IDENTIFICACIÓN D

20

1 2 3

CAUSAS
PROCESO OBJETIVO Factores Internos y Externos. Incluye Agente
Generador

Falta definición de la Arquitectura de sistemas de

información de la Plataforma Tecnologíca

Facilitar el cumplimiento de la
misión de la CREG por medio Falta definición de la Arquitectura de datos de la
del diseño e implementación de Plataforma Tecnologíca
soluciones informaticas
acordes con las necesidades de
la Comisión y velar por la Obsolescencia de los sistemas de información
operación, funcionalidad y
INFORMATICA seguridad de la información
Y sistematizada.
TECNOLOGIA Falta de Plan de continuidad del negocio BCP.
Implementar administrar y
mantener soluciones
informáticas velando por la
funcionalidad continuidad y
seguridad de estas para apoyar
y soportar el desarrollo de la Incumplimiento de las políticas establecidas en el
gestión de la Entidad, sistema de seguridad de la información

Elaborado por:
Revisado por:
Aprobado por:
ENTIFICACIÓN DE LOS RIESGOS:
2016

4 5

RIESGOS DESCRIPCIÓN

Se presentan tiempos de no disponibilidad de la

Falta de Continuidad en el servicio plataforma tecnologica que generan interrupciones en la
prestación de servicios de tecnología.

Se presentan problemas con la confidencialidad,

Pérdida o fuga de la información integridad y disponibilidad de la información

Fecha :
Fecha :
Fecha :
 6

EFECTOS
(consecuencias)

1. Imagen
2. Transparencia
3. Credibilidad
4. Legalidad

1, Imagen 2.
Transparencia
3. Credibilidad
4. Legalidad
5. Financiero
 MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUEST

PROBABILIDAD

1 1 Raro
2 2 Improbable
3 3 Posible
4 4 Probable
5 5 Casi seguro

B ZONA DE RIESGO BAJA

M ZONA DE RIESGO MODERADA
A ZONA DE RIESGO ALTA
E ZONA DE RIESGO EXTREMA

CALIFICACIÓN Y EVALUACIÓN DE RIE

1 2 2a
TIPO /
PROCESO RIESGO
IMPACTO

1. Imagen
2. Transparencia
Falta de Continuidad
INFORMATICA Y TECNOLOGIA en el servicio
3. Credibilidad
4. Legalidad

1 2 2a
TIPO /
PROCESO RIESGO
IMPACTO
 1,Legalidad
2, Imagen
Pérdida o fuga de la
INFORMATICA Y TECNOLOGIA información
3 Transparencia
4.Credibilidad
5, Financieros
ALUACIÓN Y RESPUESTA A LOS RIESGOS
IMPACTO / CONSECUENCIAS
1 2 3 4 5
Insignificante Menor Moderado Mayor Catastrófico

B B M A A
B B M A E
B M A E E
M A A E E
A A E E E

A Asumir el riesgo
DERADA Asumir, reducir el riesgo
A Reducir, evitar, compartir o transferir el riesgo
REMA Evitar, reducir, compartir o transferir el riesgo

EVALUACIÓN DE RIESGOS
3 4 5 6
CALIFICACIÓN Evaluación,
N° y Zona de MEDIDAS DE RESPUESTA
Probab. Impacto Riesgo

2 3 M Asumir, reducir el riesgo

3 4 5 6
CALIFICACIÓN Evaluación,
N° y Zona de MEDIDAS DE RESPUESTA
Probab. Impacto Riesgo
3 3 A Reducir, evitar, compartir o
transferir el riesgo
 VALORACION DE
CLASIFICACIÓN

RIESGO
PROBABILIDAD IMPACTO

Falta de
Continuidad en 2 3
el servicio

CLASIFICACIÓN

RIESGO
PROBABILIDAD IMPACTO

Pérdida o fuga
de la información
3 3
VALORACION DEL RIESGO
CONTROLES VALORACIÓN

Puntaje
Tipo Control Puntaje
Herramienta
Descripción de los controles existentes Prob. O Seguimiento al Puntaje Final
para ejecer el
Impacto control
control

60
1. Registro de actividades diarias de
monitoreo
2. Alarmas de monitoreo de la
plataforma
3. Sistema de monitoreo externo Probabilidad 60 40 100
4. Programas de
mantenimientos para la Plataforma.
5. Coberturas de garantias extendidas
por parte del fabricante.

40

CONTROLES EXISTENTES VALORACIÓN

Puntaje
Tipo Control Puntaje
Herramienta
Descripción de los controles existentes Prob. O Seguimiento al Puntaje Final
para ejecer el
Impacto control
control

1. Existe una poltica del sistema de 0

gestión de seguridad de la información.
2. Existe un manual de normas
estandares y politicas de seguridad
(Gestión humana, gestión de incidentes,
Probabilidad 60 30 90
acuerdos de confidencialidad, gestión
de activos etc) .
 Nombre del Proceso
GESTIÓN DE CONTR

Nombre del Formato

MAPA DE RIESGOS P
GESTIÓN INFORMÁTIC

CLASIFICACIÓN
Evaluación
PROCESO RIESGO DESCRIPCIÓN
Riesgo
Probabilidad Impacto

Se presentan tiempos de no
disponibilidad de la
Falta de
plataforma tecnologica que
Continuidad en el
generan interrupciones en la
2 3 M
servicio
prestación de servicios de
tecnología.

INFORMÁTICA Y
TECNOLOGÍA

Se presentan problemas con

Pérdida o fuga de la confidencialidad,
la información integridad y disponibilidad de
3 3 A
la información
 GESTIÓN DE CONTROL Y EVALUACIÓN

MAPA DE RIESGOS POR PROCESO

GESTIÓN INFORMÁTICA Y TECNOLOGÍA

AÑO 2016
NUEVA CLASIFICACIÓN
NUEVA OPCIONES
CONTROLES
Probabilidad Impacto EVALUACIÓN MANEJO

1. Registro de actividades
diarias de monitoreo
2.
Alarmas de monitoreo de la
plataforma
3. Sistema de monitoreo
Asumir, reducir el
externo 1 3 M riesgo
4. Programas de
mantenimientos para la
Plataforma.
5. Coberturas de garantias
extendidas por parte del
fabricante.

1. Existe una poltica del sistema

de gestión de seguridad de la
información.
2. Existe un manual de normas
estandares y politicas de Asumir, reducir el
seguridad (Gestión humana,
2 3 M riesgo
gestión de incidentes, acuerdos
de confidencialidad, gestión de
activos etc) .
Código: GC-FT-001
Versión: 1
Fecha última revisión:
17/09/2014
Páginas: 1 de 1

ACCIONES RESPONSABLE INDICADOR

1. Ejecución del proyecto de

arquitectura empresarial
2. Ejecución de programas de
Responsable de 1. Número de minutos de NO
mantenimiento para la plataforma
Informática y disponibilidad de la Plataforma
3. Generación BCP (Bussines
Tecnología
continuity plan)
4.Ejecución de simulacros con el
Data Center Alterno

1. Revisión por la Dirección del

sistema de gestión de seguridad
de la información.
2. Realizar auditorias al sistema
de gestión de seguridad de la
información.
3. Monitoreo permanente al 1. Número de incidentes de
Responsable de
incumplimiento de las politicas del seguridad reportados >0
Informática y
SGSI y levantamiento de 2. % de avance de los planes
Tecnología
comparendos pedagógicos a los de mejoramiento establecidos..
usuarios infractores.
4. Campañas permanentes de
sensibilización y difusión de las
politicas del SGSI..
5 Gestión de incidentes de
seguridad de la información.
 MAPA DE RIESGOS GESTION INFORMATICA Y TECNOL

RIESGO
PROCESOS RIESGO DESCRIPCIÓN
RESIDUAL

Se presentan tiempos de no
disponibilidad de la
Falta de
plataforma tecnologica que
Continuidad en el
generan interrupciones en la
M
servicio
prestación de servicios de
tecnología.

INFORMATICA Y
TECNOLOGIA

No ejecutar el debido
Pérdida o falta de
respaldo de toda la
protección de la
información o no contar con
M
información
la protección de ésta.
GESTION INFORMATICA Y TECNOLOGIA

AÑO 2014
CONTROLES ACCIONES

1. Rediseño de la arquitectura de la
1. Registro de actividades diarias
Plataforma tanto en hardware
de monitoreo
como en software
2.
2. Alarmas de Monitoreo de la
Ejecución de programas de
plataforma
mantenimiento para la plataforma

3. Generación plan de contigencia

3. Programación de
de la plataforma
mantenimientos para la
4.Implementación
Plataforma
de Data Center Alterno

1. Control de cartridges de
respaldo
1. Centralización de información
en la SAN
2, Control CD's de backups
2. Recuperación de información
3, Soporte de respaldo de
desde backups
información.
3. Afinamiento de la configuración
4. Envío cintas de custodia
de las herramientas TSM y
FASTBACK.
5. Monitoreo de la Herramienta
4, Generación de Cintas de
TSM y FastBack para ejecución
Custodia
de copias de respaldo
5,
Respaldos adicionales en disco
6.
6.Controles del Sistema de
Implementación del Sistema de
seguridad de la información
Seguridad de la información