ANÁLISIS Y EVALUACIÓN DE RIESGOS

Para el listado de riesgos enumerados a continuación se realizaron visitas a las

instalaciones de la institución educativa, y específicamente a las instalaciones de las aulas
de cómputo, además de la aplicación de instrumentos como listas de chequeo o checklist
de verificación y cuestionarios al personal de la administración de los recursos
tecnológicos.

LISTA DE RIESGOS ENCONTRADOS.

         No existe caja de breakers de los circuitos del aula.

         No existen sistemas contra incendios.
         Los usuarios no son capacitados en el uso adecuado de extintores.
         No existen sistemas de censores de humo.
         No existen sistemas  Extractores de calor.
         No existen sensores de Temperatura.
         No existen controles sobre el acceso de personas al aula.
         No hay un control de asistencia sobre los responsables del aula.
         No hay sistemas de vigilancia para detectar posibles movimientos fraudulentos a los
equipos de cómputo.
         Faltan definir políticas para la asignación de contraseñas de los equipos de cómputo.
         No se lleva un registro detallado de los usuarios que hacen uso de los equipos.
         No hay una hoja de vida de la existencia de los equipos.
         No se llevan bitácoras para la realización de procesos de mantenimiento.
         No existe personal encargado del mantenimiento de los equipos.
         La ventilación del aula no es la adecuada.
         No se ha asignado un espacio locativo para el ejercicio del mantenimiento preventivo y
correctivo.
         No se ha definido un protocolo para la organización de los equipos dependiendo que
clase de mantenimiento se procederá a efectuar.
         No se hace monitoreo sobre la prestación de servicios de mantenimiento de hardware
contratados por la institución educativa.
         No se hace inventario de existencias de equipos de cómputo.
         No se lleva monitoreo de la capacidad del hardware con el fin de asegurar que siempre
exista una capacidad justificable  para procesar las cargas de trabajo.
         No se realiza un escaneo para evitar intrusiones en la red.
         El rack no posee las medidas de seguridad necesarias.
         No se definen fechas para cambios del proveedor de servicios de internet.
         No se hace monitoreo sobre la prestación de servicios del ISP contratado.
VALORACIÓN DE RIESGOS

De acuerdo a los riesgos citados, se realiza la valoración de los riesgos teniendo en cuenta
la probabilidad de ocurrencia y el impacto del riesgo dentro de la red de datos de las aulas
de informática de la institución educativa, para ello se realiza la  siguiente tabla 1 donde se
valoran los riesgos para su posterior clasificación.

Tabla 1. Valoración de riesgos

Probabilidad Impacto
Riesgos / Valoración
A M B L M C
Eléctricos
R1 No existe conexión de polo a tierra x x
R2 No existe instalación de sistema eléctrico regulado x x
R3 No existe sistema de protección en caídas de energía x x
R4 No hay medidores de voltaje eléctrico en sus tres fases x x
R5 La fase neutra no se encuentra bien identificada x x
R6 No existe caja de breakers de los circuitos del aula x x

Siniestros y Catástrofes

R7 No existen sistemas contra incendios x x

Los usuarios no son capacitados en el uso adecuado de
R8
extintores
R9 No existen sistemas de censores de humo
R10 No existen sistemas  Extractores de calor
x  x
x x
x x

Manejo y Control de Personal 

No hay un control de asistencia sobre los responsables

R11
del aula x x 
No hay sistemas de vigilancia para detectar posibles
R12
movimientos fraudulentos a los equipos de cómputo. x x
No se lleva un registro detallado de los usuarios que
R13
hacen uso de los equipos x x
Manejo y Control de Hardware 

R14 No hay una hoja de vida de la existencia de los equipos x  x

No se llevan bitácoras para la realización de procesos de
R15
mantenimiento x x
No existe personal encargado del mantenimiento de los
R16
equipos x x
R17 La ventilación del aula no es la adecuada x x
no se hace monitoreo sobre la prestación de servicios
R18 de mantenimiento de hardware contratados por la
institución educativa  x x 
no se hace inventario de existencias de equipos de
R19
computo x X
no se lleva monitoreo de la capacidad del hardware con
R20 el fin de asegurar que siempre exista una capacidad
justificable  para procesar las cargas de trabajo x X

Manejo y Control de Redes

No se realiza un escaneo para evitar intrusiones en la

R21
red x x
R22 El rack no posee las medidas de seguridad necesarias x x
no se hace monitoreo sobre la prestación de servicios
R23
del ISP contratado  x  x

Probabilidad                                                                      Impacto
Alta: A                                                                                  Catastrófico: C
Media: M                                                                             Moderado: M
Baja: B                                                                                Leve: L

 
MATRIZ DE RIESGOS

De acuerdo a la valoración que se hace a los riesgos encontrados en la visita que se realiza
a la institución educativa y a las instalaciones de las aulas de informáticas, se puede
clasificar los riesgos como se muestra en la tabla 2.

Tabla 2. Clasificación de Riesgos

LEVE MODERADO CATASTROFICO

R7,R9,R10,R17, R19,
ALTO R16 R20

R12,R13,R15, R21
MEDIO R24,R8,R11 R22, R23

BAJO R1,R2,R3,R4,R5,R6,R18 R14