DESCRIPCIONDESCRIPCION DEL PROCESOPROCESO: ADQUISICIONESLA
EMPRESA EN LA QUE SE ANALIZARA EL PROCESO ES EL PROYECTO ESPECIAL
OLMOS TINAJONESdentro de su organizacin se encuentra lka unidad de
abastecimientos que involucra los procesos de adquisiciones y
almacen. el proceso de adquisiciones se inicia con el requerimiento
del area usuaria a travez de un informe o pedido interno el cual es
enviado a la oficina de administracion para su aprobacion, quien lo
deriba a la unidad de abastecimientos generando la solicitud de
cotizacionpara su posterior compra.una vez recibida el documento en
el area de abastecimientos se procede a generar la solicitud de
cotizacion la cual es entregada del cotizador para su respectiva
cotizacion con las diferentes empresas teniendo como minimo tres
cotizaciones una vez recepcionada las cotizaciones, la jefa de
adquisiciones procedela jefa de abastecimientos procede a evaluar
las 3 cotizaciones, generando la orden de compra
RIESGOSMATRIZ DE RIESGO DE LA INFORMACION
Proceso: AdquisicionesResponsable: Equipo N 1Fecha: 4/26/13
ACTIVOAMENAZAVULNERABILIDADQu Afecta en los activos de
informacin?RIESGO EFECTIVOACEPTABLE/ESTRATEGIACONTROLESCIDValor
CIDIMPACTOPROBABILIDAD NIVEL DE RIESGO NOMBRE DEL RIESGOCODIGO DE
RIESGOINACEPTABLEA1: Equipos de ComputoAM1: RoboFalta de Camaras de
Seguridad113SignificativomoderadoimprobableRIESGO ALTOSE ENCUENTRA
EN UNA ESCALA ENTRE EL 31% - 50%INACEPTABLEMITIGAR9.1.1 Permetro de
seguridad fsicaRiesgos desde terceras partesFalta de poltica de
seguridadFalta de Control de acceso a la empresa9.2.1 Instalacin y
proteccin de equiposFalta de anclaje de los equipos de computoAM2:
VirusAntivirus desfasado123SignificativomenorposibleRIESGO
MODERADOSE ENCUENTRA EN UNA ESCALA ENTRE EL 31% -
50%INACEPTABLEMITIGAR10.4 Proteccin contra software
maliciosoAntivirus desactualizado10.4.1 Medidas y controles contra
software maliciosoFalta de licenciamiento15.1.2 Derechos de
propiedad intelectual (DPI)AM3: SabotajeFalta de control de acceso
a la configuracin132SignificativomoderadoraroRIESGO BAJOSE
ENCUENTRA EN UNA ESCALA ENTRE EL 16% - 30%ACEPTABLEMONITOREARAM4:
Falta de MantenimientoIncuplimiento en el plan de mantenimiento
preventivo123SignificativomenorposibleRIESGO MODERADOSE ENCUENTRA
EN UNA ESCALA ENTRE EL16% - 30%INACEPTABLEMITIGAR8.2.3 Proceso
disciplinarioIncumplimiento en los procedimientos de ejecucin8.2.3
Proceso disciplinarioAM5: Incendio.Cableado electrico mal
instalado122ModeradocatastroficoraroRIESGO MODERADOSE ENCUENTRA EN
UNA ESCALA ENTRE EL 16% - 30% INACEPTABLEMITIGARPobre cableado
(ECONOMICO)Susceptibilidad a las variaciones del voltajeConexiones
de red pblica desprotegidasIncumplimiento en las normas tecnicas de
seguridad8.2.3 Proceso disciplinarioA2: CotizadorAM6:
MuerteEnfermedad113SignificativocatastroficoraroRIESGO MODERADOSE
ENCUENTRA EN UNA ESCALA ENTRE EL 16% -
30%INACEPTABLEMITIGARPersonal InsuficienteAM7: SobornoBaja
remuneracin al cotizador231SignificativomoderadoimprobableRIESGO
MODERADOSE ENCUENTRA EN UNA ESCALA ENTRE EL 51% -
100%INACEPTABLEMITIGAR5.1.1 Documento de poltica de seguridad de la
informacinFalta de cultura laboral6.1.1 Comit de gestin de
seguridad de la informacin6.1.5 Acuerdos de confidencialidadAM8:
Personal DesmotivadoBaja
remuneracin331CatastroficomayorimprobableRIESGO EXTREMOSE ENCUENTRA
EN UNA ESCALA ENTRE EL 51% - 100%INACEPTABLEMITIGAR6.1.1 Comit de
gestin de seguridad de la informacinFalta de capacitacin y
motivacionA3: Requerimiento de PedidoAM9: Perdida del
Documento.Falta de administracin de archivos
fisicos323CatastroficomayorposibleRIESGO ALTOSE ENCUENTRA EN UNA
ESCALA ENTRE EL 51% - 100%INACEPTABLEMITIGAR7.1.1 Inventario de
activos, 7.2.1 Guas de clasificacinInadecuada infraestructura
fisica9.1.3 Seguridad de oficinas, despachos y recursosAM5:
Incendio.Cableado electrico mal
instalado323CatastroficocatastroficoraroRIESGO MODERADOSE ENCUENTRA
EN UNA ESCALA ENTRE EL 16% - 30%ACEPTABLEMONITOREARPobre cableado
(ECONOMICO)Susceptibilidad a las variaciones del voltajeConexiones
de red pblica desprotegidasIncumplimiento en las normas tecnicas de
seguridad8.2.3 Proceso disciplinarioAM10: Falla de especificaciones
tecnicas del requerimientoFalta de
capacitacin133CatastroficomayorprobableRIESGO EXTREMOSE ENCUENTRA
EN UNA ESCALA ENTRE EL 31% - 50%INACEPTABLEMITIGAR8.2.2
Conocimiento, educacin y entrenamiento de la seguridad de
informacinA4: Infraestructura de RedAM3: SabotajeMala administracin
de accesos a la red123SignificativomayorraroRIESGO MODERADOSE
ENCUENTRA EN UNA ESCALA ENTRE EL 16% - 30%ACEPTABLEMONITOREARMala
administracin de puertos.AM4: Falta de MantenimientoDeficiente
cultura de mantenimiento113SignificativomoderadoposibleRIESGO
ALTOSE ENCUENTRA EN UNA ESCALA ENTRE EL 31% -
50%INACEPTABLEMITIGAR6.1.3 Asignacin de responsabilidades sobre
seguridad de la informacinIncumplimiento en el plan de
mantenimiento preventivo9.2.3 Seguridad del cableadoAM5:
Incendio.Cableado electrico mal
instalado113SignificativocatastroficoraroRIESGO MODERADOSE
ENCUENTRA EN UNA ESCALA ENTRE EL 16% - 30%ACEPTABLEMONITOREARPobre
cableado (ECONOMICO)Susceptibilidad a las variaciones del
voltajeConexiones de red pblica desprotegidasIncumplimiento en las
normas tecnicas de seguridadA5: Solicitud de CotizacinAM9: Perdida
del Documento.Falta de administracin de archivos
fisicos123SignificativomenorposibleRIESGO MODERADOSE ENCUENTRA EN
UNA ESCALA ENTRE EL 51% - 100%INACEPTABLEMITIGAR7.1.1 Inventario de
activos, 7.2.1 Guas de clasificacinInadecuada infraestructura
fisica9.1.3 Seguridad de oficinas, despachos y recursosAM5:
Incendio.Cableado electrico mal
instalado113SignificativocatastroficoraroRIESGO MODERADOSE
ENCUENTRA EN UNA ESCALA ENTRE EL 16% - 30%ACEPTABLEMONITOREAR9.2.3
Seguridad del cableadoPobre cableado (ECONOMICO)Susceptibilidad a
las variaciones del voltajeConexiones de red pblica
desprotegidasIncumplimiento en las normas tecnicas de
seguridad8.2.3 Proceso disciplinarioA6. Orden de compraAM9: Perdida
del Documento - Fisica.Imadecuada administracin de archivos
fisicos122ModeradomenorposibleRIESGO
MODERADOINACEPTABLEMITIGAR7.1.1 Inventario de activos, 7.2
Clasificacin de la informacin, 7.2.2 Marcado y tratamiento de la
informacinInadecuada infraestructura fisica9.1.3 Seguridad de
oficinas, despachos y recursosAM5: Incendio.Cableado electrico mal
instalado113SignificativocatastroficoraroRIESGO
MODERADOINACEPTABLEMITIGAR9.2.3 Seguridad del cableadoPobre
cableado (ECONOMICO)Susceptibilidad a las variaciones del
voltajeConexiones de red pblica desprotegidas9.2.2 Suministro
elctricoIncumplimiento en las normas tecnicas de seguridad8.2.3
Proceso disciplinarioAM11: Perdida del Registro en el
Sistematecnologia u arquitectura
obsoleta123SignificativomayorposibleRIESGO
ALTOINACEPTABLEMITIGARAM12: Fallo en el Sistema Interrupcion de
servicio en red113SignificativomayorposibleRIESGO
ALTOINACEPTABLEMITIGARAM13: Error en la red Falta de
mantenimiento113SignificativomayorposibleRIESGO
ALTOINACEPTABLEMITIGARA7. Sistema de AdquisicionesAM14: Caida del
sistemaAtaque de virus133CatastroficomayorimprobableRIESGO
ALTOINACEPTABLEMITIGAR10.4 Proteccin contra software
maliciosoFallos en la redAM15: Inadecuada Manipulacion del
sistemaFalta de Capacitacion
132SignificativomoderadoimprobableRIESGO
MODERADOINACEPTABLEMITIGAR8.2.2 Conocimiento, educacin y
entrenamiento de la seguridad de informacinA8. ServidorAM16:
Tecnologia del sistema Opetativo obsoletaFalta de Capacitacion
132Significativocatastroficocasi ciertoRIESGO
EXTREMOINACEPTABLEMITIGAR8.2.2 Conocimiento, educacin y
entrenamiento de la seguridad de informacinAM17: Fallo en
equipoFalta de
mantenimiento123SignificativocatastroficoimprobableRIESGO
ALTOINACEPTABLEMITIGAR8.2.3 Proceso disciplinarioTecnologia no
apropiadaA9. Infraestructura FisicaAM5: Incendio.Cableado electrico
mal instalado123SignificativocatastroficoraroRIESGO
MODERADOINACEPTABLEMITIGAR9.2.3 Seguridad del cableadoPobre
cableado (ECONOMICO)Susceptibilidad a las variaciones del
voltajeConexiones de red pblica desprotegidas9.2.2 Suministro
elctricoIncumplimiento en las normas tecnicas de seguridad8.1.1
Inclusin de la seguridad en las responsabilidades y funciones
laboralesAM18: Ambiente reducidoFalta de Politica de salud y
seguridad del Trabajo212Moderadomenorcasi ciertoRIESGO
ALTOINACEPTABLEMITIGAR5.1.1 Documento de poltica de seguridad de la
informacinA10. Documento de AprobacionAM19: PresupuestoInadecuada
Administracion programacion
presupuetal123SignificativocatastroficoposibleRIESGO
EXTREMOINACEPTABLEMITIGAR8.2.3 Proceso disciplinario
MATRIZCID12345Aspecto de la seguridad afectado por el
riesgoImpactoCID111111NOSIGNIFICATIVO112112MENOR113113SIGNIFICATIVO121121MENOR122122MODERADO123123SIGNIFICATIVO131131SIGNIFICATIVO132132SIGNIFICATIVO133133CATASTROFICO211211MENOR212212MODERADO213213SIGNIFICATIVO221221MODERADO222222MODERADO223223SIGNIFICATIVO231231SIGNIFICATIVO232232SIGNIFICATIVO233233CATASTROFICO311311SIGNIFICATIVO312312SIGNIFICATIVO313313CATASTROFICO321321SIGNIFICATIVO322322SIGNIFICATIVO323323CATASTROFICO331331CATASTROFICO332332CATASTROFICO333333CATASTROFICO
CRITERIOSCIDCriterio de valorizacin:
DisponibilidadValorClasificacinDefinicinConsecuencia3ALTAEs
informacin o activo indispensable para la continuidad de la
empresa. El recurso principal y el alternativo no pueden faltar por
un periodo prolongado de tiempo en horarios crticosla falta de
disponibilidad por periodos prolongogados producen: -
incumplimientos a los acuerdos de nivel de servicio. La transicion
entre el recurso principal y el alternativo no debe impactar el
acuerdo de servicio.- perjuicios legales que afectan a la
empresa-perjuicios economicos que no pueden ser absorvidos por la
empresaproblemas sindicales.2MediaLa disponibilidad de la
informacin es necesaria para la continuidad de la empresa, pero
existen canales alternativos para contrarestrar una perdida de
disponibilidad en un tiempo razonable.El recurso principal y el
alternativo puede quedar fuera de servicio por un periodo de tiempo
en horarios criticos.la fala de disponibildiad produce:-que los
niveles de servicios acordados se puedan ver afectados en la
transicion entre el medio principal y el alternativo.- perjuicios
legales que no comprometen la imagen de al empresa.-perjuicios
economicos que pueden ser absorvidos por la empresa.-no hay
problemas sindicales.1Bajaes informacion o activos de apoyo o
secundarios para el negocio. La infomracion se encuentra duplicada
en varias fuentes.Si no esta disponible no compromete procesos
operativos importantes.la falta de disponibilidad produce:- que los
niveles de servicios acordados para los procesos operativos
importantes no se ven afectados.- problemas administrativos y
operativos no significativos.-perjuicios economicos que no son
significativos.- no hay perjuicios legales.- no hay problemas
sindicales.Criterio de valorizacin:
IntegridadValorClasificacinDefinicinConsecuencia3AltaEs informacin
o recurso que al ser modificadoo intencionall o casualmente por
personas o procesos autorizaods o no autorizados provocan daos de
gran magnitud.la falta de integridad produce dao de gran magnitud
los que se pueden expresar como:- perdidas economicas (perdida,
incumplimiento de metas)-falla de los procesos informaticos
(incapacidad de ejecturarlos por un periodo de tiempo mas alla de
lo estimado como manejable)-dao de la imagend e la empresa (dao a
nivel a nacioanl e internacional que no se puede reparar en el
corto plazo)-perdida de la confianza de los usuarios2Mediaes la
informaacion o recurso que al ser modificadointencionall o
casualmente por personas o procesos autorizados o no autorizados
provocan daos de mediana magnitudla falta de integridad producen
dao de mediana magnitud que se pueden expresar como:-perdidad
economicas (menor ganancia, incumplimiento de las metas en menor
escala).-falla de los procesos informaticos (incapacidad de
ejecucion en un periodo de tiempo y esta en el limite superior de
lo estimado como manejable).--dao de la imagen d e la empresa (dao
a nivel a nacional, se puede reparar en el corto plazo)-perdida de
la confianza de los usuarios1Bajaes la informaacion o recurso que
al ser modificadointencionall o casualmente por personas o procesos
autorizados o no autorizados provocan daos de pequea magnitudla
falta de integridad producen dao de pequea magnitud que se pueden
expresar como:-perdidad economicas (no impacta las ganancias, se
cumple las metas en menor escala).-falla de los procesos
informaticos (incapacidad de ejecucion en un periodo de tiempo pero
este es manejable).--dao de la imagen d e la empresa (dao a nivel a
nacional, que puede no ser percebido y se puede reparar en el
prontamente)-perdida de la confianza de los usuariosCriterio de
valorizacin:
ConfidencialidadValorClasificacinDefinicinConsecuencia3Altaes la
informacion o recurso que puede ser divulgado solo a fuentes
autorizadas, controladas y debidamente identificadas. Debe ser
modificada y leida por un grupo reducida de personas autorizada y
claramente identificadas.la divulgacion no autorizada
produce:-perdida de la ventaja competititva.-uso malicioso en
contra de la empresa.-perdida financieras que no pueden absorvidas
por la empresa.-demanda legales que daan la imagen y confianza
publica de la empresa.
2Mediaes al informacion que debe ser divulgada solo al personal
de las areas que la manejan y modificadas solo por personas
autorizadas e individualizadas.la divulgacion no autorizada
produce:-uso malicio en contra de la imagen o en situaciones
puntuales.- perdidas financieras qu epueden ser absorvidas por la
subgerencia.- no se producen demandas legales.1Bajaes la
informacion que puede ser divulgada a publico general pero que solo
puede ser modificada por personas autorizadasla divulgacion no
autorizada no reresenta perjuicio para la empresa.
NIVELES IMPACTONIVELES DE
IMPACTO1INSIGNIFICANTE2MENOR3MODERADA4MAYOR5CATASTROFICO1: NO
AFECTA A LA OPERATIVIDAD DEL NEGOCIO2: IMPACTA O DAO TANGIBLE
REQUIRIENDO DE GASTOS DE RECURSO PARA REPARAR3: DAA LA IMAGEN DE LA
UNIDAD, SE REQUIERE UN GASTO SIGNIFICATIVO PARA REPARARLOO 4:
IMPACTA AL NEGOCIO INTERRUMPIENDO PARCIALMENTE MAXIMO DE 24 HORASLA
CONTINUIDAD 5: IMPACTA AL NEGOCIO INTERRUMPIENTO TOTALMENTE LA
OPERATIVIDAD; AFECTANDO EL COMPROMISO DE INFORMACION O SERVICIO
DURANDO DIAS
NIVELES DE PROBABILIDADNIVELES DE
PROBABILIDAD1RARO2IMPROBABLE3POSIBLE4PROBABLE5CASI CIERTO1:
improbable de ocurrir 2: posible de ocurrir cada 2 o 3 veces cada 5
aos 3: POSIBLE DE OCURRIR al ao o menos 4: POSIBLE DE OCURRIR UNA
VEZ o varias veces AL MES5: Posible de ocurrir multiples veces en
un dia
VALORIZACIONValorCriterio10muy altodao muy grave a la
organizacin9altodao grave a la organizacin8alto7alto6mediodao
importante a la organizacin5medio4medio3bajodao menor a la
organizacin2bajo1bajo0despreciableirrelevante a efectos
prcticos
VALORRIESGOMATRIZ DE VALOR DE RIESGO1234IMPACTOPROBABILIDADVALOR
RIESGO1111BAJO1212BAJO1313BAJO1414MODERADO1515MODERADO2121BAJO2222MODERADO2323MODERADO2424ALTO2525ALTO3131BAJO3232MODERADO3333ALTO3434ALTO3535EXTREMO4141MODERADO4242ALTO4343ALTO4444EXTREMO4545EXTREMO5151MODERADO5252ALTO5353EXTREMO5454EXTREMO5555EXTREMO
