MATRIZ DE GESTIÓN DE RIESGOS

3 2 1 Eliminar el riesgoReducir el riesgo Transferir el riesgo

Asumir el riesgo
Unidad Técnica de Servicios
Área responsable Informáticos Fecha del análisis 23-ago-21 Folio de aprobación F2021-13 Mitigar el riesgo Revisión: 01/2021

SECCIÓN 1 SECCIÓN 2 SECCIÓN 3

IDENTIFICACIÓN DE LOS RIESGOS ANÁLISIS Y EVALUACIÓN DE LOS RIESGOS TRATAMIENTO DE LOS RIESGOS
Subproceso o actividad EFECTIVIDAD
contenida en el programa PROBABILIDAD IMPACTO NIVEL DE DEL CONTROL NIVEL DE
Descripción del riesgo que afecte o pueda afectar Parte (S) FECHA DE FECHA DE ÁREA RESPONSABLE
integral respectivo (PIPEL, PIPP Clasificación del Riesgo a evaluar Consecuencias en caso de materializarse el RIESGO RIESGO TRATAMIENTO
N° el logro de los resultados previstos y Interesada (S) CONTROLES EXISTENTES ACCION (ES) PARA TRATAR LOS RIESGOS INICIO TÉRMINO DEL SEGUIMIENTO DE
o PIEC), de ser el caso; o riesgo riesgo INICIAL RESIDUAL A:ABY14O:X

MEDIO
Afectada (S)

MEDIO

MEDIO

ALTO

BAJO
CAUSAS QUE ORIGINAN EL RIESGO (dd/mm/aa) (dd/mm/aa) LA ACCIÓN

ALTO

BAJO
BAJO
(3)

(1)

(3)

(1)

(3)

(1)
(2)

(2)

(2)
ALTO
(NRI) (NRR)
actividad sustantiva de la que se
trata.
Podría haber una deficiencia en los servicios y
operación institutcional en temas informáticos, 1. Contar con infraestructura de cómputo y
1. Contar con la infraestructura de cómputo y
debido a la falta de actualización, limpieza y comunicaciones de respaldo (nueva u obsoleta)
1.-Afectación a la continuidad operativa de las comunicaciones actualizada en licenciamiento,
funcionalidad en los componentes que se en condiciones funcionales.
aplicaciones y sistemas que utilizan de las 1. Alta Dirección firmware y con un tiempo de vida menor a 5
Falta de encuentran en el centro de cómputo, en los racks 2. Contratos de mantenimiento preventivo y
personas funcionarias del IECM en las 2. Personas años. Dirección de
1 Mantenimiento preventivo Operacionales contratos de de comunicaciones y cómputo que se encuentran 2 3 6 correctivo, así como pólizas de soporte en caso 2 2.2 Reducir riesgo ene-22 dic-22
actividades ordinarias y de proceso. funcionarias del 2. Dependencia del presupuesto institucional Infraestructura
mantenimiento con los usuarios, tales como equipos de de ocurrir fallas en la infraestructura
2.- Bajo rendimiento de la infraestructura de IECM que se autorice e ir solicitando a la alta
seguridad, comunicación, telefonía, red 3. Monitoreo de la infraestructura de servidores
cómputo y comunicaciones. dirección la importancia de la adquisición de
inalambrica, cctv, bienes informáticos, aire y equipos de telecomunicaciones para tomar
equipo se desactualice.
acondicionado, energía de respaldo, sensores de acciones preventivas
temperatura, entre otros.
1. Realizar la actualización de la infraestructura
Falta de básica.
Si algún componente de redes, telefonía, enlaces 1. Afectación en la correcta disponibilidad de los
actualización de 2. Contar con cableado, telefonía, licenciameinto
de internet o liciamiento fallará porque están sistemas y aplicaciones que utilizan las personas 1. Alta Dirección
cableado, y servicios de Internet actualizados y que esten Nivel de riesgo
desactualizados o en mal estado, es decir, cables funcionarias del IECM, tanto en la operación 2. Personas
2 Mantenimiento preventivo Tecnológicos telefonía, 2 2 4 vigentes por el año de vigencia del tratamiento 3 0.1 aceptable
rotos o mal conectados, licenciamiento no ordinaria como en los procesos electorales y de funcionarias del
licenciamiento y del riesgo. (NRA)
vigente ni en su última versión, sin la renovación participación ciudadana. IECM
servicio de 3. Contar con cables y telefonos de respaldo
del servicio de internet principal o de respaldo. 2. Bajo rendimiento de aplicativos y servicios.
Internet. (nuevos u obsoletos) en condiciones funcionales.
4. Monitoreo en los servicios de comunicaciones.
1. Sistemas que se encuentran operando en la
La falta de respuesta hacia la operación nube para mantener la continuidad operativa.
Genera una falta de atención de peticiones,
Institucional debido a que el equipo de cómputo, 2. Servicios contratados en la nube como son
afecta directamente en los tiempos de respuesta 1. Alta Dirección
Falla en de comunicación o de seguridad tendran una correo electrónico, almacenamiento, DNS, Nivel de riesgo
y de disponibilidad en los sistemas y aplicaciones 2. Personas
3 Mantenimiento preventivo Tecnológicos infraestructura desconexión no controlada, falta de energía, 2 2 4 Certificados, seguridad. 3 0.1 aceptable
que utilizan las personas funcionarias del IECM funcionarias del
central. incendio o falla de algún componente físico 3.Centralización de los sistemas informáticos (NRA)
que operan en la dentro del centro de cómputo IECM
interno de la infraestructura que se encuentra en para su acceso desde Internet (Proxy).
o infraestructura central del Instituto.
el centro de cómputo del Instituto. 4. Monitoreo los servicios del centro de cómputo
(sensores de temperatura, servidores).

1. Seguimiento de los requerimientos de

mantenimiento y/o actualización de los sistemas
de las diferentes áreas del Instituto, de acuerdo a
Falta de Operación deficiente de los sistemas ya que no Afectación en los flujos esperados de los 1. Alta Dirección
las actividades Institucionales. Nivel de riesgo
Desarrollo de Sistemas mantenimiento entregaría el resultado esperado para la sistemas que utilizan de las personas 2. Personas
4 Tecnológicos 2 1 2 2. Se cuenta con el inventario de sistemas para 2 0.7 aceptable
Informáticos y/o actualización continuidad operativa en las actividades funcionarias del IECM para cumplir con las funcionarias del
su mantenimiento y/o actualización. (NRA)
a los sistemas. ordinarias y de proceso. actividades ordinarias y de proceso. IECM
3. Actualización de los sistemas de apoyo a la
operación, administrativos y de participación
ciudadana.
Operación deficiente de los sistemas debido a
1. Contar con la tecnología de sistemas
que los sistemas operativos o software de
Afectación en los sistemas que utilizan de las actualizada en licenciamiento y parches en su
desarrollo sean tecnologías de más de 3 años en 1. Alta Dirección
Obsolescencia personas funcionarias del IECM ya que se puede última versión. Nivel de riesgo
Desarrollo de Sistemas el mercado y no han sido actualizadas o 2. Personas 1 3 2
5 Tecnológicos tecnológica en los presentar lentitud o perdida de información por 3 2. Contar con respaldos del aplicativo/sistema y 1.1 aceptable
Informáticos renovadas por lo que generan un desempeño funcionarias del
sistemas vulnerabilidades de seguridad o funcionalidad, bases de datos en su última versión. (NRA)
deficiente o vulnerabilidades de seguridad y de IECM
presentadas al ser tecnología obsoleta. 3. Se realiza la migración de sistemas a nuevas
funcionalidad en comparación con nuevas
tecnologías de bases de datos.
tecnologías
Falta de Operación deficiente de los sistemas y 1. Seguimiento de los requerimientos de
mantenimiento a aplicaciones para la operación ordinaria, de actualizaciones a los sistemas pre-electorales o
Afectación en los flujos esperados, falta de
los sistemas y proceso electoral y de participación ciudadana de consulta de acuerdo a las actividades
acceso o disponibilidad de los sistemas y 1. Alta Dirección
aplicaciones para debido a que el área solicitante o el área de Institucionales. Nivel de riesgo
Desarrollo de Sistemas aplicación para la operación ordinaria, de 2. Personas
6 Operacionales la operación desarrollo no llegará a solicitar o realizar las 2 2 4 2. Se cuenta con el inventario y respaldos de 3 0.1 aceptable
Informáticos proceso electoral y de paticipación ciudadana funcionarias del
ordinaria, de actualizaciones o modificaciones, así como la sistemas pre-electorales o de consulta para su (NRA)
que utilizan las personas funcionarias del IECM IECM
proceso electoral implementación de nuevos flujos operativos o la actualización.
para cumplir con las actividades de proceso.
y de participación eliminación de funcionalidades para cumplir con 3. Se realiza el mantenimiento de los sistemas de
ciudadana. ley vigente y las necesidades institucionales. preparación de la elección o la consulta.

SECCIÓN 1 SECCIÓN 2 SECCIÓN 3

IDENTIFICACIÓN DE LOS RIESGOS ANÁLISIS Y EVALUACIÓN DE LOS RIESGOS TRATAMIENTO DE LOS RIESGOS
Subproceso o actividad EFECTIVIDAD
contenida en el programa PROBABILIDAD IMPACTO NIVEL DE DEL CONTROL NIVEL DE
Descripción del riesgo que afecte o pueda afectar Parte (S) FECHA DE FECHA DE ÁREA RESPONSABLE
Clasificación del Riesgo a evaluar Consecuencias en caso de materializarse el RIESGO RIESGO TRATAMIENTO
N° integral respectivo (PIPEL, PIPP el logro de los resultados previstos y Interesada (S) CONTROLES EXISTENTES ACCION (ES) PARA TRATAR LOS RIESGOS INICIO TÉRMINO DEL SEGUIMIENTO DE
o PIEC), de ser el caso; o riesgo riesgo INICIAL RESIDUAL A:ABY14O:X

MEDIO
Afectada (S)
MEDIO

MEDIO

ALTO

BAJO
CAUSAS QUE ORIGINAN EL RIESGO (dd/mm/aa) (dd/mm/aa) LA ACCIÓN
ALTO

BAJO
BAJO
(3)

(1)

(3)

(1)

(3)

(1)
(2)

(2)

(2)
ALTO

(NRI) (NRR)
actividad sustantiva de la que se
trata.
Se incumple o se atrasan los resultados en la
1. Seguimiento y atención inmediata a los
operación Institucional, debido a que el área de
Falta o fuera de requerimientos de sistemas de las áreas.
desarrollo reciba de forma incompleta o a
tiempo, de la 1. Se generan atrasos en la entrega de sistemas. 2. Acceso inmediato a la normativa cuando esta
destiempo las solicitudes de nuevas
definición de 2. Sistemas ineficientes por falta de prueba y es modificada o actualizada, correspondiente a
funcionalidades, cambios dentro de la aplicación Nivel de riesgo
Desarrollo de Sistemas funcionalidades simulacros por tiempo recortados. las actividades institucionales que afectan los
7 Operacionales existente o los requerimientos de nuevos Alta Dirección 2 2 4 3 0.1 aceptable
Informáticos en los sistemas 3. Afecta la operación continua de las actividades diferentes sistemas del IECM.
sistemas; de igual forma si las funcionalidades (NRA)
por parte de los institucionales que esten relacionadas con el 3. Dar seguimiento a los requerimientos de
definidas en un sistema que va a entrar en
usuarios de desarrollo de los sistemas nuevos o modificados. sistemas y retroalimentación de los usuarios de
operación depende de cambios en las Leyes,
negocio o la Ley. negocio para cumplir con los objetivos
puede provocar redefinición en las
Institucionales en tiempo y forma.
funcionalidades de forma tardía.
 1. Contar con niveles de servicio para resolver
Si el equipo informático que contiene la incidentes y atender servicios informáticos.
1. Afecta la resolución de incidentes y atención 2. Contar con guiones de operación de los
Falta del Sistema aplicación deja de funcionar o por otro lado, la
de servicios informáticos que solicitan las Personas sistemas, inventarios de bienes informáticos y Nivel de riesgo
Desarrollo de Sistemas de aplicación por falta de mantenimiento y parches
8 Operacionales personas funcionarias del IECM. funcionarias del 2 1 2 flujos de atención. 3 0.1 aceptable
Informáticos Administración del sistema operativo, deja de operar el sistema
2. Podría perderse el seguimiento en la atención IECM 3. Contar con documento de excel para poder (NRA)
de Servicios no permitiendo el registro y seguimiento a
de incidentes o servicios. registrar y dar seguimiento inicidentes y servicios.
incidentes y servicios informáticos.
4. Hacer uso del correo electrónico para la
asignación de la atención del incidente o
La presencia de un huracan, terremoto,
1. Sistemas que se encuentran operando en la
inundación, tormeta eléctrica o cualquier evento
nube para mantener la continuidad operativa.
natural que puediera afectar las intalaciones del
1. Alta Dirección 2. Servicios contratados en la nube como son
Presencia de Instituto o de los Servicios que se tienen Afectación a la continuidad operativa de las Nivel de riesgo
Desarrollo de Sistemas 2. Personas 3 1 correo electrónico, almacenamiento, DNS, 3
9 Ambientales desastres contratados como son las telecomunicaciones, aplicaciones y sistemas que atienden todos los 3 0.1 aceptable
Informáticos funcionarias del Certificados, seguridad.
naturales. seguridas, publicación. Por lo que al presentearse servicios del IECM. (NRA)
IECM 3. Desarrollar un plan de recuperación de
cualquier evento catalogado como desastre
desastres para los procesos sustantivos
natural puede denegar el acceso los servicios e
informáticos y dar continuidad a los servicios.
infraestructura.
1. Tener un documento de excel que apoye al
Al no contar con el formato generado y firmado, registro de los bienes informáticos asignados,
Falta del formato
que respalde el bien informático que fue prestados o devueltos.
con la firma del 1. Alta Dirección
Asignación, Préstamo o La inexistencia del formato de control de bienes asignado, préstado o devuelto, se pierde el 2. Apoyarse con el área de Almacén de Control Nivel de riesgo
solicitante de 2. Personas 1 1 3
10 Devolución de Bienes Operacionales informáticos o documento sin firma afecta la control del equipo por robo o extravío, o 1 Patrimonial para conocer los resguardos de 0.0 aceptable
asignación, funcionarias del
Informáticos gestión de bienes informáticos con los usuarios. simplemente no se gestiona la devolución de bienes informáticos. (NRA)
préstamo o IECM
personal de baja, lo que provoca problemas de 3. Llenar los formatos de correspondientes y que
devolución.
Control Patrimonial. firme el solicitante al momento de la entrega del
bien informático.
La infraestructura de cómputo tiene un tiempo
1. Contar con la infraestructura de cómputo y
promedio de vida de 5 años, debido al uso
comunicaciones con un tiempo de vida menor a
continuo en la operación y la evolución 1. Puede generar lentitud o falta de
Obsolescencia de 5 años.
tecnológica el desempeño de los equipos en disponibilidad en los sistemas y aplicaciones que 1. Alta Dirección
la Infraestructura 2. Contar con infraestructura de cómputo y Nivel de riesgo
operación empieza a disminuir, así como las utilizan de las personas funcionarias del IECM. 2. Personas
11 Nuevas Tecnologías Tecnológicos de cómputo, 2 2 4 comunicaciones de respaldo (nueva u obsoleta) 2 1.5 aceptable
actualizaciones de software y firmware que ya no 2. Afectación por pérdida de información debido funcionarias del
seguridad y en condiciones funcionales. (NRA)
son renovadas provocando vulnerabilidades de a las vulnerabilidades de seguridad y IECM
comunicaciones. 3. Actualización de la infraestructura de cómputo
seguridad y funcionalidad en comparación con las funcionalidad de la infraestructura obsoleta.
y comunicaciones que se encuentran en grado de
nuevos equipos de cómputo, seguridad y
obsolescencia o al final de su vida útil.
comunicaciones.

1. Que las personas funcionarias del IECM no

cuenten con los bienes informáticos necesarios
Disminución de
Existen solicitudes de infraestructura por para cumplir con sus actividades de operación y 1. Contar con infraestructura tecnológica de
solicitudes 1. Alta Dirección
obsolescencia o bien nuevas necesidades de proceso. respaldo en condiciones funcionales. 1. Que la alta dirección garantice la adquisición
informáticas por 2. Personas 2 3 2
12 Gestión de las Tecnologías Políticos informáticas, las cuales pueden disminuir debido 2. Que la infraestructura tecnológica exceda el 6 2. Contratos de mantenimiento por evento 2.2 Reducir riesgo mínima de la infraestructura tecnológica ene-22 dic-22 UTSI
recorte funcionarias del
a que el presupuesto autorizado para el Instituto tiempo de vida útil en terminos de abiertos, así como pólizas de soporte en caso de requerida para la operación institucional.
presupuestal del IECM
sea menor al que se requiere para operar. funcionalidades, actualizaciones de ocurrir fallas en la infraestructura
Instituto.
componentes o existencia de insumos y
refacciones.

ALTO Es necesario dar tratamiento al riesgo

MEDIO Es recomendable dar tratamiento al riesgo
BAJO Nivel de Riesgo Aceptable