Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informe NTI - A - 3
Informe NTI - A - 3
Evaluacin de Riesgos en
Tecnologas de Informacin
Introduccin
Actualmente, la gestin de Tecnologas de Informacin y Comunicaciones (TIC) en la
CGR es una de las prioridades de la agenda del Despacho de la Contralora, lo cual
se evidencia en la composicin de los presupuestos de tecnologa, el desarrollo de
proyectos, la proyeccin de la formacin y perfil del personal de la CGR en los temas
tecnolgicos, as como en la elaboracin de un plan estratgico, totalmente alineado
con los objetivos de la institucin.
En vista de la evolucin de las mejores prcticas, es preciso realizar evaluaciones
de riesgos constantemente, para mejorar y adecuar; si es necesario, el gobierno
corporativo de las TIC, as como el marco de gestin, a los adelantos en la materia de
TI.
Actualmente la CGR posee 600 computadoras de uso personal y 78 impresoras
distribuidas dentro de la organizacin y en los grupos externos de fiscalizacin.
Para el almacenamiento de bases de datos se tienen dos reas de almacenamiento
en red; conectadas con fibra a servidores, con capacidades en disco de 500 GB y de
700 GB, con una ocupacin total cercana al 70% de su espacio total.
Adems, dispone de servidores para la ejecucin de programas de seguridad,
monitoreo y vigilancia. Al respecto, la disponibilidad de equipo debe ajustarse a las
necesidades y prioridades que se deriven de la insercin tecnolgica deseada.
Se tiene una red de rea local, con sistemas tolerantes a fallas y con capacidad
para enlazar a los funcionarios con sistemas de informacin automatizados, correo
electrnico, intranet e Internet. Ahora bien, en vista de la importancia que reviste la
conectividad y las nuevas tendencias mviles de la comunicacin tecnolgica, resulta
Visin de la CGR
Garantizamos a la sociedad costarricense, la vigilancia efectiva de la Hacienda Pblica.
Misin de la CGR
Somos el rgano constitucional, auxiliar de la Asamblea Legislativa que fiscaliza el uso
de los fondos pblicos para mejorar la gestin de la Hacienda Pblica y contribuir al
control poltico y ciudadano.
Valores
Los siguientes elementos constituyen la gua de actuacin que debe inspirar la gestin
y rectitud de los actos de los funcionarios de la Contralora General de la Repblica, a
efecto de implementar la visin y misin institucionales:
Excelencia: Bsqueda de la mxima calidad y desempeo en el trabajo
diario.
Respeto: Valorar los derechos y formar de pensar de los dems.
Justicia: Dar a los dems lo que les corresponde de acuerdo con sus
derechos y deberes.
Integridad: Es realizar todas las acciones con rectitud.
Compromiso: Es sentirse identificado con la Contralora General y as dar el
mximo esfuerzo.
La CGR tiene cuatro macro procesos:
a. Fiscalizacin Integral
b. Gobierno Corporativo
c. Gestin del Conocimiento
d. Gestin del Recurso Humano
La gestin de tecnologas de informacin apoya estos macro procesos con cuatro
procesos:
a. Infraestructura
b. Seguridad y Control
c. Suministro de Servicios
d. Insercin Tecnolgica
Sobre estos cuatro procesos se realizar una valoracin de los riesgos a los cuales
estn expuestos, y el nivel de exposicin de los mismos.
Visin de la UTI
Una Contralora General posicionada y ampliamente digitalizada, con acceso inmediato
a la informacin, con eficientes herramientas tecnolgicas de apoyo para realizar
fiscalizacin de la Hacienda Pblica; todo con el objetivo de transparentar la gestin
pblica, fomentar la participacin ciudadana, combatir la corrupcin y apoyar el buen
Gobierno.
Misin de la UTI
Somos una Unidad especializada para brindar servicios oportunos en tecnologas de
informacin y comunicacin para fortalecer la fiscalizacin superior, la transparencia,
la participacin ciudadana, y la rendicin de cuentas por medio de la gestin realizada
en la Contralora General.
Objetivos de la UTI
Los siguientes son los objetivos estratgicos de la UTI:
a. Contar con una infraestructura de Tecnologas de Informacin y
Comunicaciones (TICs) estable y adecuada a las necesidades de la
Institucin y del pas.
b. Alinear la plataforma tecnolgica hacia el logro de objetivos institucionales,
integrada a procesos y actividades, y puesta al servicio de los usuarios
internos y externos.
Portafolio de riesgos
Marco de administracin de riesgos
Es importante definir claramente el marco de trabajo que ser utilizado para la gestin
de los riesgos en la Unidad de Tecnologas de Informacin de la CGR; los objetivos son
los siguientes:
a. Contar con un marco de referencia para la gestin de los riesgos; este marco
de referencia debe ser conocido y comprendido por todos los miembros de
la Unidad.
b. Preparar a la organizacin para eventos de riesgo que pueda atentar contra
los servicios prestados por la UTI.
c. Orientar la gestin de la Unidad para tomar medidas que ayuden, dentro
de las posibilidades de la Institucin, a mantener la continuidad de las
operaciones.
d. Fortalecer la imagen institucional por medio de una operacin tecnolgica
ms estable y confiable.
La estrategia para la administracin de los riesgos est basada en los siguientes
aspectos:
Utilizar los sub procesos de COBIT por gua y referencia para la identificacin
de riesgos de gestin.
Complementar la identificacin de riesgos basndose en los procesos de la
Unidad, esto para identificar riesgos operativos.
Utilizar escalas de calificacin de los riesgos (impacto, probabilidad,
exposicin) de acuerdo con modelos internaciones.
Calificacin de la probabilidad
Para la calificar la probabilidad de los riesgos se utilizar una tabla de 5 valores:
P
5
4
3
2
1
Probabilidad
Significado
Casi seguro
Muy probable
Probable
Poco probable
Raro
I
5
4
3
2
1
Impacto
Significado
Mayor
Importante
Significativo
Regular
Menor
Severidad
Significado
4
3
2
1
Extrema
Alta
Moderada
Baja
Mapa trmico
En la siguiente tabla se presenta el modelo para el mapa trmico donde segn la
calificacin de impacto y probabilidad el riesgo es calificado por corlo en su nivel de
severidad. El corlo rojo representa severidad extrema, el color naranja severidad alta,
Impacto
el color amarillo claro severidad moderada y el color verde claro severidad baja:
Probabilidad
Categora
Descripcin
Riesgos relacionados con la ausencia o aplicacin
Gestin
Infraestructura
Seguridad
Recurso humano
recursos humanos.
Insercin Tecnolgica
Es posible que un riesgo pertenezca o est relacionado con dos o ms categoras;
por ejemplo, el incumplimiento de un procedimiento operativo puede dar lugar a un
evento de seguridad. En estos casos el riesgo ser asociado a la categora que se
considere ms relevante o donde el impacto sea mayor.
Importante
Significativo
Regular
Menor
Criterios de calificacin
Evento que impedir el logro de los objetivos institucionales.
El logro de objetivos institucionales se ve afectado de manera
importante.
Evento que representar un retraso significativo en el logro de
objetivos institucionales.
El evento afecta levemente el logro de objetivos de la UTI y
de la CGR.
Evento que afecta la gestin de la UTI sin llegar a impactar en
el logro de los objetivos.
Operacin
I
Significado
Mayor
4
3
Importante
Significativo
Criterios de calificacin
Evento que paraliza la prestacin de servicios por parte de
la unidad afectando a la institucin de manera considerable.
Evento que provoca la interrupcin parcial de servicios.
Evento que provoca interrupciones intermitentes.
Evento que provoca la interrupcin momentnea de los
servicios de la unidad, esta interrupcin es percibida por la
Regular
institucin.
Evento que provoca una disminucin en los tiempos de
Menor
Infraestructura
I
Significado
Mayor
Importante
Significativo
Regular
Menor
Criterios de calificacin
Falla severa en un componente vital de la infraestructura
tecnolgica que impide la operacin normal de la institucin.
Falla en un componente de la infraestructura tecnolgica que
afecta parcialmente la prestacin de servicios.
Falla en un componente de la infraestructura tecnolgica que
afecta de manera intermitente la prestacin de servicios.
Falla en un equipo que afecta la prestacin de servicios slo
en la UTI.
Falla en un componente que puede ser sustituido de
inmediato por mantener equipo similar en inventario. Se
afecta la operacin de la institucin por minutos.
Seguridad
I
Significado
Mayor
Criterios de calificacin
La seguridad es vulnerada y se desconocen sus efectos.
Un ente no autorizado tiene acceso a informacin confidencial.
Informacin total en la disponibilidad de informacin.
Los datos institucionales han sido alterados.
Importante
Significativo
Regular
modo consulta.
Interrupcin de 4 horas en la disponibilidad de la informacin.
Hay intentos de acceso a la informacin.
Interrupcin momentnea en la disponibilidad de la
Menor
informacin.
Un ente no autorizado tiene la oportunidad de observar datos
que se estn utilizando en la operacin de la institucin.
Significado
Criterios de calificacin
Se prescinde de un funcionario importante para el logro de
los objetivos.
Mayor
Importante
Significativo
Regular
Menor
carga de trabajo.
Evento que imposibilita a un funcionario de la UTI para
laborar durante un da hbil.
A partir de esos procesos y tomando como punto de partida los sub dominios de Cobit
se realizar la identificacin de los riesgos y el posterior anlisis. De este modo se
determinar el nivel de riesgo absoluto y controlado de cada uno de los procesos de la
Unidad. Igualmente, los mapas trmicos se presentarn por cada proceso.
El beneficio de utilizar los procesos de la UTI, como elemento central en la estructura
de riesgos, es que se facilita el anlisis y el diseo de posteriores planes de accin
ya que en cada proceso se trabajar con un sub conjunto de riesgos lo que hace el
ejercicio ms manejable.
Identificacin de riesgos
La identificacin de riesgos corresponde a la confeccin de una lista de los posibles
eventos que pueden afectar las operaciones y los servicios ofrecidos por TI a la
institucin; para facilitar la posterior evaluacin del riesgo en cuanto a su nivel de
impacto se les asocia la categora correspondiente:
Id
1
2
3
4
5
6
7
8
9
10
11
cumplen
especificaciones.
Desarrollar productos
en
basados
con
las
requerimientos
incorrectos.
Versiones de software desactualizadas.
Adquirir software sin programas fuentes.
Adquirir software que no tiene representacin en el pas.
Equipo daado no puede ser reparado.
Red inalmbrica insegura.
Dao fsico en los equipos de la plataforma tecnolgica.
Obsolescencia de la infraestructura tecnolgica.
Desarrollo de sistemas y servicios que son difciles de
utilizar para el usuario.
Categora
Gestin
Gestin
Gestin
Gestin
Gestin
Gestin
Operacin
Operacin
Operacin
Gestin
Gestin
12
13
14
15
16
17
18
19
20
21
22
23
Gestin
No existe gua de usuario para el uso del sistema.
Gestin
Retrasos en los procesos de contratacin administrativa.
Se adquiere equipo no compatible con la infraestructura
en uso.
Se adquiere equipo sin que existan talleres para la
Gestin
Gestin
Operacin
Operacin
Gestin
Operacin
Gestin
Gestin
Gestin
24
niveles de servicio.
Gestin
No existe contrato de mantenimiento
Debilidad en la administracin de servicios de terceros
25
26
27
28
29
30
31
32
33
34
Gestin
Operacin
Infraestructura
Infraestructura
Infraestructura
Seguridad
36
37
38
39
40
41
Seguridad
Seguridad
Gestin
Gestin
Gestin
42
43
44
45
46
47
48
Gestin
Operacin
Gestin
Operacin
Gestin
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
Operacin
Operacin
Operacin
Operacin
de problemas.
No se documentan las soluciones aplicadas a los problemas. Operacin
Hay dificultad para definir el mbito de accin de los
proveedores para la solucin de problemas.
Alteracin o prdida de la informacin registrada en base
Gestin
Seguridad
de datos o equipos.
Operacin
Informacin desactualizada o incorrecta.
Seguridad
Acceso no autorizado a la informacin.
Instalaciones fsicas mal diseas que pongan en peligro la
Gestin
Infraestructura
Operacin
Operacin
Operacin
Gestin
Gestin
69
70
71
72
73
Operacin
Operacin
Gestin
74
institucional.
Gestin
Se tiene Plan Estratgico desactualizado.
No contar con un modelo de informacin del negocio que
75
76
de informacin.
Gestin
Arquitectura de informacin desactualizada.
Arquitectura de informacin no responde a la cadena de
77
78
79
80
81
82
83
84
85
86
valor.
Adquisicin de tecnologas que no aportan valor a la
organizacin.
Contar con equipo costoso que no cuenta con contratos de
mantenimiento.
No aplicacin de los canales de comunicacin establecidos
Gestin
Gestin
Gestin
Gestin
RRHH
Operacin
Gestin
87
88
89
90
91
92
93
94
95
Gestin
Gestin
Gestin
de los proyectos.
Gestin
Inestabilidad en el equipo de proyecto.
Gestin
Desarrollo de proyectos no alineados al Plan Estratgico
Gestin
Los proyectos no estn documentados
No contar con un marco de referencia para la gestin
de los proyectos en cuanto a su iniciacin, planificacin,
Gestin
Gestin
proyectos.
Falta de apoyo del patrocinador del proyecto.
Gestin
Identificacin de causas
Cada uno de los riesgos identificados est asociado con una o varias causas, conocer
las causas es importante para enfocar los posteriores esfuerzos de mitigacin y
contingencia as como para calificar los controles existentes. Las causas asociadas a
cada riesgo identificado son las siguientes:
Id
de
Causas
soluciones
Desarrollar
productos
que
Especificacin
requerimientos
no
adecuada.
no analizar
de
de
concepto
al
las
especificaciones
Versiones
de
Ausencia
de
de
validacin
requerimientos
desactualizadas.
para
no
est
actualizar
capacitado
el
software.
de
Adquisicin
de
software
software
es
imprescindible
6
Equipo
daado
no
puede
reparado.
Medio
tiene
sistema
ambiente
Sabotaje
No
se
10
del
elctrico
no
apropiado
la
expertise
actualizarla
12
13
14
del sistema.
Retrasos en
17
desarrollo
de
los
procesos
contratacin administrativa.
Se adquiere equipo no compatible
con la infraestructura en uso.
talleres
para
la
reparacin
para
sistemas
elaboracin
16
compleja
el cliente
No existe gua de usuario para el uso Se
omiti
Mentalidad
Negligencia administrativa.
Elaboracin
especificaciones
incorrectas
de
compra
de
ambiente
de
passwords
produccin
han
actualizado
19
necesarias
instalacin
para
controlar
su
No
20
21
22
control
parches
autorizados
contar
con
los
recursos
disponible
Fallas de hardware y software
superan
Se
el
estimado
daan
necesarias
No
se
26
herramientas
tiene
presupuesto.
definido
por
de
contrato.
contratos
no
polticas definidas
Servidores
d
27
realizado
las
Est en trmite.
Debilidad en la administracin de No
se
han
25
sobre
No
24
tiene
proveedor
Ausencia de niveles de servicio No hay acuerdos de servicios de
de TI.
23
se
ocasionalmente
d
La
28
No
hacer
planeamiento
de
actividad
la del
capacidad.
no
plan
es
parte
de
gestin
base
al
la
crecimiento
infraestructura
Se da un crecimiento en recursos no
planificado
Procedimiento
30
incorrecto
31
para
el
proveedor
equipo
del
del
servicio
32
Fallas
en
los
equipos
comunicaciones
de Alteracin
Se
del
sistema
dao
elctrico
el
equipo
Sabotaje
Impericia
33
Fallas
en
los
servidores El
(computadores principales)
Se
humana
equipo
alter
se
la
dao
configuracin
se
de
trasladan
seguridad
a
una
cuando
Institucin
La instalacin de componentes no
es controlada en algunos casos
36
y en la asignacin de privilegios de
acceso.
Sistemas
37
38
39
40
sin
mecanismos
No
se
Los
controles
programaron
programados
son
dbiles
No
se
tiene
el
conocimiento
las
pruebas
estn
balanceadas
41
medio
de
las
soluciones
automatizadas.
La capacitacin que se brinda a los
42
43
44
45
46
47
se
partidas
presupuestaron
necesarias
definido
para
la de
un
nivel
superior
48
49
control
de
cambios
Se
50
realizan
cambios
en
la
configuracin de componentes de la
infraestructura y no se reflejan en la
documentacin.
pruebas
Urga
la
preliminares
correccin
de
la
configuracin
No se aplica el procedimiento Se brindan soluciones sin que
52
oficializado
para
la
gestin
problemas.
53
Alteracin
55
prdida
realizarlo
del
de
omisin
No
se
definieron
reglas
contractuales
claras
de
la
la Programa
con
fallas
seguridad
de
lgica
56
57
Informacin
desactualizada
o Falla
incorrecta.
Acceso
no
en
el
Webservices
autorizado
la
informacin.
entre
el
usuarios
Violacin de la seguridad
Instalaciones fsicas mal diseas que Estructura vieja no pensada para TI.
58
es
importante
administracin.
para
la
59
60
61
63
64
el
medio
ambiente
de otros
No se tiene el presupuesto necesario
generacin de respaldos.
energa
elctrica
cintas
para
inapropiado
Falta
de
los
respaldos
seguridad
de
la
por
plataforma
servicios
sin
colegiarlas
La suspensin es urgente
No existe sistema para evaluacin
del desempeo.
Modificaciones
de
preventivo
de
66
contrato
apropiado mantenimiento
para comprarlo
Fallas en los equipos que mantienen No
existe
acondicionado)
62
en
legales
el
que
desarrollo
68
69
70
No
se
tienen
directrices
polticas
no
estaban
aplicadas
para pruebas
Exceder la cantidad de usuarios El software permite exceder la cantidad
71
72
73
74
instalados
Se viol la seguridad para trasladar
medios de instalacin de software
Desconocimiento contractual
Se
modifica
la
estrategia
no
se
comunica
tiene
desactualizado.
Plan
del
negocio
que
76
77
informacin.
Arquitectura
de
desactualizada.
arquitectura
No se diseo
Arquitectura de informacin no
responde a la cadena de valor.
de
a
la
informacin
la
arquitectura
con
base
de
valor
cadena
78
no
cuenta
con
contratos
de
mantenimiento.
No aplicacin de los canales de
80
comunicacin
establecidos
para
81
82
adquirido
Se venci
se
tiene
contratar
convenios
canales de comunicacin.
la
garanta
Facilidad
presupuesto
el
de
no
para
mantenimiento
No se autoriza el gasto
Problemas
de
gestin
canales
de
herramientas en uso.
base
tecnologas
canales
bien
informales
transferencia
funcion
tecnolgica
no
Equipo
83
de
trabajo
baja
laboral
no
adecuado
un
administracin
84
con
sistema
de
la
de
calidad Falta
de
experiencia
procesos
de
la
en
la
calidad
productos
que
86
88
89
90
Ausencia
de
de
validacin
requerimientos
87
no
un
marco
de
basada
en
riesgos
necesaria.
92
Los
proyectos
contar
D e s c o n o c i m i e n t o
del
no
estn
documentados
No
Estratgico.
Es obligatorio desarrollarlo.
El personal omite la documentacin
La
documentacin
existente
es
omisa
con
un
marco
de
ejecucin,
95
Planificacin
no
adecuada
Evaluacin de riesgos
Evaluacin de riesgos absolutos
La primera evaluacin corresponde a los riesgos absolutos, es decir, valorar el nivel de
severidad de cada riesgo sin tomar en cuenta el efecto de los controles que se aplican
actualmente.
Como fue definido anteriormente, la calificacin se realiza utilizando dos criterios
primarios que son la probabilidad (P) y el impacto (I) de cada riesgo, de esto valores
13
14
15
16
17
18
19
20
21
Riesgo
Adquisicin de soluciones automatizadas que no satisfagan
las necesidades de la institucin.
Desarrollar productos que no
cumplen
con
las
especificaciones.
Desarrollar productos basados en requerimientos incorrectos.
Versiones de software desactualizadas.
Adquirir software sin programas fuentes.
Adquirir software que no tiene representacin en el pas.
Equipo daado no puede ser reparado.
Red inalmbrica insegura.
Dao fsico en los equipos de la plataforma tecnolgica.
Obsolescencia de la infraestructura tecnolgica.
Desarrollo de sistemas y servicios que son difciles de utilizar
para el usuario.
No existe gua de usuario para el uso del sistema.
Retrasos en los procesos de contratacin administrativa.
Se adquiere equipo no compatible con la infraestructura en
uso.
Se adquiere equipo sin que existan talleres para la reparacin
y mantenimiento de los mismos.
Trabajar directamente en equipos de produccin.
Versiones de software para desarrollo y produccin diferentes.
No contar con la metodologa y procedimientos necesarios
para la administracin de los cambios.
Libertad en el uso de componentes tecnolgicos (software
libre).
Instalacin de parches sin seguir las recomendaciones del
proveedor.
Ausencia de niveles de servicio aceptados que faciliten la
gestin.
2
3
1
1
3
5
3
3
4
4
4
4
3
5
4
4
8
12
4
4
9
25
12
12
12
3
4
4
4
12
16
12
22
23
12
24
niveles de servicio.
No existe contrato de mantenimiento
Debilidad en la administracin de servicios de terceros
25
26
27
28
3
3
3
3
3
3
9
9
9
12
29
30
31
32
33
34
35
36
37
38
39
40
41
2
3
4
4
8
12
10
2
4
5
3
10
12
12
12
las aplicaciones.
Errores en la creacin de usuarios y en la asignacin de
privilegios de acceso.
Sistemas sin mecanismos de trazabilidad de transacciones
(pistas de auditora).
No se conocen los costos asignados a los servicios prestados
por TI.
No se cuenta con un proceso de anlisis para mejorar los
costos que estn asociados a los servicios de TI.
El personal no cuenta con el tiempo suficiente para recibir,
de manera completa, la capacitacin correspondiente.
El personal no cuenta con las actitudes y aptitudes requeridas
para hacer uso de la informacin por medio de las soluciones
automatizadas.
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
12
12
12
20
3
3
4
5
12
15
60
61
62
63
64
65
66
67
15
12
12
69
70
terceros.
No contar con la documentacin de los procesos de TI.
Uso de software no licenciado
Exceder la cantidad de usuarios autorizados para utilizar un
2
2
3
3
6
6
producto licenciado.
Facilitar los medios para la instalacin de software a terceros.
Contar con un plan estratgico no alineado a la estrategia
16
74
institucional.
Se tiene Plan Estratgico desactualizado.
No contar con un modelo de informacin del negocio que
16
75
76
de informacin.
Arquitectura de informacin desactualizada.
Arquitectura de informacin no responde a la cadena de
12
71
72
73
77
78
valor.
Adquisicin de tecnologas que no aportan valor a la
organizacin.
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
2
3
2
4
4
12
12
16
16
16
10
2
4
3
3
6
12
16
16
12
16
32, 33
31,
Impacto
61
49,
50, 51
14
7, 27
10
2
1
1
Probabilidad
Seguridad y control
5
Impacto
5, 6,
57
53
30, 35, 55
4, 9, 18, 36,
37, 56, 62
15, 34
1
1
Probabilidad
Suministro de servicios
5
Impacto
4
3
2
45
29, 82, 83
43, 46
38, 44, 64
92, 93
94
42
1
1
Probabilidad
Impacto
89
2, 3,
67, 76
1, 13, 25,
3
2
73, 74,95
91,
81
1
1
Probabilidad
Identificacin de controles
Id
de
Controles
Se realiza un diagnstico sobre
soluciones las
necesidades
factibilidad
adquirir
la
solucin.
Desarrollar
productos
que
no basadas
en
casos
de
uso.
Utilizar
3
casos
de
los
uso
para
requerimientos.
Versiones
de
software
desactualizadas.
se
planifican
estableci
que
todos
la
los
directriz
equipos
para
estn
para
acceso
la
restringir
red
el
inalmbrica.
cuenta
con
sensores
de
temperatura y humedad.
Plan de renovacin y fortalecimiento
10
12
13
14
los
productos
constante
de
desarrollados.
Retrasos
anticipacin.
Supervisin
en
los
procesos
contratacin administrativa.
de
talleres
para
la
reparacin
Se
16
17
Versiones
de
cuenta
servidor
de
desarrollo.
software
para
programas.
Aplicacin del procedimiento para
la puesta en produccin de los
programas nuevos y modificados.
Se
han
definido
y
funciones.
19
un
con
uso
institucionales
de
estndar
de
sobre
software
autorizado
para
institucin.
la
los
proveedores.
21
23
contar
los
actual.
recursos Se cuenta con equipo renovado
estabilidad.
Desarrollo peridico del Diagnstico de
Necesidades de Capacitacin (DNC).
24
del
programa
de
Debilidad en la administracin de
25
26
disponible presupuestario).
En el rea de infraestructura se
realiza un seguimiento peridico
de
los
contratos
el
cumplimiento
de
validar
derechos
27
para
cargas
de
trabajo.
Antes
de
liberar
un
nuevo
las
requeridas
28
capacidades
y
disponibles.
las
proyecciones
de
nuevos
30
Institucional.
Se planifica
tecnologa
la
adquisicin
de
para
mantener
la
capacidad de procesamiento de
informacin.
Revisin de los respaldos generados.
31
32
Fallas
en
los
equipos
comunicaciones
de
mantenimiento.
33
Fallas
en
los
(computadores principales)
Aplicacin
polticas
34
de
de
seguridad
por
medio
de
Active
Directory.
Perfiles
de
usuarios
limitados
software
para
automtica
instalar
modificaciones
en
el
hacer
equipo.
y en la asignacin de privilegios de
acceso.
Sistemas
37
trazabilidad
parte
del
desarrollo
de
mecanismos
de
y una descripcin.
de Se ha definido la utilizacin de pistas
(pistas de auditora).
38
este sentido.
No se cuenta con un proceso de Se debe mejorar el registro de costos
39
anlisis para mejorar los costos que asociados a cada servicio para
estn asociados a los servicios de contar con informacin precisa en
TI.
este sentido.
41
42
preparan
Se
seleccionan
tutores
los
virtuales.
instructores
oportuna
efectiva
para
las
automatizar
la
presentacin
de
seguimiento
correspondiente.
No se cuenta o no se aplica el
47
49
nuevos
productos.
46
los
con
gestionar
personal
las
de
instrucciones
procedimiento.
un
un
funcionario
la
claras
Se
software
solicitudes.
USTI
sobre
cuenta
responsable
tiene
el
con
del
seguimiento.
Se aplican encuestas a los usuarios
para conocer su nivel de satisfaccin
y sus recomendaciones para mejorar
el servicio prestado.
Documentacin
de
los
operativos.
realizan
cambios
en
la
configuracin de componentes de
la infraestructura y no se reflejan en
la documentacin.
correspondiente.
Se tiene documentada la relacin de
componentes de TI necesarios para
la implementacin y funcionamiento
52
53
54
problemas.
Se est elaborando el documento
para la documentacin, el proveedor
si lo realiza por obligacin contractual
Se especifica claramente, en los
carteles de los procedimientos, las
responsabilidades de los proveedores
y los servicios requeridos.
Peridicamente
revisan
Alteracin
55
prdida
de
la
los
se
respaldos.
Se
revisa
del
56
Informacin
desactualizada
incorrecta.
Se
de
la
la
cdigo
cre
la
generado.
una
CGR
gestin
de
calidad
dependencia
especializada
la
en
informacin.
Acceso
no
autorizado
la
informacin.
Se
ha
esquema
implementado
automtico
para
un
que
59
60
61
Definicin
de
62
de
contingencia
generacin
El
procedimiento
para
de
personal
la
respaldos.
responsable
debe
63
con
herramienta
monitorear
cuenta
la
red.
con
software
los
servidores
para
de
de
configuracin
de
servicios.
procedimientos
cambios
y
Se
en
la
suspensin
han
definido
instruido
al
la
definicin
personal.
No
65
para
contar
revisar
con
un
proceso
peridicamente
el
Est
pendiente
institucin,
por
medio
de
68
69
procedimientos.
70
de
usuario
tienen
autorizados
para
utilizar
un
producto licenciado.
72
Facilitar
los
medios
para
la
Directory).
Se ha instruido, sobre el tema, al
personal de Servicio al Cliente que
tiene a cargo la gestin de medios.
se
participacin
de
todas
realizan
de
con
la
representantes
las
Divisiones.
74
Se
tiene
Plan
se
revisa
desactualizado.
estratgica institucional.
No contar con un modelo de El modelo de informacin est
informacin
75
del
negocio
76
77
78
Arquitectura
los informes.
Se design un funcionario para
de
informacin
desactualizada.
Arquitectura de informacin no
responde a la cadena de valor.
Adquisicin de tecnologas que no
aportan valor a la organizacin.
no
cuenta
con
contratos
de
mantenimiento.
81
82
tiene
un
renovacin
plan
de
de
equipo.
Se
la operativa de TI.
No se tienen documentados los Est pendiente de documentarse los
canales de comunicacin.
canales formales.
Desarrollo peridico del Diagnstico de
del
programa
de
Equipo
83
de
trabajo
con
baja
de
clima
laboral
por
Comunicacin
sobre
y
los
planes
compromisos
ao.
constante
de
de
trabajo
gestin.
con
un
administracin
84
deficiente
y
sistema
de
en
aplicacin
la
la
de
de
calidad
definicin
procesos
Desarrollar
85
productos
realizan
cumplimiento
no
de
alcance.
actualizadas
de
los
productos de software.
Aplicacin
de
estndares
procedimientos
Capacitacin
de
del
Anualmente
calidad.
personal
tcnicas de calidad.
Se
cuenta
con
contra
86
de
que
revisiones
un
en
plan
contingencias.
se
realiza
un
Utilizar
87
un
deficiente
marco
para
de
la
trabajo
gestin
de
89
contar
con
el
contenido
SEVRI.
Exposicin de la importancia de
los
proyectos
en
la
Asamblea
del
dentro
proyecto
del
equipo.
Desarrollo de talleres
Planificacin
de
91
92
Los
proyectos
no
estn
documentados
ejecucin,
control
94
proyectos
que
cumplen
metodologa
Validar
93
proyectos
los
con
la
correspondiente.
el
cumplimiento
de
estndares.
Se cuenta con una metodologa
oficializada
de
para
proyectos
de
la
gestin
la
aplicacin
cual
es
obligatoria.
proyectos
Reasignacin
Fortalecer
los
de
(por
semana).
de
recursos.
ejercicios
de
planificacin.
Establecimiento
95
compromisos
Vinculacin
de
de
de
gestin.
Planes
Anuales
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
Riesgo
Adquisicin de soluciones automatizadas que no satisfagan
las necesidades de la institucin.
Desarrollar productos que no
cumplen
con
las
especificaciones.
Desarrollar productos basados en requerimientos incorrectos.
Versiones de software desactualizadas.
Adquirir software sin programas fuentes.
Adquirir software que no tiene representacin en el pas.
Equipo daado no puede ser reparado.
Red inalmbrica insegura.
Dao fsico en los equipos de la plataforma tecnolgica.
Obsolescencia de la infraestructura tecnolgica.
Desarrollo de sistemas y servicios que son difciles de utilizar
para el usuario.
No existe gua de usuario para el uso del sistema.
Retrasos en los procesos de contratacin administrativa.
Se adquiere equipo no compatible con la infraestructura en
uso.
Se adquiere equipo sin que existan talleres para la reparacin
y mantenimiento de los mismos.
Trabajar directamente en equipos de produccin.
Versiones de software para desarrollo y produccin diferentes.
No contar con la metodologa y procedimientos necesarios
para la administracin de los cambios.
Libertad en el uso de componentes tecnolgicos (software
libre).
Instalacin de parches sin seguir las recomendaciones del
proveedor.
Ausencia de niveles de servicio aceptados que faciliten la
gestin.
Definicin de niveles de servicio que sobrepasan la capacidad
instalada de TI.
1
2
4
4
4
4
8
4
3
3
4
3
3
6
4
6
2
3
4
6
4
4
4
4
1
1
1
2
23
24
niveles de servicio.
No existe contrato de mantenimiento
Debilidad en la administracin de servicios de terceros
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
las aplicaciones.
Errores en la creacin de usuarios y en la asignacin de
privilegios de acceso.
Sistemas sin mecanismos de trazabilidad de transacciones
(pistas de auditora).
No se conocen los costos asignados a los servicios prestados
por TI.
No se cuenta con un proceso de anlisis para mejorar los
costos que estn asociados a los servicios de TI.
El personal no cuenta con el tiempo suficiente para recibir,
de manera completa, la capacitacin correspondiente.
El personal no cuenta con las actitudes y aptitudes requeridas
para hacer uso de la informacin por medio de las soluciones
automatizadas.
1
2
3
3
3
6
1
2
2
1
4
4
3
3
3
4
8
6
6
3
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
20
4
5
4
5
60
61
62
63
64
65
66
67
12
1
1
3
3
3
3
69
70
terceros.
No contar con la documentacin de los procesos de TI.
Uso de software no licenciado
Exceder la cantidad de usuarios autorizados para utilizar un
71
72
73
producto licenciado.
Facilitar los medios para la instalacin de software a terceros.
Contar con un plan estratgico no alineado a la estrategia
74
institucional.
Se tiene Plan Estratgico desactualizado.
No contar con un modelo de informacin del negocio que
75
76
de informacin.
Arquitectura de informacin desactualizada.
Arquitectura de informacin no responde a la cadena de
77
78
valor.
Adquisicin de tecnologas que no aportan valor a la
organizacin.
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
2
2
2
4
4
8
10
1
1
2
3
3
4
3
3
8
Impacto
5
4
24, 49
31, 50, 51
7, 14, 27
10, 32, 33
61
2
1
Probabilidad
Seguridad y control
5
57
53
5, 6, 9, 16,
Impacto
4, 18, 86,
87
84
3
8, 35, 59,
54, 58, 70
88
52, 60
37
1
1
Probabilidad
Suministro de servicios
5
Impacto
29, 45, 83
82, 92, 93
44, 46
94
42
12, 64
38
1
3
Probabilidad
Insercin tecnolgica
5
Impacto
76, 89
2, 3, 73, 74
95
1, 22, 66,
90, 91
85
80
81
67
39, 65
1
3
Probabilidad
Severidad
Extrema
Alta
Moderada
Baja
Total de riesgos
Seguridad y control Extrema
Alta
Moderada
Baja
Total de riesgos
Suministro
de Extrema
Alta
servicios
Moderada
Baja
Total de riesgos
I n s e r c i n Extrema
Alta
tecnolgica
Moderada
Baja
Total de riesgos
R. Absolutos
R. Controlados
1
10
1
0
12
7
22
8
0
37
2
11
0
4
5
3
12
1
6
19
11
37
0
4
0
19
3
15
9
0
27
6
19
0
6
12
9
27
Riesgos de infraestructura
Riesgos absolutos
Riesgos controlados
Severidad
Extrema
Alta
Moderada
Baja
Riesgos absolutos
8%
84%
8%
0%
Riesgos controlados
0%
33%
42%
25%
Despus de valorar los controles, desde el punto de vista del proceso de infraestructura,
se tienen 4 riesgos que deben ser gestionados, stos representan el 33% de los riesgos
identificados y relacionados con este proceso.
Riesgos controlados
Severidad
Extrema
Alta
Moderada
Baja
Riesgos absolutos
19%
59%
22%
0%
Riesgos controlados
3%
16%
51%
30%
Riesgos controlados
Severidad
Extrema
Alta
Moderada
Baja
Riesgos absolutos
11%
57%
32%
0%
Riesgos controlados
0%
21%
47%
32%
Riesgos controlados
Severidad
Extrema
Alta
Moderada
Baja
Riesgos absolutos
11%
56%
33%
0%
Riesgos controlados
0%
22%
45%
33%
Riesgos absolutos
Riesgos controlados
10.9
10.6
9.3
5.7
5.2
5.0
8.9
9.9
5.4
5.3
Se puede notar fcilmente que la calificacin de los procesos es muy similar, a nivel
de riesgos absolutos los procesos de infraestructura as como de seguridad y control
son los que tienen las calificaciones ms altas a nivel de severidad promedio de sus
riesgos. En vista de que para los cuatro procesos de TI la calificacin est entre 8 y
12 les corresponde un nivel promedio de severidad de alta (representada en color
anaranjado). En cuanto a los riesgos controlados tambin la calificacin es muy
similar para todos los procesos, en este caso son los procesos de infraestructura e
insercin tecnolgica los que tienen las calificaciones mayores. Todos los procesos
tienen calificaciones que estn entre 4 y 6 por lo cual se ubican en nivel moderado
como promedio de severidad de sus riesgos que se representan en color amarillo.
Segn ests calificaciones la situacin de los procesos es muy similar tanto a nivel
de riesgos absolutos como de riesgos controlados; esto quiere decir que los controles
estn orientados a gestionar los riesgos de manera equitativa.
Riesgos prioritarios
Despus de realizar el anlisis de riesgos y determinar su nivel de severidad tanto en la
calificacin de riesgos absolutos como de riesgos controlados se ha determinado que
los siguientes riesgos son de prioritaria atencin:
Id
4
18
31
38
39
Versiones
de
Proceso de TI relacionado
software
desactualizadas.
No contar con la metodologa y
Seguridad y control
50
configuracin de componentes de la
infraestructura y no se reflejan en la
Infraestructura
documentacin.
No se conoce el impacto de hacer
51
52
53
60
oficializado
para
la
gestin
de Seguridad y control
problemas.
No se documentan las soluciones
aplicadas a los problemas.
Ausencia de detectores de humo.
Seguridad y control
Seguridad y control
el
medio
ambiente
apropiado
Infraestructura
acondicionado)
No contar con un proceso para revisar
65
67
Insercin tecnolgica
76
82
86
87
de TI.
Arquitectura
92
informacin
desactualizada.
No se tiene dominio sobre las
Insercin tecnolgica
Suministro de servicios
herramientas en uso.
No administrar los riesgos de TI.
Seguridad y control
Utilizar un marco de trabajo
deficiente para la gestin de riesgos,
y no alineado con el apetito del riesgo
institucional.
No contar
89
de
con
el
Seguridad y control
contenido
no
estn
Suministro de servicios
No
contar
con
un
marco
de
ejecucin,
control
Suministro de servicios
Insercin tecnolgica
Planes de tratamiento
A continuacin se indican los planes de accin para cada uno de los riesgos cuya
evaluacin de severidad, a nivel de riesgos controlados, fue de extrema o alta:
Id
Planes de accin
presupuestaron las partidas
Versiones
de
desactualizadas.
sobre
tecnologas
de
31
Suspensin
Internet
de
servicio
No
se
conocen
los
38
asignados
39
50
los
configuracin de componentes la
53
60
de
actualizar
la
51
obligacin
realizarlos
para
proyectar
el
en
los
equipos
que
No
65
contar
con
un
ambiente.
proceso A partir del 2008 se aplicar un
67
mejora
en
los
importantes de TI.
Se tiene programada la revisin de
76
82
86
Arquitectura
de
desactualizada.
capacitacin
una
evaluacin
de
riesgos.
Ajustar la cartera de proyectos al
92
Los
proyectos
no
estn
documentados
peridicas
los
proyectos
su
iniciacin,
en
cuanto
95
Falta de apoyo del patrocinador del asegurar los recursos a los proyectos
proyecto.
39
50
51
52
53
60
61
65
67
76
82
86
87
Riesgo
Versiones de software desactualizadas.
No contar con la metodologa y procedimientos necesarios
para la administracin de los cambios.
Suspensin de servicio de Internet
No se conocen los costos asignados a los servicios prestados
por TI.
No se cuenta con un proceso de anlisis para mejorar los
costos que estn asociados a los servicios de TI.
Se realizan cambios en la configuracin de componentes de
la infraestructura y no se reflejan en la documentacin.
No se conoce el impacto de hacer cambios en los
componentes de la configuracin.
No se aplica el procedimiento oficializado para la gestin de
problemas.
No se documentan las soluciones aplicadas a los problemas.
Ausencia de detectores de humo.
Fallas en los equipos que mantienen el medio ambiente
apropiado para la operacin de TI (UPS, Aire acondicionado)
No contar con un proceso para revisar peridicamente el
desempeo actual y la capacidad de los recursos de TI.
Utilizacin de indicadores sobre el desempeo de TI que
no son relevantes y que no colaboran en la identificacin de
oportunidades de mejora en los procesos importantes de TI.
Arquitectura de informacin desactualizada.
No se tiene dominio sobre las herramientas en uso.
No administrar los riesgos de TI.
Utilizar un marco de trabajo deficiente para la gestin de
riesgos, y no alineado con el apetito del riesgo institucional.
89
92
93
95
Riesgo
Absoluto
Controlado
Tratado
12
18
procedimientos
la
12
31
12
12
12
38
39
necesarios
para
50
51
52
de componentes de la infraestructura y
no se reflejan en la documentacin.
No se conoce el impacto de hacer cambios
en los componentes de la configuracin.
No se aplica el procedimiento oficializado
para la gestin de problemas.
53
No
se
documentan
las
soluciones
60
61
20
20
15
12
12
12
12
16
16
10
10
16
16
16
67
76
82
importantes de TI.
Arquitectura
de
informacin
desactualizada.
No se tiene dominio sobre las herramientas
86
en uso.
No administrar los riesgos de TI.
Utilizar un marco de trabajo deficiente
87
89
92
93
95
referencia deficientemente.
Falta de apoyo del patrocinador del
proyecto.
Recomendaciones
Con base en el anlisis de Administracin Basada en Riesgos, llevado a cabo en la
Unidad de Tecnologas de Informacin, se derivan una serie de recomendaciones que
se incorporan a continuacin en el presente documento.
a. Mantener un mapa trmico actualizado con los riesgos controlados que
estn identificados con una severidad alta o extrema.
b. Desarrollar una reunin cada primer lunes de mes, para que la jefatura de
la UTI evale con los coordinadores de rea los planes de tratamiento que
se estn aplicando a los riesgos del mapa trmico identificados como alto
o extremo, con el objetivo de actualizarlos si se considera que es factible
mejorarlos para mitigar el riesgo.
c. Fortalecer la administracin basada en riesgos en los niveles de coordinacin,
mediante capacitacin peridica y con base en los anlisis que se realicen
en las reuniones los das lunes primero de mes.
d. Centralizar la actualizacin preliminar de los riesgos identificados,
controlados, y planes de tratamiento, en un asistente de la jefatura de UTI
que se encargar de preparar el material de la reunin de los lunes, y de
alertar a la jefatura inmediatamente, en caso de que se detecte un nuevo
riesgo que clasifique como alto o severo.
e. Preparar al asistente de la jefatura para que procese los nuevos riesgos con
fines de clasificarlos, para alertar a la jefatura en caso de riesgos extremos
o altos.
f. Cada coordinador de rea debe administrar con base a los riesgos detectados,
reportando al asistente los nuevos riesgos detectados, mitigados, o nuevos
controles que han sido aplicados, a fin de mantener la administracin de
riesgos actualizada; sin importar para este caso el nivel de riesgo; todos
deben ser reportados para procesarlos.
g. Adquisicin de un software institucional que facilite la administracin
basada en riesgos.