CASO DE ESTUDIO: MATRIZ DE RIESGOS EMPRESA XYZ

Analizar la siguiente Matriz de Riesgo de riesgo de la Empresa XYZ - y realizar la valoracion y ponderacion del riesgo, una vez determinada la valoracion del riesgo deben seleccionar la opcion de
tratamiento y las acciones recomendadas.

Valoración del Riesgo Tratamiento del Riesgo

Riesgo Inherente
Probabilidad de

TRATAMIENTO
ocurrencia

Impacto
Consecuencia
Nomenclatura Evento Causa
(Afectación)
Controles Existentes Descripción del control

Dado que actualmente no se

Es posible que en el momento que
realizan restauraciones de las
requiera restaurar el backup, éste
copias de respaldo de la
R1 Impacto en la Información
aplicación y no se pueda contar
se encuentre dañado o no se Bitácora de Backups 0
pueda garantizar la integridad de la
con ambientes de pruebas para
información
garantizar dichas restauraciones

Es posible que se presenten

interrupciones en el servicio de
Dado que la base de datos no
Interrupción en la continuidad facturación, cobros, recaudo, Backups y copias de respaldos
R2 del servicio
cuenta con esquemas de alta
lecturas entre otros procesos de Periódicos 0
disponibilidad
negocio que soporte la solución
ERP

Dado que actualmente no se Es posible que generen

En Proceso Proyecto de
Sanciones por incumplimiento tienen identificados los datos sanciones(Económicas,
R3 en la ley de protección de datos personales que se manejan en el reputacionales) por
levantamiento de datos 0
personales
sistema ERP incumplimiento de la ley

* Es posible que no se cuente con

el soporte y mantenimiento
En proceso Proyecto de
Dado que la documentación no se adecuado para garantizar la
Documentación obsoleta o estandarización de proceso de
R4 desactualizada
actualiza a medida que se realizan disponibilidad de las mismas
desarrollo y gestión de la 0
cambios en las aplicaciones. * Es posible que se generen errores
configuración
de configuración de las
aplicaciones

Es posible que estos no se

encuentren alineados con las
Falta de aseguramiento de los Dado que no se revisan Se esta realizando revisión de
R5 procesos de TI periódicamente los procesos de TI
necesidades del negocio y de TI,
procesos y actualización 0
afectando la operación de los
servicios.

Es posible que se afecte el servicio

Dado que no se cuentan con
y la disponibilidad de las Se esta documentando las tareas
R6 Impacto de recurso claves de TI planes y procesos de backup de
aplicaciones afectando la de cada recurso 0
recursos claves de TI
operatividad

Es posible que al fallar el principal

Impacto de continuidad en las Dado que no se cuenta con un
R7 operaciones Centro de Procesamiento Alterno
se vea afectada toda la operativa No Existe Control 0
del negocio

Dado que se cuenta con equipos Es posible que se presenten

de más de 5 años de antigüedad y
Equipos obsoletos o software
R8 desactualizado
que adicionalmente existe
software que ya no tiene soporte
ni mantenimiento
errores de configuración o Se esta realizando un inventario
vulnerabilidades que afecten la de equipos y software obsoleto 0
disponibilidad, integridad y para tomar decisiones al respecto
confidencialidad de la información

Es posible que en el cambio de

Dado que la documentación
proveedor se presenten
R9 Transferencia de conocimiento existente del la mesa de servicio
afectaciones en los tiempo de
No existe Control 0
es limitante
solución de los casos
 Es posible que ante algún
acontecimiento que impacte el
Dado que actualmente "La
servicio no se tenga identificados y
R10 Continuidad del negocio Compañía" no cuenta con un BCP
priorizados los procesos de negocio
No Existe Control 0
definido
a recuperar, ni se tengan definidas
estas estrategias de recuperación.