analisis de riezgo

7/25/2019 Analisis de Riezgo

1/9

David Valdez (Gerente)

Randy Mendoza (Auditor SeniorI)

Susi Rosario (Auditor Snior II)

Heidy Olmos (Auditor Senior III)

Rudy Picardo (Auditor !unior I)

Ra"ael Rodr#$uez (Auditor !uniorII)


2/9

%a&la de contenido1 ENTENDIMIENTO DE LA EMPRESA...............................'rror Marcador no de*nido+

2 ANLISIS DE RIESGO.................................................................................................... 2

3 PLANIFICACION DE AUDITORIA.....................................................................................6


3/9

2 ANLISIS DE RIESGO,-%RO PDRO .RA-,IS,O /O-01 A$osto1 2345


4/9

MATRIZ DE RIESGOS (1 de 2)

PROCESO GESTION TECNOLOGICA

(4),0DIGO

(2)RISGO

(6)DS,RIP,I0-

(7),A8SAS

(9),O-S,8-,IAS

1INADECUADAADQUISICION DE

SOFTWAREYHARDWARE

1. ADQUIRIRUNSOFTWAREQUE NOCUMPLALOSREQUERIMIENTOS Y

LASNECESIDADESDELAUNIVERSIDAD- 2. ADQUIRIR

ACTIVOSDECOMUNICACIN (SWROUTER ETC! QUE NOCUMPLALOS

REQUERIMIENTOS YLASNECESIDADESDELAUNIVERSIDAD

1.SUMINISTROY"OCAPTURAINADECUADADELAINFORMACINDEREQUERIMIENTO Y"O

NECESIDADESDELSOFTWARE2. DESCONOCIMIENTO

PERDIDASECONOMICASPARALISISDELSISTEMADE

INFORMACIN

INESTA#ILIDADDELOSPROCESOS- FALLASENLAREDDEDATOS

2USOINDE#IDODELA

INFORMACIN

POSI#ILIDADDEQUE SEACCEDAMANIPULEY"ODIVULGUESIN

AUTORI$ACIN LA INFORMACINPRIVILEGIADAODERESERVAQUESEORIGINE SUMINISTRE OCUSTODIEENLOSSISTEMASDEINFORMACIN

1. #A%O NIVELDESEGURIDADPARAELACCESOALAINFORMACIN.

2. D ESCONOCIMIENTO DELASPOL&TICASDEMANE%ODEINFORMACIN .

3. A CTOSMALINTENCIONADOS DETERCERO S.'. ACCESONOAUTORI$ADOAINFORMACIN .

. F RAUDEINTERNO.

MALA IMAGENTOMA DEDECISIONESNO

ADECUADAS.

3VULNERA#ILIDADDELSISTEMA

DEINFORMACIN

POSI#ILIDADQUETERCER OSENTREDEFORMAINDE#IDAO

FRAUDULENTAALOSSISTEMA DEINFORMACINDELA UNIVERSIDADPARAALTERAR HURTARODA)ARLA

INFORMACIN.

1. #A%O NIVELDESEGURIDADPARAELACCESOALAINFORMACIN .

2. CORTAFUEGOSINADECUADOS. 3. #UGSENLOSSISTEMASDEINFORMACIN . '.

DESCONOCIMIENTO ENESTNDARESPARALAIMPLEMENTACINDESEGURIDADENLOS

SISTEMASDEINFORMACIN .

PERDIDASECONOMICAS.INESTA#ILIDADDELOSPROCESOS. FUGA DE

INFORMACIN

'DA)OS DETERIORO OP*RDIDA

DELOSRECURSOSTECNO LGICO S

POSI#ILIDADDEQUE SEPRESENTENDA)OS FALLASOPERDIDASDELOSRECURSOSTECN OLOGIC OS ENSU

USO Y"OALMACENAMIENTO.

1.FALTAY"OINADECUADOMANTENIMIENTO DELOSRECURSOSTECNO LOGIC OS

2.#A%ACALIDADDELOSRECURSOSTECN OLOGIC OS

3. I NADECUADO USO DELOSRECURSOSTECN OLOGIC OS

'. F ALTADECAPACITACINSO#REELADECUADOUSO DELOSRECURSOS

TECNO LOGICO S. . FALTADEPROTECCIN DELOSRECURSOSTECN OLOGIC OS.6. TERRO RISMO

+. FACTORESAM#IENTALES

EQUIPOSDA)ADOSDESPROVECHAMIENTOS DELOS

RECURSOSTECNOLOGIC OS

AUSENCIAY"ODEFICIENCIA EN

LOSSOFTWARESYSISTEMASDEINFORMACIN

HACEREFERENCIAALAFALTAY"ODEFINICIENCIA ENLOSSOFWAREY"O

SISTEMASDEINFORMACIN.

1. D EMORAENELTRAMI TEDECOMPRADE

SOFTWAREY"OSISTEMASDEINFORMACIN2. F ALTAY"OINADECUADO MANTENIMIENTO DELOSRECURSOSTECNO LOGIC OS

3. 2.#A%ACALIDADDELOSRECURSOSTECNO LOGICO S

CAM#IOSDEPRECIOSDECOMPRAS PERDIDADE

GARANTIAS

6INADECUADAUTILI$ACION DEL

PORTALINSTITUCIONAL

HACEREFERENCIA ALASU#UTILI$ACIN DEL PORTALPOR

PARTEDELA COMUNIDADUNIVERSITARIA

1. FALTADECULTURATECNO LOGIC A2. FALTADEINFORMACINSO#REELUSOYLA

UTILI$ADA

3. FALTADECAPACITACIN

DESINFORMACIN DELACOMUNIDADUNIVERSITARIA

+FALLASENLAS

TELEC OMUNI CACIO NESY"OFLUIDOELECTRICO

POSI#ILIDADDEQUESEPRESENTENFALLASENLAS

TELE COMUN ICACI ONES ( INTERNETREDES INTRANET SERVICIO

TELEF ONICO ! OENELFLUIDOEL*CTRICO DELAENTIDADPARAELDESARROLLODESUSOPERACIONES

1. F ALTADEDISPONI#ILIDADDELSERVICIOPORPARTEDELPROVEEDOR2. FALTADE

MANTENIMIENTO DELOSEQUIPOSYREDES3.DETERIORODELAS REDES'. MAN%EO

ADECUADOYOPERACINDELOSUSUARIOS YTECN ICOS 6. FALLAENLASCOMUNICACIONES .,. F LUCTUACIONESENELFLUIDOELECTRICO .

. F ALTADEPROTECCIN ANTEPICODEVOLTA%ESY"OINTERRUPCIN DELFLUIDO

ELECTRICO NOPLANIFICADO (REDUNDANCIADE

ENERGIA!.

PERDIDADEINFORMACINDEMORAENLOS

PROCESOSPERDIDADDELAIMAGENDELAENTIDADANTEEL

PU#LICO INFORMACININOPORTUNA I NCUMPLIMIENTO

DEL PROCESO ALTERACIN DELAOPERACIN.

,DESCONOCIMIENTO DELOS

AVANCESDELPLANESTRTEGICO

FALTADEPRESENTACINDELINFORMEDEGESTIN

ELA#ORACININADECUADAONULADELINFORME. FALTADESOLCIALI$ACIN DELPETI

ENELAREADETECNO LOGIA .

SANCIONESLEGALESDESINFORMACIN

FRACASODEEVENTOS

PROGRAMADOS

SUSPENSINDEACTIVIDADESOEVENTOS

POCA ONULADIVULGACI.

PRESUPUESTO INADECUADOFRUSTRACINDELOS

ORGANI$ADORESINCUMPLIMIENTO CONINVITADOS

1 HUMEDADPROUCIDAPORSISTEMASDEREFRIGERACIN

INADECUADOSY"OFILTRACIONESDEAGUA

DA)OSENLAINFRAESTRUCTURAF&SICAPRODUCIDAPOR

CONDENSACIN HONGOS#ACTERIAS ACAROS.

GASINSTANTNEOENLA L&NEADEL&QUIDORESTRICCIONES ENLA L&NEADEL&QUIDO

DISE)OINADECUADODETU#ER&ASU#ENFRIAMIENTO INADECUADO #A%A

HOSPITALI$ACIONESINCAPACIDADES MUERTE

PERDIDADEINFORMACININTERRUPCIN DEPROCESOS


5/9

PRESINDECONDENSACIN CARGAE/CESIVAENELEVAPORADOR PRO#LEMASY

SOLUCIONES #A%APRESINDECONDENSACIN CONTROLDEL

HUMIDIFICADOR CONTAMINACINENELSISTEMA.

DA)OSF&SICOSDEPLANTADA)OSENINFRAESTRUCTURA

TECNO LOGIC A.

11ACCESOSNOAUTORI$ADOS ALASINSTALACIONESDELAREA

TECNOLOGIC A

INGRESODEPERSONASNOAUTORI$ADASPARALA

MANIPULACIN DEEQUIPOSTECN OLOGIC OS

1. I NADECUADOCONTROLDEACCESOALASINSTALACIONES2.PUERTASNOAPTASPARALA

SEGURIDAD

PERDIDA DA)OS MANIPULACIN RO#OSENLAINFRAESTRUCTURA

TECNO LOGICA

MATRIZ DE RIESGOS (2 de 2)

PROCESO GESTION TECNOLOGICA

ANALISIS DE RIESGOS

(8)VALOR

(9)PROBABILIDAD

(10)VALOR

(11)IMPACTO

(12)SEVERIDAD

(Riego Ine!en"e)

#A%A 2 MODERADO 1

1 MEDIA 2 MODERADO 2

2 ALTA 2 MODERADO '

1 MEDIA 2 MODERADO 2

2 ALTA 2 MODERADO '

1 MEDIA 1 LEVE 1

2 ALTA 2 MODERADO '

#A%A 1 LEVE

#A%A 2 MODERADO 1

2 ALTA 3 CATASTROFICO 6

2 ALTA 3 CATASTROFICO 6


6/9

PROCESO GESTION TECNOLOGICA # COM$NICACIONES

EVAL$ACI%N DE RIESGOS

(1&)CONTROL

(1')DESCRIPCI%N DEL CONTROL

(1)TIPO DE

CONTROL

(1)ESTA

DOC$MENTADO*

(1+)DONDE ESTA

DOC$MENTADO

(18)APLICACI%N

(19)E,ICACIA

DELCONTROL

(20),REC$ENCIA

DEL CONTROL

Evalucin de expertoDiagnostico sobre ventajas y desventajas

del software

PREVENTIV

OSI

Procedemientosestablecidos Pgina

web institucional

SI ALTAC04 5

7859

Mejoramiento de la jerarquia de usuarios.Divulgacin de las politicas de manejo de la

informacin. Monitoreo a los sistemas deinformacin. Procedimientos para la

asignacin de roles y accesos a los sistemasde informacin.

Establecimiento de roles en el sistema.ptimi!acin de los controles en los

sistemas de informacin

PREVENTIVO

SIManual de seguridad ypoliticas de informaticasitio web institucional

SI ALTA mensual

"ortalecimiento de los cortafuegos.Procedimientos de control para la deteccin

de vulnerabilidades en los sistemas deinformacin. #plicacin de buenas practicas

para el desarrollo e implementacin desistemas de informacin seguros.

$erificar que las politicas de proteccinesten funcionando adecuadamente.

PREVENTIVO


SI ALTA Diariamente

%nstalacin y verificacin del antivirus.$erificacin de los tomas electricos& con el finde establecer que el voltaje sea el apropiado

para la instalacipn de los equipos.

Monitoreo adecuado del antivirus.$erificain de los puntos electricos& conel objetivo de detectar alguna falla en el

fluido que puedad afectar elfuncionamiento de los recursos

tecnologicos.

PREVENTIVO


SI ALTA 'emanal

Determinar las caracteristicas adecuadas(rindar la asesoria necesaria en la

adquisicin

PREVENTIVO

NO SI ALTAC04 57859

)apacitacin y divulgacin del portal web# traves de cursos y*o manuales de

usuario

PREVENTIVO

SI 'itio web institucional SI ALTAC04 57859

$erificacin de las condiciones operativas dela ups

Mantenimiento de la upsPREVENTIV

ONO SI ALTA 'emanal

Mantener cronograma de acopio deinformacin

%nvolucrar a todas las instancias quesuministran informacin

PREVENTIVO

SI 'itio web institucional SI ALTA)uando sepresenta

Dise+ar programa de eventos& Dise+oadecuado de la logistica& manejar plan de

medios

Divulgacin de responsabilidades ytareas

PREVENTIVO

SI Plan de medios SI M:C04 57859

Evalucin de experto& Mantenimientospreventivos y programados

Diagnostico del sistema de refri geraciny mantenimiento

C488;9:


7/9


CALI,ICACI-N DE RIESGO RESID$AL

(21)

VALOR

(22)

PROBABILIDAD

(2&)

VALOR

(2')

IMPACTO

(2)

SEVERIDAD

- (## / MDE,#D 01

- (## / MDE,#D 01

01 MED%# / MDE,#D /1

- (## / MDE,#D 01

01 MED%# / MDE,#D /1

- (## 0 2E$E -

01 MED%# / MDE,#D /1

- (## 0 2E$E -

- (## / MDE,#D 01

01 MED%# 3 )#4#'4,"%) 31

01 MED%# / MDE,#D /1


8/9

MATRIZ DE RIESGOS VERSION. 1CODIGO. D0C/GT/00'PAGINA. 1 DE


TRATAMIENTO

(2)ACCI%N DE TRATAMIENTO

(2+)TIEMPO DEIMPLEMENTACI%N

(28)COSTO

(29)RESPONSABLE

)onsiderar la participacin de la5s6persona experta

'eg7n la ocurrencia (ajo(ienes y suministros8ficina de %nformatica

,easignacin de ,oles en el sistema&implemenentacin de mas niveles de

seguridad& sociali!acin de las politicas demanejo de informacin

'eg7n la ocurrencia MedioProcesos involucrados8ficina de informatica

,obustecer la seguridad mejorando loscortafuegos. #plicar buenas practicas en el

desarrollo de sistemas de informacinseguros.

Diariamente Medio ficina de informatica

)ontrolar que los equipos institucionalestengan el antivirus institucional& el buen

uso y su actuali!acinsemanal Medio

Procesos involucrados8ficina de informatica

Participacin activa del experto en ladeterminacin de adquiir tecnologia

'eg7n la ocurrencia Medio(ienes y suministros8ficina de %nformatica

%nvolucrar en el plan de capacitacininstitucional el uso adecuado del portal

'eg7n la ocurrencia (ajo

4alento 9umano8(ienestar :niversitario8ficina de informatica8

comunicaciones

2ograr la redundancia electrica en la

institucin'eg7n la ocurrencia #lto 'ervicios ;enerales

Divulgacin del plan 'eg7n la ocurrencia (ajo Procesos involucrados

Designar tareas y controlar lasresponsabilidades de acuerdo a

cronograma del evento'eg7n la ocurrencia Medio )omunicaciones

,eporte al contratista encargado del areade salud ocupacional y la #,P para

reali!ar las diferentes actividades que serequieran. 'olicitud de actuali!acin alprocedimiento DE M#


9/9

3 PLANIFICACION DE AUDITORIA,-%RO PDRO .RA-,IS,O /O-01 A$osto1 2345

analisis de riezgo

Documents