Grupo 5 Walter Herrera 1493-08-1994

Luis Pedro Paniagua 1493-12-299

Julio Blanco 1493-12-8425

AudiTI

Axel Ixcot 1493-98-1261

David Mayorga 1493-01-14292

 Procesos COMPONENTE IDENTIFICACIÓN DE RIESGO
Nombre del Proceso Nombre del Componente ID Riesgo Nombre del Riesgo

Robo de información
Estrategia del servicio Estrategia del servicio R01 relacionada a la
estrategia del servicio

Retardo en el pago de
Gestión financiera R02
planilla

Diseño del servicio Gestión de capacidad R03 Sin stock de repuestos

Gestión de seguridad de la R04 Ataque de

información ransomware

Transición del servicio Gestión de cambios R05 Ventana del cambio

fallida

Configuración y Activos del R06 Es aplicado un cambio

servicio al equipo equivocado

Operación del servicio Gestión de incidentes R07 Incumplimiento de

SLAs

Incumplimiento de
Gestión de solicitudes R08
OLAs

Perdida de acceso
Conexión remota para atención
R09 remoto a premisas del
de tickets clliente

Herramienta de mesa de ayuda Perdida de acceso a

R10
Control Desk Control Desk

Acceso de personal no
Gestión del acceso R11 autorizado a los
sistemas internos

Gestión de instalaciones
Estrategia del Servicio
Diseño del Servicio
Transición del Servicio
Operación del Servicio
Mejora Continua del Servicio
Lentitud en los
Telecomunicaciones R12
sistemas de servicio
Infraestructura electromecanica Incendio en
R13
del Data Center Instalaciones
Infraestructura electromecanica
R14 Corte de luz
del Data Center
Gestión de la cartera de servicios
Gestión de la demanda
Gestión de la disponibilidad
Gestión del catálogo de servicios
Gestión de nivel de servicio
Gestión de la seguridad
Gestión de cambios
Gestión de configuración
Gestión del conocimiento
Gestión de incidentes
Gestión de solicitudes
Gestión de mesa de ayuda
Agregar procesos de diferentes areas pero que se gestionen a nivel informático
Procesos críticos
IDENTIFICACIÓN DE RIESGO EVALUACIÓN DEL RIESGO TRATAMIENTO DEL RIESGO
Causa Consecuencia Probabildiad Impacto Respuesta al Riesgo

Falta de anillos de Los competidores pueden

beneficiarse al conocer la 2 4 Mitigar
seguridad
estrategia de la empresa

Falla en la Base de
datos del BPM por Perdida de acceso al BPM
3 3 Mitigar
corrupción en los de la empresa
archivos de Datos

Mala previsión de Retraso en los tiempos de

3 3 Mitigar
inventario en bodega resolución para el cliente

Secuestro y perdida de
Antivirus información en los equipos 2 4 Mitigar
desactualizado
afectados

El plan de trabajo
El cambio requerido por el
establecido no se
ajustaba a las cliente no es ejecutado 3 3 Mitigar
necesidades de la durante la ventana de
tiempo autorizada
actividad

Mal control de los

Afectación y/o alteración a
equipos y aplicativos equipo sin consentimiento 3 4 Mitigar
que conforman el del cliente
servicio

Mal diagnostico del

Acometer las sanciones
ticket reportado por el impuestas en el contrato 4 3 Mitigar
cliente y por ende,
con el cliente
retardo en la resolución
La solicitud no fue
resuelta en los tiempos
de operación
acordados debido a
Métricas de cumplimiento
que el ingeniero no 3 2 Mitigar
de OLAs afectados
actualiza el estado de
su ticket en la
herramienta Control
Desk
Demora en resolver las
Licencias de escritorio solicitudes e incidentes de
3 2 Mitigar
remoto vencidas los clientes
Se pierde la gestión de
Caída del sistema por
nuevas solicitudes e 3 4 Mitigar
falla en el aplicativo
incidentes
Contraseñas debiles y
Robo de información
sin autenticación en 3 4 Mitigar
dos pasos restringida
 Retardos den los
Alto consumo de
cumplimientos de tiempos 3 2 Transferir
internet en horas pico
de respuesta a los clientes

Perdida total o parcial de

Falla en la refrigeración
equipos del Data Center y 2 5 Transferir
electromecanica
su información
Fenomeno natural o Caida de los equipos y
4 4 Transferir
social sistemas

en a nivel informático
TRATAMIENTO DEL RIESGO Control Implementado
Responsable Prioridad

Infraestructura Alta Analisis de anillos de seguridad en red

Mantener una politica de backups diarios, semanales, mensuales y

Infraestructura Media
anuales de sistema y base de datos del BPM

Realizar analisis mensuales del consumo de repuestos para preveer

Bodega Media
incremento de solicitudes de repuesto por meses con alta demanda

Sistemas
Internos e Alta Mantener licenciamiento de antivirus a todos los equipos y politicas de
backup acordes a la relevancia del equipo
Infraestructura

Gestor de Media Implantar previo a cada cambio evaluaciones técnicas y de negocio más
Cambios rigurosas

Gestor de
Configuración y Alta Realizar una revisión mensual de la base de datos de configuraciones y
activos activos que administra la empresa

El sistema envía un correo automático de alerta cinco minutos antes de

Gestor de Media que se venza el SLA al Gestor de Incidentes, Gestor de Ingenieros,
Incidentes
Ingeniero a cargo y Gestor de cuenta

El sistema envía un correo automático de alerta una hora antes de que

Gestor de
Baja se venza el OLA al Gestor de Solicitudes, Gestor de Ingenieros, Ingeniero
Solicitudes
a cargo y Gestor de cuenta

Gestor de
Alta Adquisición de licencias adicionales para conexión remota
Ingenieros

Mantener una politica de backups diarios, semanales, mensuales y

Infraestructura Alta
anuales del aplicativo Control Desk

Sistemas Implementación de politica de contraseñas seguras, autenticación en

Alta
Internos dos pasos y revisión de roles trimestral
Infraestructura Alta Contratar servicio de enlace redudante

Tercerizar la gestión de la infraestructura de refrigeración y supresión

Infraestructura Alta
de incendios

Tercerizar el servicio de generadores electricos como fuente electrica

Infraestructura Alta
respaldo
 MATRIZ DE ANÁLISIS CUALIT
GESTIÓN DEL PROCESO DE CON

ELABORADO POR: REVISADO PO

IMPROBABLE RARA VEZ

PR
CATEGORIA 1 2

El evento puede ocurrir

El evento pudo ocurrir en
sólo en circunstancias
algún momento, en algún
DESCRIPCIÓN excepcionales. No es
día. No es probable pero es
probable, o es remoto que
posible de que ocurra.
suceda.
CATASTRÓFICO

a)Muerte; -liberación tóxica

con efectos nocivos;
5 -enorme pérdida financiera: R13
-dificultad de recuperación.

Perjuicios extensivos,
MAYOR

pérdida de capacidad de
4 producción, impacto serio, R01, R04
sin efectos nocivos, pérdida
financiera mayor.
IMPACTO
MODERADO

Requiere tratamiento
médico, afecta en el corto
3 tiempo, contenido con
asistencia externa, pérdida
financiera alta.
 I
Tratamiento de primeros

INSIGNIFICANTE MENOR
auxilios, liberado
2 localmente, se contuvo
inmediatamente, pérdida
financiera media.

Sin perjuicios, no existe un

1 impacto potencial, baja
pérdida financiera.
CATEGORIA

Las actividades contienen un riesgo Las actividades contienen un riesgo

mínimo que probablemente no pequeño que probablemente no
DESCRIPCIÓN suceda. Se puede continuar con estas suceda. Se puede continuar con estas
actividades de acuerdo con lo actividades de acuerdo con lo
planificado. planificado.

M B

CATEGORIA MÍNIMO BAJO

 CÓDIGO:
LISIS CUALITATIVO DE RIESGOS FECHA: 9/1/2010
L PROCESO DE CONTROL INTERNO EDICIÓN

REVISADO POR APROBADO POR

A VEZ OCASIONAL PROBABLE FRECUENTE

PROBABILIDAD
2 3 4 5
El evento se espera que
El evento probablemente ocurra siempre en la
udo ocurrir en El evento podría ocurrir en
ocurrirá en la mayoría de mayoría de las
ento, en algún el algún momento, en algún
las circunstancias. Es circunstancias. Es probable
robable pero es día. Es posible que pueda
bastante probable que que suceda inmediatamente
e que ocurra. suceder algunas veces.
suceda alguna vez. o en un breve período de
tiempo.

R13

1, R04 R06, R10, R11 R14

R02, R03, R05 R07

 R08, R09, R12

Las actividades contienen riesgos Las actividades contienen niveles de

potencialmente graves que, riesgo inaceptables, incluida la
contienen un riesgo Las actividades contienen algún
probablemente, pueden suceder. Se posibilidad de daños catastróficos y
probablemente no nivel de riesgo que probablemente
deben aplicar estrategias proactivas críticos. Se debe considerar la
e continuar con estas no suceda. Se debe considerar qué
de gestión de riesgos para reducir el posibilidad de eliminar o modificar
e acuerdo con lo se podría hacer para gestionar el
riesgo. Se debe considerar la manera las actividades con esta clasificación,
ificado. riesgo y evitar resultados negativos.
de modificar o eliminar los riesgos luego de aplicar todas las estrategias
inaceptables. de mitigación razonables.

B M A E
RIESGO
AJO MODERADO ALTO EXTREMO