0000

CÓDIGO GDI-TIC-MR
PROCESO: Gerencia de TIC VERSIÓN 1
LÍDER: Director de Tecnologia e Información (DTI) VIGENCIA 1/12/2017

Contribuir al logro de los resultados esperados por la Secretaría Distrital de Gobierno por medio de la implementación de estrategias de TI que
comprendan la definición de una arquitectura empresarial, el establecimiento de procesos sistemáticos y eficientes, garantice la disponibilidad y calidad
OBJETIVO:
de los servicios de TI, fortalezca la seguridad digital, el diseño y realización de un programa permanente de apropiación de los sistemas de información;
con el fin de satisfacer a los diferentes grupos de interés internos y facilitar el cumplimiento de los objetivos y la toma de decisión en la Entidad

25
CONTROL DE CAMBIOS
VERSIÓN FECHA DESCRIPCIÓN DE LA MODIFICACIÓN

Se crea la matriz de riesgos del proceso. Deja como obsoletos los

riesgos identificados y relacionados a TIC en la matriz de riesgos
1 1/12/2017
con código 1D-GAR-MR del antiguo proceso Gestión y
Adquisición de Recursos Local.

PERFIL DE RIESGO DEL

Mapa de Riesgo PROCESO CRITICIDAD

10,66 ALTO
Nota: El perfil de riesgo resume el nivel de riesgo del proceso, permitiendo identificar aspectos de peligro relevantes
para establecer prioridades en la implementación de controles. Su cálculo corresponde al promedio del valor
numérico otorgado a la zona de riesgo residual de cada riesgo. Dicho valor numérico se encuentra establecido en el
manual de riesgos de la Entidad.
NOTA: Para el diligenciamiento de esta matriz tenga en cuenta el manual "Gestión del Riesgo" PIN-M001

IDENTIFICACIÓN DEL RIESGO ANÁLISIS Y EVALUACIÓN DEL RIESGO TRATAMIENTO MONITOREO DEL
DEL RIESGO RIESGO
RIESGO = 1+2+3
CARACTERÍSTICAS DE LOS CONTROLES
ANÁLISIS CAUSAL ANÁLISIS DE IMPACTO
MÉTODO DE

OPORTUNIDAD

PERIODICIDAD
DOCUMENTAD
ZONA DE

SOCIALIZADO
N° PLAN DE VERIFICACIÓN
PROBABIL CALIFICACION ZONA DE RIESGO

EJECUCIÓN
FORMA DE
No. Nivel Organizacional IMPACTO RIESGO CONTROL NORMATIVIDAD MEJORA PARA EL
EVENTO Fuente de Area de IDAD DEL CONTROL RESIDUAL
Causa Consecuencia INHERENTE / DOCUMENTO ASOCIADO MONITOREO AL

O
riesgo impacto COMPORTAMIENTO
DE LA ENTIDAD

Falta de implementacion de
un modelo de gobernabilidad
de TI, para adoptar las
Procesos Sanciones por
políticas de alineación de los
procesos y planes de la SDG. incumplimiento de la
normatividad de MinTIC

No existe un tablero de Las actividades realizadas

Procesos Control para el por la DTI, puede que no
Incumplimiento de objetivos y cumplimiento del PETI estén alineadas con lo que
No existe un catalogo de Seguimiento al Plan de Seguimiento al Plan de
metas estrategicas y por Procesos busca el desarrollo sectorial
Proyectos TI Gestion inteno de DTI Gestion inteno de DTI Seguimiento cumplimiento
R1 proceso DTI por inexistencia Calidad e institucional Estratégico PROBABLE MAYOR INACEPTABLE
por parte de la
No
por parte de la
Si Preventivo Ocasional Manual/Visual MALO ALTO 20174400507703
Incumplimiento de metas de Plan de Mejora asociado
de Gobierno de TI
proyectos en las actividades Dirección Dirección
Procesos Pérdida en inversiones que
del cronograma DTI no agreguen valor
asignado a la Vigencia
No existe una definicion de No se cumplen los objetivos
Procesos responsabilidades y roles por de la Gerencia de TI
subprocesos de TI
Insatisfaccion del usuario
Falta de auditorias internas
Procesos para la revisión de planes de
mejoramiento. PLE-PIN-F001
Versión: 1
Vigencia: 21 de junio de 2017
1 de 1
 RIESGO = 1+2+3
CARACTERÍSTICAS DE LOS CONTROLES
ANÁLISIS CAUSAL ANÁLISIS DE IMPACTO
MÉTODO DE

OPORTUNIDAD

PERIODICIDAD
DOCUMENTAD
ZONA DE

SOCIALIZADO
N° PLAN DE VERIFICACIÓN
PROBABIL CALIFICACION ZONA DE RIESGO

EJECUCIÓN
FORMA DE
No. Nivel Organizacional IMPACTO RIESGO CONTROL NORMATIVIDAD MEJORA PARA EL
EVENTO Fuente de Area de IDAD DEL CONTROL RESIDUAL
Causa Consecuencia INHERENTE / DOCUMENTO ASOCIADO MONITOREO AL

O
riesgo impacto COMPORTAMIENTO
DE LA ENTIDAD

Rezago en las contrataciones Insatisfaccion en el usuario

TI (reservas y pasivos), que
Procesos Decreto 1510 de 2013,
castigan el presupuesto Incumplimiento de los Planear los proyectos
compilado en el Decreto Seguimiento plan anual de
solicitado objetivos TI de la vigencia que
Falta de proyectos estrátegicos 1082 de 2015, adquisiciones con el
requiere el proceso
R2 TI definidos en el plan de Calidad
Pérdida en inversiones que
Estratégico POSIBLE MAYOR ALTO
para atender las
Si Publicacion en el link Si Preventivo Periódico Manual/Visual MALO ALTO 20174400507703 gestor del proyecto
adquisiciones. http://www.gobiernobo mensualmente con la
Solución de problemas no agreguen valor para el necesidades de la
gota.gov.co/transparenci direccion DTI
urgentes no previstos que desarrollo tecnológico, Entidad
Procesos a/
obligan a invertir en rubros institucional y estratégico de
no presupuestados la Entidad

Falta de implementacion de
un marco de referencia para
definir la arquitectura
empresarial, cumplir los Sanciones por
Objetivos estratégicos de la objetivos y metas de incumplimiento de la
gerencia de TI no alineados mediano y largo plazo normatividad de MinTIC Seguimiento cumplimiento
R3
con los objetivos misionales y
Procesos Calidad Táctico POSIBLE MAYOR ALTO INEXISTENTE ALTO 20174400507703
Plan de Mejora asociado
estratégicos de la entidad Las actividades realizadas Pérdida en inversiones que
por la DTI, puede que no no agreguen valor
estén alineadas con lo que
busca el desarrollo sectorial e
institucional

Pérdidas de información y
Información generada en la
otros riesgos de seguridad.
Entidad no cumple con los
No se ha establecido los Credibilidad,
caracteristicas de calidad Seguimiento cumplimiento
R4
definidas en el plan de gestión
Procesos criterios de calidad de la buen nombre y Incredulidad en la Estratégico POSIBLE MAYOR ALTO INEXISTENTE ALTO 20174400507703
Plan de Mejora asociado
Información reputación información publicada.
de componentes de
información.
Toma de decisiones erradas

No se cumple con la
implementacion del plan de
Procesos
Infraestructura tecnológica actualización de la
infraestructura de la entidad
con bajos indices de
R5 disponibilidad, continuidad y
capacidades para soportar los
servicios brindados por DTI.
Falta de monitoreo, y
Procesos supervisión de la
Infraestructura Tecnológica
Caida frecuente de la
infraestructura baja la
disponibilidad de los SI
Bajo nivel de seguridad por Realizacion de la
falta de la infraestructura Compra de Switch
requerida Core y de Borde, del
servidor de backup y la Seguimiento cumplimiento
Información
Pérdida en inversiones que
Táctico POSIBLE MAYOR ALTO
ampliacion de canales
Si Contrato 583/2017 Si Correctivo Ocasional Manual/Visual MALO ALTO 20174400507703
Plan de Mejora asociado
no agregan valor por demanda por parte
del subproceso de
Incompatibilidad con la Infraestrucutra de DTI
infraestructura de la entidad
Baja calidad en la prestación
de los servicios.

No se cumple con la Pérdida de información o de

Procesos implementacion de la privacidad de la misma
Declaración de Aplicabilidad
Ataques cibernéticos con Verificación entregables
Bajos niveles de seguridad para Verificación Guia Informe MINTIC
afectación de la prestacion de la Guia Digital de
R6 el acceso a aplicaciones, Información
de los servicios desde las
Táctico POSIBLE MAYOR ALTO Digital de Riesgos Si validacion del Piloto en Si Preventivo Ocasional Manual/Visual REGULAR MODERADO 20174400507703
Falta implementar el modelo riesgos en el resto de
bodegas de datos y servicios. como Piloto Mintic 2 subprocesos DTI
Procesos de seguridad y privacidad de páginas WEB de la entidad procesos DTI
la información MSPI.
Uso y divulgación de
No se ha implementado el Información no autorizada.
Procesos Modelo Nacional de Gestión
de Riesgos Digital PLE-PIN-F001
Versión: 1
Vigencia: 21 de junio de 2017
2 de 2
 RIESGO = 1+2+3
CARACTERÍSTICAS DE LOS CONTROLES
ANÁLISIS CAUSAL ANÁLISIS DE IMPACTO
MÉTODO DE

OPORTUNIDAD

PERIODICIDAD
DOCUMENTAD
ZONA DE

SOCIALIZADO
N° PLAN DE VERIFICACIÓN
PROBABIL CALIFICACION ZONA DE RIESGO

EJECUCIÓN
FORMA DE
No. Nivel Organizacional IMPACTO RIESGO CONTROL NORMATIVIDAD MEJORA PARA EL
EVENTO Fuente de Area de IDAD DEL CONTROL RESIDUAL
Causa Consecuencia INHERENTE / DOCUMENTO ASOCIADO MONITOREO AL

O
riesgo impacto COMPORTAMIENTO
DE LA ENTIDAD

No se tiene definida una

metodologia para mantener y
La falta de ANS puede
Tiempos altos en la solucion evolucionar los servicios
generar una baja satisfacción
de requerimientos, incidentes y prestados por la DTI,
de los usuarios Seguimiento cumplimiento
R7 problemas de los servicios Procesos acordando los niveles de Calidad Táctico POSIBLE MAYOR ALTO Ans definidos No INEXISTENTE ALTO 20174400507703
Plan de Mejora asociado
Tecnologicos. servicios requeridos por la
Demora en la prestacion de
SDG y enmarcados en
los servicios
estándares y mejores
prácticas de servicios
Incumplimiento de la
Incumplimiento de las Estrategia GEL puede Realizar la medicion
Externos Decreto 1078/2015
directivas de los entes generar sanciones Indice GEL de la
Indice Gel menor al exigido (Eventos Informe generado a Alta Reporte a Alta Consejeria
R8
por la normatividad Naturales/
estatales en cuanto a la Calidad Táctico POSIBLE MAYOR ALTO Entidad por parte del Si
Consejeria Distrital de
Si Detectivo Periódico Manual/Visual REGULAR ALTO 20174400507703
distrital de las Tics
estrategia de TI nacional y Falta de trámites en línea subproceso GEL de
Terceros) Gobierno por via web
distrital. lleva a una baja satisfacción DTI
de los usuarios
Obsolescencia de los
Falta de metodologia para la Sistemas de Información
verificación del ciclo de vida
Procesos
Diagnóstico incorrecto de la de los sistemas de Baja productividad Actualización catalogo de
R9
evolución de los SI
Calidad Táctico POSIBLE MAYOR ALTO INEXISTENTE ALTO 20174400507703
información Sistemas de Información
Sistemas de Información
Falta de un plan de que dificultan las dinámicas
Procesos
priorizacion de la Entidad en la SDG.
Demoras en la
No se tiene definido los implementación de los
Falta de apropiacion y buen planes de Uso, apropiación y proyectos y baja
Seguimiento cumplimiento
R10 uso en la utilización de las Procesos capacitación para fortalecer Calidad productividad. Operativo POSIBLE MAYOR ALTO INEXISTENTE ALTO 20174400507703
Plan de Mejora asociado
soluciones tecnológicas. las capacidades técnicas del
usuario Baja aceptación de las
herramientas tecnológicas

No existe una mesa de

La falta de ANS puede
No se atiende adecuadamente servicios para el soporte y
generar una baja satisfacción Seguimiento plan anual de
u oportunamente las Procesos atención del 100% de los
de los usuarios Realizar la contratacion adquisiciones con el
solicitudes e incidentes incidentes y problemas de los
R11
reportados por los usuarios de
Calidad Operativo POSIBLE MAYOR ALTO de la mesa de servicios Si Contrato 780/2017 Si Correctivo Permanente Semiautomático BUENO MODERADO 20174400507703 gestor del proyecto
servicios tecnológicos
La falta de mantenimiento por parte de DTI mensualmente con la
la entidad, incumplimiendo las
en los equipos puede direccion DTI
ANS. No se garantiza la
generar baja productividad
Procesos permanencia del
conocimiento en la entidad

ELABORÓ REVISÓ: APROBO:

Sonia Cabarcas Javier Bautista

Profesional DTI Profesional DTI
Cesar Intriago Bogotá
Director TI
Rosendo Rojas
Profesional DTI Analista OAP - Planeación Institucional
Sistema de Gestión del Riesgo

PLE-PIN-F001
Versión: 1
Vigencia: 21 de junio de 2017
3 de 3