
plan
de
de
equipo.
Dentro del presupuesto se reservan

las partidas correspondientes.
Peridicamente
se
realizan
No aplicacin de los canales de

80
Se
reuniones informativas con todo el

personal de la USTI. Igualmente se
mantiene informado al Despacho
sobre la evolucin de los proyectos y
la operativa de TI.
No se tienen documentados los Est pendiente de documentarse los
canales de comunicacin.
canales formales.
Desarrollo peridico del Diagnstico de

Necesidades de Capacitacin (DNC).

Ejecucin
del
programa
de
capacitacin (de acuerdo con el

disponible presupuestario).
Se realizan dos evaluaciones
Equipo
83
de
trabajo
con
baja
motivacin, poco creativo y no

comprometido con el logro de los
objetivos.
de
clima
laboral
por
Comunicacin
sobre
y
los
planes
compromisos
ao.
constante
de
de
trabajo
gestin.
Gestin orientada al logro de los

objetivos.
Estn definidos los estndares y

Contar
con
un
administracin
84
deficiente
y
sistema
de
en
aplicacin
la
la
de
de
calidad
definicin
procesos
procedimientos para el desarrollo

de las TIC en la institucin.
Desarrollar
85
productos
procedimientos que se deben aplicar

en el desarrollo de los productos.
Se
realizan
cumplimiento
no
cumplen con los requerimientos de

calidad.
de
alcance.
errores antes de liberar versiones

o
actualizadas
de
los
productos de software.
Aplicacin
de
estndares
procedimientos
Capacitacin
de
del
Anualmente
calidad.
personal
tcnicas de calidad.
Se
cuenta
con
contra
86
de
Se aplican pruebas para identificar

nuevas
que
revisiones
un
en
plan
contingencias.
se
realiza
un
ejercicio de valoracin de riesgos.

Se aplican los instrumentos definidos
para el cumplimiento del SEVRI
Utilizar
87
un
deficiente
marco
para
de
la
trabajo
gestin
de
riesgos, y no alineado con el apetito
Se aplican las indicaciones del SEVRI.

Se realizan auto evaluaciones de
riesgos a nivel de procesos.

del riesgo institucional.
El personal no est capacitado Se utilizan las instrucciones definidas
88
adecuadamente para realizar una dentro del marco orientador del

gestin efectiva de los riesgos.
No
89
contar
con
el
contenido
presupuestario para la ejecucin de

los proyectos.
SEVRI.
Exposicin de la importancia de
los
proyectos
en
la
Asamblea
Legislativa para darles prioridad.

Recurrir a cooperacin internacional.
Documentacin de los proyectos.

90
Inestabilidad en el equipo de Divulgacin

proyecto.
del
dentro
proyecto
del
equipo.
Desarrollo de talleres
Planificacin
de
91
Desarrollo de proyectos no alineados de acuerdo con el PAO y la

al Plan Estratgico
aprobacin del Gerente de Divisin

Organizacional.
Verificacin
de
92
Los
proyectos
no
estn
documentados

proyectos en cuanto a su iniciacin,
planificacin,
ejecucin,
control

94
proyectos
Exceder el tiempo planificado para

la ejecucin de los proyectos.
que
cumplen
metodologa
Validar
No contar con un marco de
93
proyectos
los
con
la
correspondiente.
el
cumplimiento
de
estndares.
Se cuenta con una metodologa
oficializada
de
para
proyectos
de
la
gestin
la
aplicacin
cual
es
obligatoria.
Capacitacin sobre el tema para

los directores de proyecto y los
ingenieros de la USTI.
Seguimiento
frecuente
los
proyectos
Reasignacin
Fortalecer
los
de
(por
semana).
de
recursos.
ejercicios
de
planificacin.
Establecimiento
95
Falta de apoyo del patrocinador del

proyecto.
compromisos
Vinculacin
de
de
de
gestin.
Planes
Anuales
Operativos entre la USTI y unidades

usuarias.
Evaluacin de riesgos controlados

Id
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
Riesgo
cumplen
con
las
especificaciones.
Desarrollar productos basados en requerimientos incorrectos.
Desarrollo de sistemas y servicios que son difciles de utilizar
para el usuario.
Se adquiere equipo no compatible con la infraestructura en
uso.
Se adquiere equipo sin que existan talleres para la reparacin
y mantenimiento de los mismos.
Versiones de software para desarrollo y produccin diferentes.
libre).
proveedor.
gestin.
Definicin de niveles de servicio que sobrepasan la capacidad
instalada de TI.
1
2
4
4
4
4
8
4
3
3
4
3
3
6
4
6
2
3
4
6
4
4
4
4
1
1
1
2
23
24
25
que implica que stos no cumplan satisfactoriamente los
26
27
28
29

30
31
32
33
34

35
integridad de la informacin y el funcionamiento correcto de
36
37
38
39
40
41
las aplicaciones.
por TI.
El personal no cuenta con las actitudes y aptitudes requeridas
para hacer uso de la informacin por medio de las soluciones
automatizadas.
1
2
3
3
3
6
1
2
2
1
4
4
3
3
3
4
8
6
6
3

42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
para que puedan utilizar eficientemente los recursos

las consultas de los usuarios de TI y a la atencin de los
incidentes.
Las soluciones que se aplican, ante los incidentes reportados
por los usuarios, no son efectivas.
No se cuenta o no se aplica el procedimiento definido para la
asignacin, atencin y seguimiento de los incidentes.
documentacin.
problemas.
Alteracin o prdida de la informacin registrada en base de
datos o equipos.
20
4
5
4
5
60
61
62
63
64
65

No aplicacin de las polticas para la generacin de respaldos.
la plataforma.
establecido.
66

67
12
1
1
3
3
3
3

68
TI que incluya auto-evaluaciones y revisiones por parte de
69
70
terceros.
Exceder la cantidad de usuarios autorizados para utilizar un
71
72
73
Facilitar los medios para la instalacin de software a terceros.
74
institucional.
75
sea utilizado en la creacin y actualizacin de los sistemas
76
de informacin.
77
78
valor.
organizacin.
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95

mantenimiento.
No se tienen documentados los canales de comunicacin.
deficiente en la definicin y aplicacin de procesos y
Desarrollar productos que no cumplen con los requerimientos
de calidad.
El personal no est capacitado adecuadamente para realizar
una gestin efectiva de los riesgos.
de los proyectos.
deficientemente.
proyectos.
P = Probabilidad, I = Impacto, S = Severidad
2
2
2
4
4
8
10
1
1
2
3
3
4
3
3
8
Mapas trmicos riesgos controlados

Infraestructura
Impacto
5
4
24, 49
31, 50, 51
7, 14, 27
10, 32, 33
61
2
1
Probabilidad
Seguridad y control
5
57
53
5, 6, 9, 16,
Impacto
17, 30, 36,
4, 18, 86,
55, 56, 62,
87
84
3
15, 19, 20,
8, 35, 59,
26, 34, 47,
63, 68, 72,
54, 58, 70
88
52, 60
37
1
1
Probabilidad
5
Impacto
29, 45, 83
82, 92, 93
40, 41, 43,
11, 21, 23,
44, 46
94
42
12, 64
38
1
3
Probabilidad
Insercin tecnolgica
5
Impacto
76, 89
2, 3, 73, 74
95
1, 22, 66,
13, 25, 28,
69, 78, 79,
48, 75, 77,
90, 91
85
80
81
67
39, 65
1
3
Probabilidad
Para facilitar el anlisis del nivel de riesgo de los procesos de TI se presenta en

siguiente cuadro en el cual se presentan los valores totales de cantidad de riesgos,
por cada proceso, en las evaluaciones de riesgos absolutos y riesgos controlados.
Posteriormente esta informacin se presenta en grficos y cuadros de porcentajes:
Proceso de TI
Infraestructura
Severidad
Extrema
Alta
Moderada
Baja
Total de riesgos
Seguridad y control Extrema
Alta
Moderada
Baja
Total de riesgos
Suministro
de Extrema
Alta
servicios
Moderada
Baja
Total de riesgos
I n s e r c i n Extrema
Alta
tecnolgica
Moderada
Baja
Total de riesgos
R. Absolutos
R. Controlados
1
10
1
0
12
7
22
8
0
37
2
11
0
4
5
3
12
1
6
19
11
37
0
4
0
19
3
15
9
0
27
6
19
0
6
12
9
27
En los siguientes grficos y cuadros se observa la evaluacin de los riesgos, segn

cada proceso de TI, tanto a nivel absoluto como a nivel controlado. De esta manera
se puede notar fcilmente el efecto de los controles en la distribucin de los riesgos
segn su severidad la cual est representada en lo grficos por los colores usados en
los mapas trmicos.
Riesgos de infraestructura
Riesgos absolutos
Riesgos controlados
Severidad
Extrema
Alta
Moderada
Baja
Riesgos absolutos
8%
84%
8%
0%
Riesgos controlados
0%
33%
42%
25%
Despus de valorar los controles, desde el punto de vista del proceso de infraestructura,
se tienen 4 riesgos que deben ser gestionados, stos representan el 33% de los riesgos
identificados y relacionados con este proceso.
Riesgos se seguridad y control

Riesgos absolutos
Riesgos controlados
Severidad
Extrema
Alta
Moderada
Baja
Riesgos absolutos
19%
59%
22%
0%
Riesgos controlados
3%
16%
51%
30%
La mayor cantidad de riesgos identificados estn asociados con el proceso de

seguridad y control, de los 37 riesgos 7 estn en las categoras de severidad extrema
y alta por lo cual deben ser gestionados. Esos 7 riesgos representan el 19% de los
riesgos identificados. Es importante notar que en la valoracin de riesgos absolutos
la cantidad el porcentaje de riesgos clasificados en esa categora es de 78% lo cual
significa que la aplicacin de los controles colabor, de manera muy importante, para
reducir la cantidad de riesgos cuya severidad es extrema y alta.
Riesgos de suministro de servicios

Riesgos absolutos
Riesgos controlados
Severidad
Extrema
Alta
Moderada
Baja
Riesgos absolutos
11%
57%
32%
0%
Riesgos controlados
0%
21%
47%
32%
En la calificacin de riesgos absolutos el 78% de los riesgos identificados (en total

19 para el proceso de suministro de servicios) se encuentran con calificacin de
severidad extrema o alta. En la segunda calificacin, considerando la aplicacin de los
controles actuales, en la calificacin de riesgos con severidad extrema se tiene 4%,
eso representa el 21% de los riesgos identificados para el proceso.
Riesgos de insercin tecnolgica

Riesgos absolutos
Riesgos controlados
Severidad
Extrema
Alta
Moderada
Baja
Riesgos absolutos
11%
56%
33%
0%
Riesgos controlados
0%
22%
45%
33%
En cuanto al proceso de insercin tecnolgica se identificaron 27 riesgos, es el segundo

proceso en cantidad de riesgos identificados. De estos riesgos el 67% tienen una
calificacin absoluta con severidad extrema y alta. Despus de calificarlos, tomando
en cuenta la aplicacin de los controles actuales, este porcentaje baja a 22% que
corresponde a 6 riesgos con calificacin de severidad alta.
Valoracin del nivel de riesgo de los procesos

Es importante conocer la calificacin global de riesgo que tiene cada proceso tanto a
nivel en la calificacin de riesgos absolutos como de riesgos controlados; este valor se
obtuvo con el promedio de la calificacin de exposicin (impacto * probabilidad) para
los riesgos en cada proceso. Los resultados son los siguientes:
Proceso de TI
Infraestructura
Seguridad y control
Insercin tecnolgica
En promedio
Riesgos absolutos
Riesgos controlados
10.9
10.6
9.3
5.7
5.2
5.0
8.9
9.9
5.4
5.3
Se puede notar fcilmente que la calificacin de los procesos es muy similar, a nivel
de riesgos absolutos los procesos de infraestructura as como de seguridad y control
son los que tienen las calificaciones ms altas a nivel de severidad promedio de sus
riesgos. En vista de que para los cuatro procesos de TI la calificacin est entre 8 y
12 les corresponde un nivel promedio de severidad de alta (representada en color
anaranjado). En cuanto a los riesgos controlados tambin la calificacin es muy
similar para todos los procesos, en este caso son los procesos de infraestructura e
insercin tecnolgica los que tienen las calificaciones mayores. Todos los procesos
tienen calificaciones que estn entre 4 y 6 por lo cual se ubican en nivel moderado
como promedio de severidad de sus riesgos que se representan en color amarillo.
Segn ests calificaciones la situacin de los procesos es muy similar tanto a nivel
de riesgos absolutos como de riesgos controlados; esto quiere decir que los controles
estn orientados a gestionar los riesgos de manera equitativa.
Riesgos prioritarios
Despus de realizar el anlisis de riesgos y determinar su nivel de severidad tanto en la
calificacin de riesgos absolutos como de riesgos controlados se ha determinado que
los siguientes riesgos son de prioritaria atencin:
Id
4
18
31
38
39
Versiones
de
Proceso de TI relacionado
software
desactualizadas.
Seguridad y control
procedimientos necesarios para la Seguridad y control

Infraestructura
No se conocen los costos asignados
No se cuenta con un proceso de
anlisis para mejorar los costos que Insercin tecnolgica
estn asociados a los servicios de TI.
Se realizan cambios en la
50
configuracin de componentes de la
infraestructura y no se reflejan en la
Infraestructura
documentacin.
51
cambios en los componentes de la Infraestructura

configuracin.
No se aplica el procedimiento
52
53
60
oficializado
para
la
gestin
de Seguridad y control
problemas.
Seguridad y control
Seguridad y control

61
el
medio
ambiente
apropiado
para la operacin de TI (UPS, Aire
Infraestructura
acondicionado)
65
peridicamente el desempeo actual Insercin tecnolgica

y la capacidad de los recursos de TI.
67
relevantes y que no colaboran en la

identificacin de oportunidades de
Insercin tecnolgica
76
82
86
87
de TI.
Arquitectura
92
informacin
desactualizada.
Insercin tecnolgica
Seguridad y control
Utilizar un marco de trabajo
deficiente para la gestin de riesgos,
y no alineado con el apetito del riesgo
institucional.
No contar
89
de
con
el
Seguridad y control
contenido
presupuestario para la ejecucin de Insercin tecnolgica

los proyectos.
Los
proyectos
documentados
no
estn
No
contar
con
un
marco
de

93
proyectos en cuanto a su iniciacin,

planificacin,
ejecucin,
control

95

proyecto.
Insercin tecnolgica
Planes de tratamiento
A continuacin se indican los planes de accin para cada uno de los riesgos cuya
evaluacin de severidad, a nivel de riesgos controlados, fue de extrema o alta:
Id

Se
Planes de accin
presupuestaron las partidas
para contratar el mantenimiento

4
Versiones
de
software y se incluy en el PAO la actividad
desactualizadas.
para actualizacin de plataforma.

En el diagnstico de capacitacin se
incorpor la capacitacin necesaria.
Con base al manual de normas
No contar con la metodologa y tcnicas

18
sobre
tecnologas
de
procedimientos necesarios para informacin, se revisar y actualizar

la administracin de los cambios. el mtodo para administracin de
los cambios
En el presupuesto del 2008 se
31
Suspensin
Internet
de
servicio
de incluy el alquiler de un canal alterno

al proveedor actual del servicio para
la solucin de fallas locales en el ISP
No
se
conocen
los
costos Se desarrollar un modelo de costos
38
asignados
39
prestados por TI.

productos
No se cuenta con un proceso
En paralelo al modelo de costos se
de anlisis para mejorar los
realizar el modelo para el anlisis
costos que estn asociados a los
respectivo
servicios de TI.
Se realizan cambios en la Se enfatizar en el personal
50
los
servicios para conocer el costo por servicios o
configuracin de componentes la

cambios en los componentes de
la configuracin.
No se aplica el procedimiento
52
oficializado para la gestin de

problemas.
53
60
de
actualizar
la
de la infraestructura y no se documentacin con los cambios

reflejan en la documentacin.
51
obligacin

que se realicen a la infraestructura

Se coordinarn los cambios previo
a
realizarlos
para
proyectar
el
impacto, incluyendo de ser posible

al proveedor
Se realizar un taller para analizar las
razones por las cuales no se aplica
en algunos casos el procedimiento, y
para generar las acciones correctivas
Se incluy como parte del manual
para continuidad de la operacin, la
obligacin de documentar soluciones
aplicadas para el mejoramiento
continuo.
Sin incluy en el presupuesto del
2008 la adquisicin de la solucin
El CC mantiene una UPS exclusiva

Fallas
61
en
los
equipos
que
mantienen el medio ambiente

apropiado para la operacin de
TI (UPS, Aire acondicionado)
No
65
contar
con
un
para equipos crticos y se compr

una adicional para respaldo de las
tres que soportan toda la institucin.
Se est elaborando el procedimiento
institucional para soporte de medio
ambiente.
proceso A partir del 2008 se aplicar un
para revisar peridicamente el nuevo mtodo de evaluacin del

desempeo actual y la capacidad desempeo basado en compromisos
de los recursos de TI.
de desempeo
el desempeo de TI que no son Con base a los planes tcticos y
67
relevantes y que no colaboran en la nueva cartera de proyectos se

la identificacin de oportunidades redisearon los indicadores para
de
mejora
en
los
procesos medir el desempeo
importantes de TI.
Se tiene programada la revisin de
76
82
86
Arquitectura
de
informacin la arquitectura para ajustarla de
desactualizada.

ser necesario, con base a la nueva

cartera de proyectos
Se desarrollar la
capacitacin
necesaria para que el personal utilice

las herramientas adecuadamente
Se establecern administradores de
riesgos por rea de coordinacin, y
reuniones mensuales de seguimiento
para auto evaluacin y mejora
Utilizar un marco de trabajo

87
deficiente para la gestin de

riesgos, y no alineado con el
apetito del riesgo institucional.
Se lleva a cabo estudio de auditora, se

desarrollo un sistema automatizado
para control de riesgos, y se est
realizando
una
evaluacin
de
riesgos.
Ajustar la cartera de proyectos al
No contar con el contenido presupuesto aprobado y elaborar

89
presupuestario para la ejecucin un presupuesto extraordinario para

de los proyectos.
92
Los
reprogramar los proyectos en caso
proyectos
no
estn
documentados
de que este se apruebe

Se harn auditorias
peridicas
para control de los expedientes de

sistemas
No contar con un marco de

referencia para la gestin de Se acord capacitar en el 2008 a
93
los
proyectos
su
iniciacin,
en
cuanto
a todos los gerentes sobre la necesidad
planificacin, de aplicar la metodologa, e iniciar
ejecucin, control y cierre, o cada proyecto capacitando a todo el

aplicar ese marco de referencia equipo de proyecto
deficientemente.
A partir de la nueva cartera de proyectos,
los gerentes de Divisin tienen que
95
Falta de apoyo del patrocinador del asegurar los recursos a los proyectos
proyecto.
en los cuales son patrocinadores; total o

compartido, e incluirlos como parte de
su PAO
Evaluacin de riesgos tratados

En la siguiente tabla se presenta la calificacin de los riesgos proyectando la aplicacin
de los planes de tratamiento (riesgos tratados):
Id
4
18
31
38
39
50
51
52
53
60
61
65
67
76
82
86
87
Riesgo
por TI.
problemas.
89
92
93
95

de los proyectos.
deficientemente.
Es interesante observar la evolucin de los riesgos en cada uno de los niveles de

evaluacin (absoluto, controlado y tratado); seguidamente se presenta la calificacin
para los riesgos prioritarios.
ID
Riesgo
Absoluto
Controlado
Tratado

12
18
procedimientos
la
12
31

No se conocen los costos asignados a los
12
12
12
38
39
necesarios
para
servicios prestados por TI.

No se cuenta con un proceso de anlisis
para mejorar los costos que estn
asociados a los servicios de TI.
Se realizan cambios en la configuracin
50
51
52
de componentes de la infraestructura y
no se reflejan en la documentacin.
No se conoce el impacto de hacer cambios
en los componentes de la configuracin.
No se aplica el procedimiento oficializado
para la gestin de problemas.
53
No
se
documentan
las
soluciones
60

61
el medio ambiente apropiado para la
20
20
15
12
12
12
12
16
16
10
10
16
16
16
operacin de TI (UPS, Aire acondicionado)

65
peridicamente el desempeo actual y la

capacidad de los recursos de TI.
Utilizacin de indicadores sobre el
desempeo de TI que no son relevantes y
67
que no colaboran en la identificacin de

oportunidades de mejora en los procesos
76
82
importantes de TI.
Arquitectura
de
informacin
desactualizada.
No se tiene dominio sobre las herramientas
86
en uso.
Utilizar un marco de trabajo deficiente
87
para la gestin de riesgos, y no alineado
89
92
con el apetito del riesgo institucional.

No contar con el contenido presupuestario
para la ejecucin de los proyectos.
No contar con un marco de referencia
para la gestin de los proyectos en cuanto
93
a su iniciacin, planificacin, ejecucin,

control y cierre, o aplicar ese marco de
95
proyecto.
Organizacin para la gestin de los riesgos

A efectos de mantener una organizacin adecuada para la Gestin de los Riesgos en
la USTI, y con el objetivo de mantener riesgos actualizados, controlados, y planes de
tratamiento para mitigarlos, se adecua la organizacin mediante asignar un asistente
de la jefatura que recopile riesgos en un nivel preliminar, los procese, y para que
actualice el mapa trmico para conocimiento de la jefatura y los coordinadores de
rea.
La identificacin y evaluacin de los riesgos debe ser sustentado por un sistema
participativo de planificacin que considere la misin y la visin institucionales, as
como objetivos, metas y polticas; por esa razn se estarn realizando reuniones una
vez al mes con los coordinadores de rea para considerar el tema.
Se reforzar la administracin basada en riesgos para los coordinadores de rea y
asistente de la jefatura, con el objetivo que darle robustez a la organizacin y a la UTI en
su gestin, siempre bajo el modelo de administracin de riesgos de la CGR, la poltica
de valoracin de riesgos emitida por el Despacho, la metodologa para valoracin de
riesgos, y los lineamientos generados por la Divisin de Estrategia Institucional.
Los insumos para la identificacin de riesgos estarn basados principalmente en los
que a continuacin se indican:
Planes institucionales, sectoriales y nacionales.
Anlisis del entorno interno y externo.
Evaluaciones institucionales.
Descripcin de la organizacin (procesos, presupuesto, sistema de control
interno).
Normativa externa e interna asociada con la proceso/proyecto e institucin.
Documentos de operacin diaria y de la evaluacin peridica.
A continuacin se incluye el organigrama de la UTI; segn la propuesta en donde se

identifica al asistente de la jefatura, y a los coordinadores en su ltimo nivel.
Recomendaciones
Con base en el anlisis de Administracin Basada en Riesgos, llevado a cabo en la
Unidad de Tecnologas de Informacin, se derivan una serie de recomendaciones que
se incorporan a continuacin en el presente documento.
a. Mantener un mapa trmico actualizado con los riesgos controlados que
estn identificados con una severidad alta o extrema.
b. Desarrollar una reunin cada primer lunes de mes, para que la jefatura de
la UTI evale con los coordinadores de rea los planes de tratamiento que
se estn aplicando a los riesgos del mapa trmico identificados como alto
o extremo, con el objetivo de actualizarlos si se considera que es factible
mejorarlos para mitigar el riesgo.
c. Fortalecer la administracin basada en riesgos en los niveles de coordinacin,
mediante capacitacin peridica y con base en los anlisis que se realicen
en las reuniones los das lunes primero de mes.
d. Centralizar la actualizacin preliminar de los riesgos identificados,
controlados, y planes de tratamiento, en un asistente de la jefatura de UTI
que se encargar de preparar el material de la reunin de los lunes, y de
alertar a la jefatura inmediatamente, en caso de que se detecte un nuevo
riesgo que clasifique como alto o severo.
e. Preparar al asistente de la jefatura para que procese los nuevos riesgos con
fines de clasificarlos, para alertar a la jefatura en caso de riesgos extremos
o altos.
f. Cada coordinador de rea debe administrar con base a los riesgos detectados,
reportando al asistente los nuevos riesgos detectados, mitigados, o nuevos
controles que han sido aplicados, a fin de mantener la administracin de
riesgos actualizada; sin importar para este caso el nivel de riesgo; todos
deben ser reportados para procesarlos.
g. Adquisicin de un software institucional que facilite la administracin
basada en riesgos.

Informe NTI - A - 3

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe NTI - A - 3

Cargado por

Copyright:

Formatos disponibles

Anexo - NTP3

88 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 89

90 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

necesario evolucionar hacia el aprovechamiento de esas potencialidades tecnolgicas

Modelo de anlisis de riesgos

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 91

obligatorio, y en normas tcnicas sobre la gestin en tecnologas de informacin

92 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

debern asumir las auditoras internas y el mismo sistema de control de

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 93

Estos lineamientos contribuirn a la organizacin del trabajo y a la formulacin de los

94 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

Factores claves de xito

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 95

La Unidad de Tecnologa de Informacin (UTI)

96 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

Es la unidad encargada de implementar, desarrollar y evolucionar soluciones

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 97

c. Desarrollar la infoestructura de soluciones y servicios definidos y priorizados

Contexto de la administracin de riesgos

98 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

La evaluacin de riesgos se llevar a cabo sobre los procesos de la USTI: Infraestructura,

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 99

100 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

El alcance de este ejercicio de anlisis de riesgos comprende lo siguiente:

Criterios de evaluacin de riesgos

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 101

Calificacin del impacto

Severidad del riesgo

102 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

Categoras de los riesgos

incorrecta de mtodos de gestin de las tecnologas de

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 103

Incumplimiento de directrices, procedimientos y

metodologas y estndares en los procesos operativos

infraestructura tecnolgica utilizada en la CGR.

integridad y disponibilidad de la informacin.

Impacto de los riesgos segn su categora

104 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

respuesta que experimentan los usuarios.

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 105

Un ente no autorizado tiene acceso a informacin sensitiva.

Interrupcin de ms de 1 da hbil en la disponibilidad de la

Interrupcin de 1 da hbil en la disponibilidad de la

Recurso humano (Revisar objetivos)

El evento imposibilita a todo el personal de la UTI para realizar

106 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

Los objetivos a lograr exceden las cargas de trabajo de los

Evento que imposibilita que el personal de la UTI pueda

Evento que imposibilita a un funcionario de la UTI para

Evento que afecta, de manera temporal y no mayor de 4

Criterios para la aceptacin de riesgos

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 107

Estructura de los riesgos

108 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

Descripcin del Riesgo

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones / 109

reparacin y mantenimiento de los mismos.

que implica que stos no cumplan satisfactoriamente los Gestin

requerimientos del negocio.

suficientes para atender las demandas de servicios.

110 / Normas Tcnicas en Tecnologas de Informacin y Comunicaciones