1 de 2

Unidad
Código Código del Frecuencia Diseño del Efectividad Efectiv idad del Riesgo Ev aluación R.
Área Producto / Serv icio de Proceso Subproceso Descripción del Riesgo Factor de Riesgo Tipo de Riesgo (Niv el 1) Tipo de Riesgo (Niv el 2) Impacto Probabilidad Ponderación Ev aluación Tratamiento del Riesgo Nombre Corto del Control Control Implementado en la empresa Tipo de Control 2 Mecanismo del Control control Operativa
Ponderación Ev aluación Debilidad del Control Plan de Acción Responsable (s)
del Riesgo Proceso del Control Control Residual Residual
Negocio

Responsabilidades y 2 1 Bajo Reducir La empresa cuenta con un documento del Comité Directivo de Tecnología. Preventivo 25% 0.5 Bajo
1 Tecnología Todos Política para la Administración Tecnológica de la Información TEC-002 Organización del de. Tecnología Ausencia de un Comité de Tecnología Procesos Internos 7. Ejecución, entrega y gestión de procesos 9. Cultura Organizacional 2 Funciones del Comité Directivo de TI Manual A demanda 1 1 2 Muy Efectivo
Funciones Se llevan a cabo reuniones con periodicidad para mantener alineados los objetivos.

Responsabilidades y 2 1 Bajo Reducir La empresa cuenta con un documento del plan estratégico de área de tecnología y se llevan a cabo Preventivo 25% 0.5 Bajo
2 Tecnología Todos Política para la Administración Tecnológica de la Información TEC-002 Responsabilidades y funciones Ausencia de un Plan de Tecnología Procesos Internos 7. Ejecución, entrega y gestión de procesos 6.1 Sistemas 2 Definir un Plan Estratégico de TI Manual A demanda 1 1 2 Muy Efectivo
Funciones reuniones con periodicidad con la Alta Dirección para mantener alineados los objetivos..

Responsabilidades y 2 1 Bajo Reducir Preventivo 25% 0.5 Bajo

3 Tecnología Todos Política para la Administración Tecnológica de la Información TEC-002 Políticas de Tecnología Ausencia de Políticas de uso de la Tecnología Procesos Internos 7. Ejecución, entrega y gestión de procesos 6.1 Sistemas 2 Política de Administración de Tecnología La empresa cuenta con un documento de control de operaciones Manual A demanda 1 1 2 Muy Efectivo
Funciones
Responsabilidades y 2 1 Bajo Reducir La empresa cuenta con un documento sobre el proceso para llevar a cabo los proyectos Preventivo 25% 0.5 Bajo
4 Tecnología Todos Política para la Administración Tecnológica de la Información TEC-002 Políticas de Tecnología Ausencia de Política para proyectos de Tecnología Procesos Internos 7. Ejecución, entrega y gestión de procesos 6.1 Sistemas 2 Política de Proyectos Manual A demanda 1 1 2 Muy Efectivo
Funciones

La empresa cuenta con un documento donde se define la estructura con sus funciones y roles a través del
Responsabilidades y Ausencia de documentación de roles y responsabilidades en Tecnología debido a que el departamento 2 1 Bajo Reducir Preventivo 25% 0.5 Bajo
5 Tecnología Todos Política para la Administración Tecnológica de la Información TEC-002 Responsabilidades y funciones Procesos Internos 6. Interrupción del negocio y fallos en los sistema 6.1 Sistemas 2 Definir Roles y Responsabilidades del Departamento de Tecnología organigrama Manual A demanda 1 1 2 Muy Efectivo
Funciones funciona con personal pero no se cuenta con documentación.

La política esta incompleta, hace falta definir controles y una matriz de riesgos para fraudes
Tecnología
Negocios Responsabilidades y 3 2 Alta Reducir Existe una política para la administración se comparte con varias áreas de la empresa Preventivo 75% 4.5 Medio
6 Todos Política para la Administración de la Banca Electrónica OPS-004 Ausencia de políticas de administración para la Banca electrónica Procesos Internos 6. Interrupción del negocio y fallos en los sistema 6.1 Sistemas 6 Administración de los canales y medios de pagos electrónicos Manual A demanda 3 3 6 Parcialmente
Seguridad de la Información Funciones
Operaciones

Responsabilidades y 3 1 Media Reducir Existe un proceso que explica cómo se realizan las nuevas solicitudes de servicios o soluciones para nuevos Preventivo 25% 0.75 Bajo
7 Infraestructura Todos Administración de servidores de producción M001 Ausencia de documentación de procedimientos para la administración de servidores de producción Procesos Internos 6. Interrupción del negocio y fallos en los sistema 6.1 Sistemas 3 Solicitud de servicios Manual A demanda 1 1 2 Muy Efectivo
Funciones requerimientos

Responsabilidades y 3 1 Media Reducir / Mitigar Se cuenta con un documento que explica como se tramita la gestión de requerimiento que incluye los pasos Preventivo 25% 0.75 Bajo
8 Tecnología Todos Gestión de requerimiento M19 No se cuenta con procedimientos para la gestión de requerimientos Procesos Internos 6. Interrupción del negocio y fallos en los sistema 6.1 Sistemas 3 Gestión de Requerimiento Manual A demanda 1 1 2 Muy Efectivo
Funciones para dicha gestión.
La empresa cuenta con un diagrama de red lógica que muestra la conexión entre subredes, VLAN,
Entrega de Servicio 3 1 Media Reducir / Mitigar Preventivo 25% 0.75 Bajo
9 Tecnología Diagrama de Red Todos N/A No se cuenta con un diagrama de red de comunicaciones Infraestructura 7. Ejecución, entrega y gestión de procesos 6.1 Sistemas 3 Revisar Diagrama de Red General de sistemas dispositivos de red, firewall, router y protocolos de enrutamiento, sitios externos de la empresa con el Data Manual A demanda 1 1 2 Muy Efectivo
Tecnológico
Center, el sitio de contingencia, la nube y conexión con sucursales
No se está llevando la toma de inventario * Transferir el proceso de inventario tecnológico al depto de Servicios
Los procesos manuales tienen fallas. Generales
3 2 Alta Reducir / Mitigar La empresa cuenta con una política para toma de inventarios tecnológicos físico que debe realizarse cada 6 Preventivo 50% 3 Medio La conciliación de los equipos físicos con el ultimo inventario no se realiza.
10 Servicios Generales Inventario Todos Revisión de Inventario de equipos tecnológicos de usuarios OPS-004 No se cuenta con un inventario actualizado de los equipos tecnológicos de los usuarios Tecnología 7. Ejecución, entrega y gestión de procesos 6.1 Sistemas 6 Revisión de Inventario de Equipos tecnológicos Manual A demanda 1 3 4 Efectivo
meses. La conciliación a nivel de libros contables no se realiza

*La cantidad aplicaciones de usuario final que son gratuitas y cuales requieren licencia no se lleva a cabo * El Proceso debe pasar a tecnología y debe ser monitoreado
* Se comparte licencias entre usuarios sin control de uso
* Hace falta una herramienta automatizada para la conciliación de las aplicaciones instaladas vs las compradas.
3 2 Alta Reducir / Mitigar Revisión de Inventario tecnológico intangible (Software) de usuario final La empresa cuenta con una política para toma de inventarios tecnológicos de software que debe realizarse Preventivo 75% 4.5 Medio
11 Servicios Generales Inventario Todos Revisar Inventario de Software de los usuarios OPS-004 No se cuenta con un inventario actualizado de los software de los usuarios Tecnología 6. Interrupción del negocio y fallos en los sistema 6.1 Sistemas 6 Manual A demanda 3 2 5 Parcialmente * Nombrar los usuarios que tienen aplicaciones instaladas.
y control de licencias cada 6 meses.

3 1 Media Reducir / Mitigar El área de infraestructura tecnológica cuenta con el inventario que se recopila de forma manual tanto en el Preventivo 25% 0.75 Bajo
12 Tecnología Inventario Todos Revisar Inventario de Servidores y Equipos de Comunicación OPS-004 No se cuenta con un inventario de servidores y programas Tecnología 7. Ejecución, entrega y gestión de procesos 6.1 Sistemas 3 Revisión de Inventario de servidores y de comunicaciones Manual Diario 1 1 2 Muy Efectivo
edificio y para el Centro de datos y se apoyan con un proveedor tercerizado
 2 de 2

Fecha Estimada de la Fecha Real de Este riesgo ha sido reportado en la Base de Datos de Ev entos e
Fecha - Aprobación de la Medida Estatus Es un Proceso Crítico
Ej ecución Implementación Incidentes de RO