Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Evaluación de Riesgos en
Tecnologías de Información
88 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Normas Técnicas en Tecnologías de Información y Comunicaciones / 89
Introducción
Se tiene una red de área local, con sistemas tolerantes a fallas y con capacidad
para enlazar a los funcionarios con sistemas de información automatizados, correo
electrónico, intranet e Internet. Ahora bien, en vista de la importancia que reviste la
conectividad y las nuevas tendencias móviles de la comunicación tecnológica, resulta
90 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Finalmente, se cuenta con varios sistemas de información que soportan tanto las
tareas sustantivas como las de apoyo al nivel institucional; considerándose algunos
como muy críticos.
Contexto estratégico
Otro aspecto que es de importancia para la CGR es la imagen que se pueda reflejar
a la ciudadanía, con el objetivo de mantener y mejorar la confianza que se tiene en la
institución como garante de la Hacienda Pública.
Para dar cumplimiento al propósito de fortalecer el buen gobierno, todos los funcionarios
deben tener presentes aspectos importantes de nuestra gestión, como los siguientes:
Visión de la CGR
Misión de la CGR
Valores
Los siguientes elementos constituyen la guía de actuación que debe inspirar la gestión
y rectitud de los actos de los funcionarios de la Contraloría General de la República, a
efecto de implementar la visión y misión institucionales:
• Justicia: Dar a los demás lo que les corresponde de acuerdo con sus
derechos y deberes.
• Integridad: Es realizar todas las acciones con rectitud.
• Compromiso: Es sentirse identificado con la Contraloría General y así dar el
máximo esfuerzo.
a. Fiscalización Integral
b. Gobierno Corporativo
c. Gestión del Conocimiento
d. Gestión del Recurso Humano
a. Infraestructura
b. Seguridad y Control
c. Suministro de Servicios
d. Inserción Tecnológica
Sobre estos cuatro procesos se realizará una valoración de los riesgos a los cuales
están expuestos, y el nivel de exposición de los mismos.
Visión de la UTI
Misión de la UTI
Objetivos de la UTI
En los anexos 1 y 2 se presentan los riesgos relacionados con los objetivos del Plan
Estratégico Institucional 2008-2012 y con los objetivos del Plan Táctico Institucional
2009-2011; riesgos que constituyen el fundamento para la valoración de riesgos a nivel
operativo, y que estarán siendo aplicados y revisados en el contexto de la ejecución y
seguimiento del PAO 2009 y de la formulación detallada del PAO 2010.
98 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Portafolio de riesgos
Es importante definir claramente el marco de trabajo que será utilizado para la gestión
de los riesgos en la Unidad de Tecnologías de Información de la CGR; los objetivos son
los siguientes:
a. Contar con un marco de referencia para la gestión de los riesgos; este marco
de referencia debe ser conocido y comprendido por todos los miembros de
la Unidad.
b. Preparar a la organización para eventos de riesgo que pueda atentar contra
los servicios prestados por la UTI.
c. Orientar la gestión de la Unidad para tomar medidas que ayuden, dentro
de las posibilidades de la Institución, a mantener la continuidad de las
operaciones.
d. Fortalecer la imagen institucional por medio de una operación tecnológica
más estable y confiable.
• Utilizar los sub procesos de COBIT por guía y referencia para la identificación
de riesgos de gestión.
• Complementar la identificación de riesgos basándose en los procesos de la
Unidad, esto para identificar riesgos operativos.
• Utilizar escalas de calificación de los riesgos (impacto, probabilidad,
exposición) de acuerdo con modelos internaciones.
100 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Para clasificar los riesgos se utilizarán 5 categorías asociadas con el origen del riesgo.
Se utilizarán criterios de referencia específicos para cada categoría con el propósito de
de facilitar la evaluación de impacto para cada riesgo.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 101
Calificación de la probabilidad
Probabilidad
P Significado
5 Casi seguro
4 Muy probable
3 Probable
2 Poco probable
1 Raro
Para calificar el impacto se utilizará una tabla general de referencia con 5 valores;
adicionalmente se utilizarán tablas específicas donde se describirán los criterios para
asignar la calificación de impacto según la categoría de cada riesgo:
Impacto
I Significado
5 Mayor
4 Importante
3 Significativo
2 Regular
1 Menor
Para medir la severidad del riesgo se utilizarán 4 valores que se determina según la
calificación del impacto y la probabilidad, es decir el nivel de exposición:
102 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Severidad
S Significado
4 Extrema
3 Alta
2 Moderada
1 Baja
Mapa térmico
5 M A E E E
4 M A A E E
Impacto
3 B M A A E
2 B M M A A
1 B B B M M
1 2 3 4 5
Probabilidad
Categoría Descripción
Riesgos relacionados con la ausencia o aplicación
Gestión incorrecta de métodos de gestión de las tecnologías de
información y comunicaciones.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 103
Inserción Tecnológica
Es posible que un riesgo pertenezca o está relacionado con dos o más categorías;
por ejemplo, el incumplimiento de un procedimiento operativo puede dar lugar a un
evento de seguridad. En estos casos el riesgo será asociado a la categoría que se
considere más relevante o donde el impacto sea mayor.
Gestión
I Significado Criterios de calificación
5 Mayor Evento que impedirá el logro de los objetivos institucionales.
El logro de objetivos institucionales se ve afectado de manera
4 Importante
importante.
Evento que representará un retraso significativo en el logro de
3 Significativo
objetivos institucionales.
El evento afecta levemente el logro de objetivos de la UTI y
2 Regular
de la CGR.
Evento que afecta la gestión de la UTI sin llegar a impactar en
1 Menor
el logro de los objetivos.
104 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Operación
I Significado Criterios de calificación
Evento que paraliza la prestación de servicios por parte de
5 Mayor
la unidad afectando a la institución de manera considerable.
4 Importante Evento que provoca la interrupción parcial de servicios.
3 Significativo Evento que provoca interrupciones intermitentes.
Evento que provoca la interrupción momentánea de los
servicios de la unidad, esta interrupción es percibida por la
2 Regular institución.
Evento que provoca una disminución en los tiempos de
respuesta que experimentan los usuarios.
1 Menor Evento que afecta sólo las operaciones de la UTI.
Infraestructura
I Significado Criterios de calificación
Falla severa en un componente vital de la infraestructura
5 Mayor
tecnológica que impide la operación normal de la institución.
Falla en un componente de la infraestructura tecnológica que
4 Importante
afecta parcialmente la prestación de servicios.
Falla en un componente de la infraestructura tecnológica que
3 Significativo
afecta de manera intermitente la prestación de servicios.
Falla en un equipo que afecta la prestación de servicios sólo
2 Regular
en la UTI.
Falla en un componente que puede ser sustituido de
1 Menor inmediato por mantener equipo similar en inventario. Se
afecta la operación de la institución por minutos.
Seguridad
I Significado Criterios de calificación
La seguridad es vulnerada y se desconocen sus efectos.
Un ente no autorizado tiene acceso a información confidencial.
5 Mayor
Información total en la disponibilidad de información.
Los datos institucionales han sido alterados.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 105
Se aceptarán aquellos riesgos cuya severidad, la cual se obtiene del impacto del riesgo
y su probabilidad, esté calificada como Baja y Moderada; estos valores se representan
en el mapa término con los colores verde claro y amarillo claro respectivamente.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 107
Como se indicó anteriormente, la UTI apoya los macro procesos institucionales por
medio de cuatro procesos; éstos son los siguientes:
Infraestructura
El proceso de infraestructura se refiere al soporte tecnológico brindado por medio
de la red de comunicaciones interna, conexiones inalámbricas, acceso vía Internet a
la CGR, a las unidades para almacenamiento de datos en red, a los servidores, a la
plataforma de usuario final, al software en uso debidamente autorizado y soportado
por la CGR, a la solución telefónica en uso, y a todos los componentes necesarios para
mantener el ambiente necesario para su operación.
Seguridad y Control
En este proceso estamos hablando de las cámaras de vídeo, acceso al Centro
de Cómputo y a la UTI en general, software y hardware necesario para fortalecer
la seguridad y el control, monitoreo en general, administración de componentes o
funcionalidades.
Suministro de Servicios
El suministro de servicios abarca acuerdos de atención de usuarios, niveles de
disponibilidad de la plataforma, atención de averías, desarrollo y evolución de sistemas,
operación de equipos, continuidad de los servicios, mantenimiento y reparación de
equipos, conexiones de red, y evacuación de dudas.
Inserción Tecnológica
Se pretende con este proceso que todos los funcionarios utilicen la tecnología con
mucho entusiasmo, que le saquen todo el provecho posible, que producto de su
uso hagan aportes que faciliten el mejoramiento continuo de la plataforma, y que las
inversiones en TI permitan una mejor gestión y fiscalización.
108 / Normas Técnicas en Tecnologías de Información y Comunicaciones
A partir de esos procesos y tomando como punto de partida los sub dominios de Cobit
se realizará la identificación de los riesgos y el posterior análisis. De este modo se
determinará el nivel de riesgo absoluto y controlado de cada uno de los procesos de la
Unidad. Igualmente, los mapas térmicos se presentarán por cada proceso.
Identificación de riesgos
Identificación de causas
Cada uno de los riesgos identificados está asociado con una o varias causas, conocer
las causas es importante para enfocar los posteriores esfuerzos de mitigación y
contingencia así como para calificar los controles existentes. Las causas asociadas a
cada riesgo identificado son las siguientes:
Ausencia de validación
Desarrollar productos basados en
3 de requerimientos
requerimientos incorrectos.
Patrocinador sin compromiso
No hay contrato de mantenimiento.
Versiones de software Personal no está capacitado
4
desactualizadas. para actualizar el software.
No está planificada la actualización.
Mala gestión en la
Adquirir software sin programas adquisición de software
5
fuentes. Adquisición de software es
imprescindible
Adquirir software que no tiene
6 No se tiene otra opción
representación en el país.
No hay contrato de mantenimiento.
Equipo dañado no puede ser No se tienen repuestos en el país.
7
reparado. No hay repuestos para ese equipo.
No hay presupuesto para reparación.
La red es vulnerable
8 Red inalámbrica insegura. No se tiene la capacidad para
configurar adecuadamente la red
Impericia humana
Daño físico en los equipos de la Alteración del sistema eléctrico
9
plataforma tecnológica. Medio ambiente no apropiado
Sabotaje
No se tiene la expertise
Obsolescencia de la infraestructura para actualizarla
10
tecnológica. Que no se renueven los contratos de
mantenimiento
Normas Técnicas en Tecnologías de Información y Comunicaciones / 115
La actividad no es parte
No hacer planeamiento de la del plan de gestión
28
capacidad. No se tiene la capacidad para
realizarlo
No se planificaron las compras
Los recursos de la infraestructura con base al crecimiento
29 tecnológica no son suficientes para de la infraestructura
atender las demandas de servicios. Se da un crecimiento en recursos no
planificado
Procedimiento para
Recuperación de software no es recuperación incorrecto
30
factible No se cuenta con el recurso para
recuperarlo
Fallas en el equipo del
proveedor del servicio
31 Suspensión de servicio de Internet
Se daño un componente interno
Deficiencias en la administración
Impericia humana
Fallas en los equipos de Alteración del sistema eléctrico
32
comunicaciones Se daño el equipo
Sabotaje
Impericia humana
Fallas en los servidores El equipo se daño
33
(computadores principales) Se alteró la configuración
Alteración del sistema eléctrico
Se libera el equipo de algunas
políticas de seguridad cuando
34 Equipo de usuario final inseguro. se trasladan a una Institución
La instalación de componentes no
es controlada en algunos casos
118 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Evaluación de riesgos
Id Riesgo P I S
Adquisición de soluciones automatizadas que no satisfagan
1 3 3 9
las necesidades de la institución.
Desarrollar productos que no cumplen con las
2 2 4 8
especificaciones.
3 Desarrollar productos basados en requerimientos incorrectos. 2 4 8
4 Versiones de software desactualizadas. 3 4 12
5 Adquirir software sin programas fuentes. 1 4 4
6 Adquirir software que no tiene representación en el país. 1 4 4
7 Equipo dañado no puede ser reparado. 3 3 9
8 Red inalámbrica insegura. 5 5 25
9 Daño físico en los equipos de la plataforma tecnológica. 3 4 12
10 Obsolescencia de la infraestructura tecnológica. 3 4 12
Desarrollo de sistemas y servicios que son difíciles de utilizar
11 3 3 9
para el usuario.
12 No existe guía de usuario para el uso del sistema. 3 3 9
13 Retrasos en los procesos de contratación administrativa. 3 3 9
Se adquiere equipo no compatible con la infraestructura en
14 2 3 6
uso.
Se adquiere equipo sin que existan talleres para la reparación
15 4 3 12
y mantenimiento de los mismos.
16 Trabajar directamente en equipos de producción. 3 4 12
17 Versiones de software para desarrollo y producción diferentes. 4 4 16
No contar con la metodología y procedimientos necesarios
18 3 4 12
para la administración de los cambios.
Libertad en el uso de componentes tecnológicos (software
19 3 3 9
libre).
Instalación de parches sin seguir las recomendaciones del
20 3 3 9
proveedor.
Ausencia de niveles de servicio aceptados que faciliten la
21 3 3 9
gestión.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 127
Infraestructura
5 32, 33 61
31, 49,
4
50, 51
Impacto
3 14 7, 27 10
1 2 3 4 5
Probabilidad
132 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Seguridad y control
5 57 53 8
1 2 3 4 5
Probabilidad
Suministro de servicios
2 42
1 2 3 4 5
Probabilidad
Normas Técnicas en Tecnologías de Información y Comunicaciones / 133
5 89
2 81
1 2 3 4 5
Probabilidad
Identificación de controles
Se cuenta con un
servidor de desarrollo.
Trabajar directamente en equipos
16 Aplicación del procedimiento para la
de producción.
puesta en producción de los nuevos
programas.
Aplicación del procedimiento para
Versiones de software para
17 la puesta en producción de los
desarrollo y producción diferentes.
programas nuevos y modificados.
Se han definido
No contar con la metodología y responsabilidades y funciones.
18 procedimientos necesarios para la Se cuenta con un procedimiento
administración de los cambios. para aplicar los cambios en los
sistemas de información.
Definición y aplicación de
políticas institucionales sobre
Libertad en el uso de componentes el uso de software autorizado
19
tecnológicos (software libre). y estándar para la institución.
Los perfiles de usuario no tienen
autorización para instalar software.
Se revisan las indicaciones
Instalación de parches sin seguir las de los proveedores.
20
recomendaciones del proveedor. Los parches se aplican primero en
equipo de prueba.
Se utiliza un software para gestionar
Ausencia de niveles de servicio las solicitudes de servicio pero los
21
aceptados que faciliten la gestión. tiempos de respuesta esperados no
están acordados.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 137
Aplicación automática de
políticas de seguridad por
medio de Active Directory.
Perfiles de usuarios limitados
para instalar software y hacer
34 Equipo de usuario final inseguro.
modificaciones en el equipo.
Los equipos se encuentran en garantía.
A los equipos se les ha aplicado el
Service Pack recomendado por el
proveedor.
Ausencia de controles cruzados
Por medio del Centro de Operaciones
que comprueben la integridad de
35 se revisa la calidad de la información
la información y el funcionamiento
en sistemas clave.
correcto de las aplicaciones.
El personal que tiene a cargo la
implementación de la seguridad está
Errores en la creación de usuarios
capacitado para estas funciones.
36 y en la asignación de privilegios de
Como parte del desarrollo de
acceso.
proyectos se deben definir los roles
y una descripción.
Sistemas sin mecanismos de Se ha definido la utilización de pistas
37 trazabilidad de transacciones como parte de los estándares de
(pistas de auditoría). programación. Se utiliza el LogMiner.
Se debe mejorar el registro de costos
No se conocen los costos asignados asociados a cada servicio para
38
a los servicios prestados por TI. contar con información precisa en
este sentido.
No se cuenta con un proceso de Se debe mejorar el registro de costos
análisis para mejorar los costos que asociados a cada servicio para
39
están asociados a los servicios de contar con información precisa en
TI. este sentido.
140 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Se revisa la calidad
del código generado.
Se creó una dependencia
Información desactualizada o
56 de la CGR especializada en
incorrecta.
la gestión de la información.
Se brinda asesoría y capacitación
constante a los usuarios.
Se han definido políticas de TI con
responsabilidad para los usuarios.
Se ha implementado un
Acceso no autorizado a la
57 esquema automático para que
información.
los usuarios cambien sus claves.
No se gestionan claves por medios
informales de comunicación.
Las instalaciones tienen puertas
Instalaciones físicas mal diseñas con control de acceso restringido.
que pongan en peligro la integridad En el año 2005 se acondicionaron
58
del equipo de cómputo y del los sitios de trabajo para tener más
personal. visibilidad y fomentar el trabajo en
equipo.
Se cuenta con acceso restringido
Acceso no autorizado al centro de
59 (por tarjeta) y cámaras de vigilancia.
cómputo.
Se tiene una bitácora de acceso.
Está pendiente por restricciones de
60 Ausencia de detectores de humo.
presupuesto.
Fallas en los equipos que mantienen
Se han realizado revisiones de la
el medio ambiente apropiado para
61 instalación eléctrica. Se cuenta con
la operación de TI (UPS, Aire
planta y UPS.
acondicionado)
144 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Definición de procedimiento
de contingencia para la
generación de respaldos.
No aplicación de las políticas para
62 El personal responsable debe
la generación de respaldos.
informar cuando se presenta alguna
dificultad en la generación de los
respaldos.
Se cuenta con herramienta
para monitorear la red.
No efectuar un monitoreo constante Se cuenta con software para
63
sobre la operación de la plataforma. monitorear los servidores de
aplicaciones, bases de datos y
sistemas.
Bitácoras de cambios en la
configuración y suspensión
Suspensión de servicios sin seguir
64 de servicios. Se han definido
el procedimiento establecido.
procedimientos e instruido al
personal.
No contar con un proceso
Está pendiente la definición y
para revisar periódicamente el
65 oficialización del procedimiento para
desempeño actual y la capacidad
realizar esta actividad.
de los recursos de TI.
La institución, por medio de
Estrategia Institucional, mantiene
No percibir los cambios que se un monitoreo constante sobre los
66
realizan en el entorno. cambios en el entorno. Se encarga
de reflejarlos en los planes de
trabajo.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 145
Se tiene un plan de
Contar con equipo costoso que
renovación de equipo.
79 no cuenta con contratos de
Dentro del presupuesto se reservan
mantenimiento.
las partidas correspondientes.
Periódicamente se realizan
reuniones informativas con todo el
No aplicación de los canales de
personal de la USTI. Igualmente se
80 comunicación establecidos para
mantiene informado al Despacho
informar sobre la gestión de TI.
sobre la evolución de los proyectos y
la operativa de TI.
No se tienen documentados los Está pendiente de documentarse los
81
canales de comunicación. canales formales.
Desarrollo periódico del Diagnóstico de
Necesidades de Capacitación (DNC).
No se tiene dominio sobre las
82 Ejecución del programa de
herramientas en uso.
capacitación (de acuerdo con el
disponible presupuestario).
Se realizan dos evaluaciones
de clima laboral por año.
Equipo de trabajo con baja
Comunicación constante
motivación, poco creativo y no
83 sobre los planes de trabajo
comprometido con el logro de los
y compromisos de gestión.
objetivos.
Gestión orientada al logro de los
objetivos.
148 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Id Riesgo P I S
Adquisición de soluciones automatizadas que no satisfagan
1 1 3 3
las necesidades de la institución.
Desarrollar productos que no cumplen con las
2 1 4 4
especificaciones.
3 Desarrollar productos basados en requerimientos incorrectos. 1 4 4
4 Versiones de software desactualizadas. 2 4 8
5 Adquirir software sin programas fuentes. 1 4 4
6 Adquirir software que no tiene representación en el país. 1 4 4
7 Equipo dañado no puede ser reparado. 1 3 3
8 Red inalámbrica insegura. 2 3 6
9 Daño físico en los equipos de la plataforma tecnológica. 1 4 4
10 Obsolescencia de la infraestructura tecnológica. 2 3 6
Desarrollo de sistemas y servicios que son difíciles de utilizar
11 2 3 6
para el usuario.
12 No existe guía de usuario para el uso del sistema. 2 2 4
13 Retrasos en los procesos de contratación administrativa. 2 3 6
Se adquiere equipo no compatible con la infraestructura en
14 1 3 3
uso.
Se adquiere equipo sin que existan talleres para la reparación
15 1 3 3
y mantenimiento de los mismos.
16 Trabajar directamente en equipos de producción. 1 4 4
17 Versiones de software para desarrollo y producción diferentes. 1 4 4
No contar con la metodología y procedimientos necesarios
18 2 4 8
para la administración de los cambios.
Libertad en el uso de componentes tecnológicos (software
19 1 3 3
libre).
Instalación de parches sin seguir las recomendaciones del
20 1 3 3
proveedor.
Ausencia de niveles de servicio aceptados que faciliten la
21 2 3 6
gestión.
Definición de niveles de servicio que sobrepasan la capacidad
22 1 3 3
instalada de TI.
Normas Técnicas en Tecnologías de Información y Comunicaciones / 151
Infraestructura
1 2 3 4 5
Probabilidad
156 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Seguridad y control
5 57 53
5, 6, 9, 16,
17, 30, 36, 4, 18, 86,
4
55, 56, 62, 87
Impacto
84
15, 19, 20, 8, 35, 59,
3 26, 34, 47, 63, 68, 72, 52, 60
54, 58, 70 88
2 37
1 2 3 4 5
Probabilidad
Suministro de servicios
2 42 12, 64
1 2 3 4 5
Probabilidad
Normas Técnicas en Tecnologías de Información y Comunicaciones / 157
Inserción tecnológica
5 76, 89
4 2, 3, 73, 74 95 67
2 80 81
1 2 3 4 5
Probabilidad
158 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Riesgos de infraestructura
㈀ 㐀 㘀 㠀 ㈀ ㌀ 㐀 㔀
Después de valorar los controles, desde el punto de vista del proceso de infraestructura,
se tienen 4 riesgos que deben ser gestionados, éstos representan el 33% de los riesgos
identificados y relacionados con este proceso.
160 / Normas Técnicas en Tecnologías de Información y Comunicaciones
㔀 㔀 ㈀ ㈀㔀 㔀 㔀 ㈀
㈀ 㐀 㘀 㠀 ㈀ ㈀ 㐀 㘀 㠀
㈀ 㐀 㘀 㠀 ㈀ 㐀 㘀 ㈀ 㐀 㘀 㠀 ㈀
Es importante conocer la calificación global de riesgo que tiene cada proceso tanto a
nivel en la calificación de riesgos absolutos como de riesgos controlados; este valor se
obtuvo con el promedio de la calificación de exposición (impacto * probabilidad) para
los riesgos en cada proceso. Los resultados son los siguientes:
Se puede notar fácilmente que la calificación de los procesos es muy similar, a nivel
de riesgos absolutos los procesos de infraestructura así como de seguridad y control
son los que tienen las calificaciones más altas a nivel de severidad promedio de sus
riesgos. En vista de que para los cuatro procesos de TI la calificación está entre 8 y
12 les corresponde un nivel promedio de severidad de alta (representada en color
anaranjado). En cuanto a los riesgos controlados también la calificación es muy
similar para todos los procesos, en este caso son los procesos de infraestructura e
inserción tecnológica los que tienen las calificaciones mayores. Todos los procesos
tienen calificaciones que están entre 4 y 6 por lo cual se ubican en nivel moderado
como promedio de severidad de sus riesgos que se representan en color amarillo.
Según estás calificaciones la situación de los procesos es muy similar tanto a nivel
de riesgos absolutos como de riesgos controlados; esto quiere decir que los controles
están orientados a gestionar los riesgos de manera equitativa.
164 / Normas Técnicas en Tecnologías de Información y Comunicaciones
Riesgos prioritarios
Después de realizar el análisis de riesgos y determinar su nivel de severidad tanto en la
calificación de riesgos absolutos como de riesgos controlados se ha determinado que
los siguientes riesgos son de prioritaria atención:
Planes de tratamiento
A continuación se indican los planes de acción para cada uno de los riesgos cuya
evaluación de severidad, a nivel de riesgos controlados, fue de extrema o alta:
Id Riesgo P I S
4 Versiones de software desactualizadas. 1 3 3
No contar con la metodología y procedimientos necesarios
18 1 4 4
para la administración de los cambios.
31 Suspensión de servicio de Internet 2 2 4
No se conocen los costos asignados a los servicios prestados
38 1 3 3
por TI.
No se cuenta con un proceso de análisis para mejorar los
39 1 3 3
costos que están asociados a los servicios de TI.
Se realizan cambios en la configuración de componentes de
50 1 4 4
la infraestructura y no se reflejan en la documentación.
No se conoce el impacto de hacer cambios en los
51 1 4 4
componentes de la configuración.
No se aplica el procedimiento oficializado para la gestión de
52 2 3 6
problemas.
53 No se documentan las soluciones aplicadas a los problemas. 1 5 5
60 Ausencia de detectores de humo. 2 3 6
Fallas en los equipos que mantienen el medio ambiente
61 2 3 6
apropiado para la operación de TI (UPS, Aire acondicionado)
No contar con un proceso para revisar periódicamente el
65 1 3 3
desempeño actual y la capacidad de los recursos de TI.
Utilización de indicadores sobre el desempeño de TI que
67 no son relevantes y que no colaboran en la identificación de 1 3 3
no se reflejan en la documentación.
No se conoce el impacto de hacer cambios
51 12 8 4
en los componentes de la configuración.
No se aplica el procedimiento oficializado
52 9 9 6
para la gestión de problemas.
172 / Normas Técnicas en Tecnologías de Información y Comunicaciones
伀爀 最愀渀椀稀愀挀椀渀
䐀攀猀瀀愀挀栀漀
䌀 漀渀琀爀 愀氀漀爀 愀 䜀 攀渀攀爀 愀氀
䌀 漀洀椀琀 䜀 攀爀攀渀挀椀愀氀
搀攀 吀 䤀 䌀 됀猀
䐀椀瘀椀猀椀渀
䜀 攀猀琀椀渀 搀攀 䄀 瀀漀礀漀
唀渀椀搀愀搀
吀攀挀渀漀氀漀最愀猀 䤀 渀昀漀爀 洀愀挀椀渀
倀爀攀猀甀瀀甀攀猀琀漀 礀
匀攀挀爀攀琀愀爀 愀
䌀 漀洀瀀爀 愀猀
Recomendaciones
Con base en el análisis de Administración Basada en Riesgos, llevado a cabo en la
Unidad de Tecnologías de Información, se derivan una serie de recomendaciones que
se incorporan a continuación en el presente documento.