ANALISIS DE MATRIZ DE RIESGO GRUPO 3.
SERVICIO NACIONAL DE APRENDIZAJE - SENA SANTIAGO DE CALI. 2018 ANALISIS DE MATRIZ DE RIESGO.
RIESGO 1. Versión obsoleta de sistema operativo Windows. Soporte hasta 08 de abril de 2014. Complementar la descripción del riesgo ya que el origen de este es el uso de una aplicación que sólo corre sobre la versión de Windows XP. Como el riesgo no está bien redactado, entonces la mitigación y el plan de contingencia no corresponden a un plan adecuado para solucionar el riesgo.
RIESGO 2. Uso compartido de las contraseñas por parte de los usuarios. No se define un plan de contingencia para este riesgo y que el propietario de la mitigación no debe ser solamente el usuario final, sino que esta responsabilidad debe ser compartida con el administrador de la red.
RIESGO 3. Copias de seguridad en disco duro extraíble expuesto. El plan de contingencia que definieron, debería ser tomado como la mitigación; por lo que un plan de contingencia ideal sería tener un segundo disco de Backups y que tanto el disco principal como el de respaldo estén en un lugar seguro y bajo algún mecanismo de acceso.
RIESGO 4. Explosión o incendio debido a fallas eléctricas o recalentamiento de los dispositivos. El plan de contingencia definido no se ajusta al riesgo ni a su mitigación. En cuanto al propietario del riesgo y la mitigación no debería asignarse simplemente al administrador de red, sino que debería compartirse la responsabilidad con el área de mantenimiento. En cuanto a la decisión con el riesgo, además de reducir se debe tener en cuenta la opción evitar.
RIESGO 5. Falla de equipos de cómputo. Complementar la descripción del riesgo ya que no especifica el tipo de falla presentada.
La mitigación y la contingencia abarcan el mismo plan de acción, pensamos que como mitigación debería establecerse el mantenimiento de equipos y como contingencia la reparación inmediata de la falla como tal.
RIESGO 6. Hurto de información. Complementar la descripción del riesgo. En cuanto a la mitigación, al revisar las políticas se tuvo que encontrar el punto vulnerado para acceder a la red y robar información, ya habiendo detectado esto el plan de contingencia tendría que enfocarse hacia esta vulnerabilidad.
RIESGO 7. Cableado de red defectuoso La mitigación y la contingencia abarcan el mismo plan de acción, pensamos que como mitigación deberían reparar el cableado y como contingencia se haría el reemplazo.
RIESGO 8. Mal estado de los equipos. Básicamente es similar al riesgo 5. Nuevamente la mitigación y la contingencia abarcan el mismo plan de acción, pensamos que como mitigación deberían reparar equipos en lo posible y como contingencia se haría el reemplazo.
RIESGO 9. Falta de normas y /o reglas claras. Habla de normas y reglas, pero no define el contexto de las mismas. Carecer de normas y reglas en una compañía, significa un riesgo elevado para la información lo que supone una probabilidad y un impacto altos, lo cual no coincide con lo expresado en la matriz elaborada por los compañeros. No se estableció plan de contingencia para el riesgo. RIESGO 10. Equipos de red expuestos. No definen a qué tipo de exposición están sujetos los equipos de red.
La mitigación no es clara y concisa, además se carece de contingencia. Tanto el propietario de la mitigación y la contingencia sería el administrador de red. RIESGO 11. Equipos sin cifrar fuera de las instalaciones. La descripción es muy general y no tipifica los equipos que están sin cifrar. No se estableció plan de contingencia para el riesgo. Tanto el propietario de la mitigación y la contingencia sería el administrador de red.
CONCLUSIÓN. Se han detectado riesgos relevantes, pero se han quedado cortos en la descripción de estos para diligenciar correctamente la matriz, pues algunos carecen de contingencia que es un factor crucial al materializarse el riesgo, pues define las acciones a tomar y en este caso simplemente terminan aceptando el riesgo en vez de evitarlo, reducirlo o transferirlo. Por otro lado, el campo calificación está sin diligenciar y la matriz también carece de los campos controles del progreso de la mitigación como de informes mensuales de estado, aspectos claves para llevar a cabo una correcta y completa administración del riesgo.