Modelo de Matriz de Riesgos y Controles

Matriz Nivel

Mapa de riesgo Gestión de Desarrollo y Mantenimiento de Software

Mapa de riesgo Gestión de Infraestructura tecnologica

DATOS GENERALES DEL RIESGO EVALUACIÓN DE RIESGO INHERENTE CONTROL EVALUACIÓN DE RIESGO RESIDUAL PLAN DE ACCIÓN INDICADORES
Responsable de
Nombre del Código del Origen del Frecuencia del Probabilidad Impacto Severidad Frecuencia del Oportunidad del Automatización Probabilidad Impacto Severidad Estrategia de Responsable de realizar Inicio de Plan de Estado de Plan Fin del plan de
COD Nivel Descripción del riesgo Tipo de Riesgo Descripción del control Responsable del control Evidencia del control Descripción del Plan de acción Código KRI Definición del KRI Frecuencia Meta del KRI KRI Actual asegurar su
Proceso Analizado Riesgo Riesgo Riesgo (1-4) (1-4) control control del control (1-4) (1-4) Respuesta el plan de acción Acción de Acción acción
cumplimiento

El Departamento de Tecnologías de la Información y Comunicaciones genera la

Gestión de Que las soluciones de TIC no satisfagan las
retroalimentación de los requerimientos de TIC, y obtiene la validación y Jefe de Tecnología de la Jefe de Tecnología de la
Desarrollo y necesidades de las áreas usuarias, debido al Tecnologías de la Cada vez que Conformidad firmada por
P1 Proceso R1 Interno No Recurrente 2.00 3.00 6.00 Alto aprobación de los requerimientos de TIC por el área usuaria. Información y Preventivo Manual 1.00 2.00 2.00 Bajo Reducir o mitigar Continuar con la aplicación de las actividades de control. Información y 02/01/2020 Iniciado 31/12/2020
Mantenimiento de dimensionamiento y/o alcance inexacto en la información suceda el área usuaria
Se establece que toda conformidad de una implementación debe ser firmada Comunicaciones Comunicaciones
Software implementación del proyecto de TIC.
por el área usuaria a la cual se vincula.

El Departamento de Tecnologías de la Información y Comunicaciones realiza la

Que se afecte la continuidad operativa de los actualización periódica del software de la empresa y mantiene actualizado el
Gestión de
servicios TIC o se genere pérdida de información, registro de caducidad para su inmediata renovación; asimismo, se incorpora en Jefe de Tecnología de la Jefe de Tecnología de la
Desarrollo y Cada vez que
P2 Proceso R2 debido a que se mantienen versiones de software Interno No Recurrente Operacionales 2.00 3.00 6.00 Alto el plan operativo de TIC la adquisición de la renovación de licencias de software Información y Preventivo Manual Control de licencias 1.00 2.00 2.00 Bajo Reducir o mitigar Continuar con la aplicación de las actividades de control. Información y 02/01/2020 Iniciado 31/12/2020
Mantenimiento de suceda
desactualizadas (antivirus, sistemas operativos, anuales. Comunicaciones Comunicaciones
Software
herramientas de productividad, etc.). Para el caso de productos Microsoft y Autodesk, se mantiene convenios
corporativos con FONAFE.
Que se afecte la continuidad operativa de los El Departamento de Tecnologías de la Información y Comunicaciones mantiene
Gestión de
sistemas y/o aplicaciones informáticas que son contratos o acuerdos de soporte y mantenimiento con los sistemas y/o Jefe de Tecnología de la Jefe de Tecnología de la
Desarrollo y Tecnologías de la Cada vez que Contar con servIcios de
P3 Proceso R3 adquiridos sin programas fuentes, debido a la falta Interno No Recurrente 3.00 3.00 9.00 Alto aplicaciones del tipo propietario o desarrollado por terceros; asimismo, se Información y Preventivo Manual 1.00 3.00 3.00 Moderado Reducir o mitigar Continuar con la aplicación de las actividades de control. Información y 02/01/2020 Iniciado 31/12/2020
Mantenimiento de información suceda soporte y mantenimiento
de soporte y mantenimiento de los sistemas y/o incorpora en el plan operativo de TIC la adquisición del mantenimiento de los Comunicaciones Comunicaciones
Software
aplicaciones. sistemas y/o aplicaciones.
Que se generen errores o ineficiencias en las
Gestión de
actividades de las áreas usuarias, debido a que se El Departamento de Tecnologías de la Información y Comunicaciones realiza Jefe de Tecnología de la Implementar ambientes de testing y pruebas antes de que poner en Jefe de Tecnología de la
Desarrollo y Cada vez que Realizar cambios en
P4 Proceso R4 ejecutan cambios en los sistemas y/o aplicaciones Interno No Recurrente Operacionales 1.00 3.00 3.00 Moderado pruebas antes de la puesta en producción de los nuevos sistemas y/o Información y Preventivo Manual 1.00 2.00 2.00 Bajo Reducir o mitigar producción una actualización o nueva versión de los sistemas y/o aplicaciones Información y 02/01/2020 Iniciado 31/12/2020
Mantenimiento de suceda ambientes de pruebas
informáticas directamente en ambientes de aplicaciones informáticas. Comunicaciones informáticas Comunicaciones
Software
producción.

Gestión de Que se generen errores o ineficiencias en el uso de El Departamento de Tecnologías de la Información y Comunicaciones, antes de Jefe de Tecnología de la Jefe de Tecnología de la
Desarrollo y los sistemas de información y/o aplicaciones, la instalación de parches para la actualización de software, revisa las Cada vez que Registro de control de
P5 Proceso R5 Interno No Recurrente Operacionales 1.00 3.00 3.00 Moderado Información y Preventivo Manual 1.00 2.00 2.00 Bajo Reducir o mitigar Continuar con la aplicación de las actividades de control. Información y 02/01/2020 Iniciado 31/12/2020
Mantenimiento de debido a la instalación de parches sin seguir las instrucciones de los fabricantes y aplica los parches en un equipo de prueba suceda cambios
antes de colocarlo en producción. Comunicaciones Comunicaciones
Software recomendaciones del proveedor.

Gestión de Que se generen errores o ineficiencias en las Jefe de Tecnología de la Orden de servicio por Jefe de Tecnología de la
Desarrollo y actividades de las áreas usuarias, por no contar con El Departamento de Tecnologías de la Información y Comunicaciones gestiona Cada vez que
P6 Proceso R6 Interno No Recurrente Operacionales 2.00 3.00 6.00 Alto Información y Preventivo Manual contratación de soporte 1.00 2.00 2.00 Bajo Reducir o mitigar Continuar con la aplicación de las actividades de control. Información y 02/01/2020 Iniciado 31/12/2020
Mantenimiento de personal que preste soporte técnico informático a la contratación del servicio de soporte técnico informático a los usuarios finales. suceda
los usuarios finales. Comunicaciones técnico Comunicaciones
Software

Gestión de Que se generen errores o ineficiencias en las El Departamento de Tecnologías de la Información y Comunicaciones, en
actividades de las áreas usuarias, debido a que los Jefe de Tecnología de la Jefe de Tecnología de la
Desarrollo y coordinación con el Departamento de Gestión Humana, realiza capacitaciones a Cada vez que Lista de asistencia a
P7 Proceso R7 usuarios finales hagan un manejo inadecuado de los Interno No Recurrente Operacionales 2.00 3.00 6.00 Alto Información y Preventivo Manual 1.00 2.00 2.00 Bajo Reducir o mitigar Continuar con la aplicación de las actividades de control. Información y 02/01/2020 Iniciado 31/12/2020
Mantenimiento de sistemas de información y/o aplicaciones por
las áreas usuarias sobre el manejo de los sistemas de información y/o suceda capacitaciones
Comunicaciones Comunicaciones
Software desconocimiento. aplicaciones.