Cap 7

7. Análisis de los riesgos

Objetivos generales

Evaluar toda clase de amenazas o riesgos para la institución entorno a las TIC así como también de los recursos humanos o empleados para mejorar los procesos institucionales de investigación, difusión, transferencia de tecnología y buen gobierno con los clientes internos y externos a través de la implementación de normas o controles que brinden un mejor desempeño de todas las áreas de la organización.

A continuación se nombran los riesgos más importantes:

Riesgos en las infraestructuras de telecomunicaciones Riesgos de conectividad y uso de TIC Riesgos del capital humano Riesgos de los recursos de presupuesto

7.1.1 Riesgos en las infraestructuras de telecomunicaciones

Insuficiente eficiencia y transparencia para compartir archivos y recursos entre computadores en el nodo central de la red, al existir dos accesos independientes.

El cableado estructurado en proceso de obsolescencia derivado de una antigüedad de más de 10 años.

No se cuenta con un servidor firewall/proxy moderno y robusto que permita bloquear contenido web indeseado y/o peligroso así como tráfico P2P y/o accesos no autorizados.

7.1.2 Riesgos de conectividad y uso de TIC

El parque de equipos de cómputo necesita en su gran mayoría necesitan ser reemplazadas puesto que han superado los cantidad años recomendada para su uso. Similar situación se dan en los equipos periféricos.

Insuficiente eficacia del control de los virus informáticos derivada de una ausencia de gestión centralizada; cada programa o proyecto realiza independientemente la adquisición de su propio software antivirus, lo que no garantiza plenamente la protección total de la red de cómputo.

Existe necesidad de invertir en licenciamiento de software para mejorar la eficiencia de la infraestructura de informática y redes y estar plenamente vigentes en los compromisos nacionales e internacionales.

7.1.3 Riesgos del capital humano

Se identifica como una necesidad prioritaria potenciar capacidades en recursos humanos en TIC del área de informática y redes y mejorar las destrezas tecnológicas de los usuarios del servicio a fin de mejorar la productividad corporativa.

Se identifica capacidades institucionales en TIC aplicado a la promoción y uso de los bienes y servicios institucionales utilizando tecnologías de sistemas de información en biodiversidad, sociodiversidad y economía amazónica.

7.1.4 Riesgos de los recursos de presupuesto

Los recursos presupuestales para invertir en infraestructura de informática y redes y en fortalecimiento de capacidades en TIC son limitados. Sin embargo existe la decisión institucional de ampliar sus inversiones en este campo para una plena incorporación al sistema nacional de informática y para promover los bienes y servicios institucionales y la mayor eficiencia de sus procesos de gestión internos. Se ha diseñado un sistema institucional integral de informática y redes y se viene implementando en un periodo de tres años el cual se inició el 2011 con la renovación del parque informático y de software, en una primera etapa.

7.2. Análisis FODA (Fortalezas, Oportunidades, Debilidades y Amenazas)

Debilidades

Insuficiente recurso humano especializado en informática y redes en relación a la escala de operaciones de la institución.

Insuficiente énfasis en la comunicación de resultados. Obsolescencia en el parque informático. Limitada integración organizacional y sistémica mediante aplicaciones TIC. Déficit en los servicios de soporte técnico de informática y redes. Bajos niveles de fortalecimiento de capacidades a usuarios internos y externos sobre

los servicios TIC. Insuficiente software especializado. Limitadas capacidades institucionales en servicios de banda ancha.

Fortalezas

Actitud innovadora y creativa para el uso de las TIC. Equipo institucional de informática y redes con amplia experiencia en TIC. Participación de quipos multidisciplinario en soluciones de TIC y promoción de

bienes y servicios institucionales.

Se cuenta con datacenter con buenas capacidades en Lima e Iquitos. Se viene renovando el parque informático. Se realiza investigación en TIC. Conocimiento en temas de interoperabilidad. Proceso de incorporación al sistema nacional informático.

Amenazas

Calidad de la demanda de servicios de TIC distorsionada por el mal servicio de banda ancha.

Políticas normativas orientadas al cumplimiento excesivo de documentación. Insatisfacción de los usuarios de bienes y servicios institucionales. Cambios en la política nacional. Fuga de talentos en TIC. Limitadas oportunidades de acceso a cooperación.

Oportunidades

Políticas de modernización del Estado con énfasis en las TIC. Políticas estatales de inclusión digital y reducción de la brecha digital. Ciudadanos, empresas, empleados e instituciones cada vez con mayor uso y

apropiación de las TIC. Incrementar los impactos sociales, económicos y ambientales de los bienes y

servicios institucionales. Oportunidad de acceso a la cooperaron extranjera. Alta demanda de servicios de información sobre la Amazonía.

7.3. Análisis de los riesgos según los activos

7.3.1 Tecnología

Computadoras (Monitor, CPU, mouse y teclado)

Activo Amenazas Impacto Probabilidad de Amenaza Vulnerabilidad

Nivel de

riesgo

Computadoras

Fuego 8 Baja Alta 6Robo 6 Media Alta 5

Inundación 7 Baja Media 5Robo de datos 6 Muy alta Alta 6

Malware 8 Media Media 6Falta de

mantenimiento 7 Alta Baja 5

Errores 4 Alta Baja 4Acceso no autorizado 6 Media Media 5

Desconfiguracion 3 Alta Media 4Total 46

Servidores

Activo Amenazas Impacto Probabilidad de Amenaza Vulnerabilidad Nivel de

riesgo

Servidores

Fuego 9 Alta Alta 9Robo 9 Alta Alta 9

Inundación 8 Baja Baja 5Robo de datos 8 Media Alta 6

Errores 7 Alta Media 6Acceso no autorizado 9 Alta Alta 9

Tiempo de actividad 6 Media Media 5

Malware 8 Media Media 6Falta de

mantenimiento 7 Alta Baja 5

Personal no capacitado 5 Alta Media 5

Falta de repuestos 6 Media Baja 4

Malas configuraciones 5 Media Alta 5

Total 74

Equipamientos Auxiliar (Impresoras, etc.)


riesgo

Impresoras


Inundación 3 Baja Media 3Errores 4 Alta Alta 5Falta de

mantenimiento 3 Media Alta 4

Acceso no autorizado 6 Baja Media 4

Fallas 5 Media Media 4Mala

configuración 3 Media Media 3

Total 31

7.3.2. Infraestructura de red

Router


riesgo

Router


Inundación 3 Baja Media 3Errores 4 Alta Alta 5


Falta de respaldo eléctrico 8 Media Alta 6


Software sin actualización 6 Alta Alta 6



Total 44

Switch


riesgo

Switch




Falta de respaldo eléctrico 5 Media Alta 5




Total 27

7.3.3. Servicios

Servidor de Correo


riesgo

Correo




Virus 8 Alta Alta 7Spam 9 Alta Media 9Fallas 5 Media Media 4

Desconfiguracion 3 Media Media 3Total 46

Servidor Web


riesgo

Web




Virus 8 Alta Alta 7DDoS 9 Alta Alta 9Fallas 5 Media Media 4Malas

configuraciones 4 Media Media 4

Total 47

Servidor de Intranet


riesgo

Web




Fallas 5 Media Media 4Malas


Total 31

Servidor FTP


riesgo

FTP




Virus 8 Alta Alta 7Fallas 5 Media Media 4Malas


Total 38

Servidor DNS


riesgo

DNS






Total 31

Servidor de Dominio Activo


riesgo

Dominio Activo






Total 31

7.3.4. Datos


riesgo

Datos

Robo 9 Media Alta 8Errores 5 Alta Alta 5

Acceso no autorizado 9 Media Media 8

Borrado 9 Media Media 8Perdida 9 Media Media 8Daño 7 Media Media 5

Total 42

7.3.5. Aplicaciones

Activo Amenazas Impacto Probabilidad de Amenaza Vulnerabilidad

Nivel de

riesgo

Aplicaciones

Errores 5 Baja Media 4Acceso no autorizado 6 Media Baja 4

Borrado 4 Baja Alta 4Daño 5 Baja Media 4

Malware 7 Alta Alta 6Desconfiguracion 4 Media Media 4

Total 26

7.3.6. Personal


riesgo

Personal

Enfermedad 6 Media Media 4Renuncia 8 Baja Media 4

Incapacidad física 6 Baja Baja 4

Muerte 9 Baja Media 4Accidentes 8 Alta Alta 6

Total 22

Cap 7

Documents

Transcript of Cap 7