CONCLUSIONES MATRIZ DE ANÁLISIS DE RIESGO DE LA

ALCALDÍA DE SAN ANTONIO

SUZETTE ANN BOWIE BRITTON

FICHA: 1966126

SERVICIO NACIONAL DE APRENDIZAJE-SENA

ESPECIALIZACIÓN TECNOLÓGICA EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS

ABRIL DE 2020
 1. INTRODUCCIÓN

La Seguridad Informática sirve para la protección de la información, en contra de amenazas

o peligros, para evitar daños y para minimizar riesgos, relacionados con ella.

Para lograr esta seguridad requerida hay que realizar un análisis de riesgo donde se debe
incluir y trabajar con las consideraciones de la seguridad; aplicando el enfoque de la Gestión
de Riesgo en la Seguridad Informática y al mismo tiempo señalando los puntos críticos y
claves que se debe reconsiderar, para que la gestión de riesgo sea más exitosa.
 2. OBJETIVOS

OBJETIVO GENERAL

El propósito de este documento es mostrar cómo se puede aplicar el enfoque de la Gestión

de Riesgo en la seguridad de la información para la ALCALDÍA DE SAN ANTONIO – SENA,
diligenciando la matriz de riesgos para los activos de información de la Alcaldía de San
Antonio del SENA.

OBJETIVOS ESPECÍFCOS

 Análisis cualitativo y cuantitativo de los riesgos en los activos de información

 Evaluación del análisis promedio de riesgos
 3. MATRIZ DE ANÁLISIS DE RIESGO

Tomando como referencia la situación actual de los activos de información de la Alcaldía de

San Antonio del SENA, se identificaron los riesgos asociados a estos activos y se procedió a
cuantificar los riesgos de cada uno.

Como resultado de esta actividad se obtuvo el siguiente cuadro con el promedio aritmético
de los diferentes riesgos:

Se observa que los mayores riesgos se presentan en el grupo de activos asociados a la

Infraestructura de TI y al grupo de amenazas relacionadas con la Negligencia de usuarios y
decisiones Institucionales. Las amenazas que mayor impacto presentan son las siguientes:

Las amenazas que mayor impacto presentan son las siguientes:

- Falta de inducción, capacitación y sensibilización sobre riesgos

- Unidades portables con información sin cifrado

- Transmisión no cifrada de datos críticos

- Manejo inadecuado de contraseñas (inseguras, no cambiar, compartidas, BD

centralizada)
- Falta de definición de perfil, privilegios y restricciones del personal

- Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos)

- Falta de mecanismos de verificación de normas y reglas / Análisis inadecuado de

datos de control.

Estos resultados se deben a que en la Alcaldía de San Antonio del SENA se presentan
falencias importantes en la implementación de políticas de seguridad de la información y en
los procesos de inducción, capacitación y sensibilización sobre riesgos.
 4. CONCLUSIONES

El propósito del control de riesgo es analizar el funcionamiento, la efectividad y el

cumplimiento de las medidas de protección, para determinar y ajustar sus deficiencias.

Medir el cumplimiento y la efectividad de las medidas de protección requiere levantar

registros sobre la ejecución de las actividades, los eventos de ataques y sus respectivos
resultados. Estos deben ser analizados, y dependiendo de la gravedad, el incumplimiento y
el sobrepasar de las normas y reglas, requieren sanciones institucionales para los
funcionarios.

En el proceso continuo de la Gestión de riesgo, las conclusiones que salen como resultado
del control de riesgo, nos sirven como fuente de información, cuando se entra otra vez en el
proceso de la Análisis de riesgo.