analisis de riezgo
TRANSCRIPT
-
7/25/2019 Analisis de Riezgo
1/9
David Valdez (Gerente)
Randy Mendoza (Auditor SeniorI)
Susi Rosario (Auditor Snior II)
Heidy Olmos (Auditor Senior III)
Rudy Picardo (Auditor !unior I)
Ra"ael Rodr#$uez (Auditor !uniorII)
-
7/25/2019 Analisis de Riezgo
2/9
%a&la de contenido1 ENTENDIMIENTO DE LA EMPRESA...............................'rror Marcador no de*nido+
2 ANLISIS DE RIESGO.................................................................................................... 2
3 PLANIFICACION DE AUDITORIA.....................................................................................6
-
7/25/2019 Analisis de Riezgo
3/9
2 ANLISIS DE RIESGO,-%RO PDRO .RA-,IS,O /O-01 A$osto1 2345
-
7/25/2019 Analisis de Riezgo
4/9
MATRIZ DE RIESGOS (1 de 2)
PROCESO GESTION TECNOLOGICA
(4),0DIGO
(2)RISGO
(6)DS,RIP,I0-
(7),A8SAS
(9),O-S,8-,IAS
1INADECUADAADQUISICION DE
SOFTWAREYHARDWARE
1. ADQUIRIRUNSOFTWAREQUE NOCUMPLALOSREQUERIMIENTOS Y
LASNECESIDADESDELAUNIVERSIDAD- 2. ADQUIRIR
ACTIVOSDECOMUNICACIN (SWROUTER ETC! QUE NOCUMPLALOS
REQUERIMIENTOS YLASNECESIDADESDELAUNIVERSIDAD
1.SUMINISTROY"OCAPTURAINADECUADADELAINFORMACINDEREQUERIMIENTO Y"O
NECESIDADESDELSOFTWARE2. DESCONOCIMIENTO
PERDIDASECONOMICASPARALISISDELSISTEMADE
INFORMACIN
INESTA#ILIDADDELOSPROCESOS- FALLASENLAREDDEDATOS
2USOINDE#IDODELA
INFORMACIN
POSI#ILIDADDEQUE SEACCEDAMANIPULEY"ODIVULGUESIN
AUTORI$ACIN LA INFORMACINPRIVILEGIADAODERESERVAQUESEORIGINE SUMINISTRE OCUSTODIEENLOSSISTEMASDEINFORMACIN
1. #A%O NIVELDESEGURIDADPARAELACCESOALAINFORMACIN.
2. D ESCONOCIMIENTO DELASPOL&TICASDEMANE%ODEINFORMACIN .
3. A CTOSMALINTENCIONADOS DETERCERO S.'. ACCESONOAUTORI$ADOAINFORMACIN .
. F RAUDEINTERNO.
MALA IMAGENTOMA DEDECISIONESNO
ADECUADAS.
3VULNERA#ILIDADDELSISTEMA
DEINFORMACIN
POSI#ILIDADQUETERCER OSENTREDEFORMAINDE#IDAO
FRAUDULENTAALOSSISTEMA DEINFORMACINDELA UNIVERSIDADPARAALTERAR HURTARODA)ARLA
INFORMACIN.
1. #A%O NIVELDESEGURIDADPARAELACCESOALAINFORMACIN .
2. CORTAFUEGOSINADECUADOS. 3. #UGSENLOSSISTEMASDEINFORMACIN . '.
DESCONOCIMIENTO ENESTNDARESPARALAIMPLEMENTACINDESEGURIDADENLOS
SISTEMASDEINFORMACIN .
PERDIDASECONOMICAS.INESTA#ILIDADDELOSPROCESOS. FUGA DE
INFORMACIN
'DA)OS DETERIORO OP*RDIDA
DELOSRECURSOSTECNO LGICO S
POSI#ILIDADDEQUE SEPRESENTENDA)OS FALLASOPERDIDASDELOSRECURSOSTECN OLOGIC OS ENSU
USO Y"OALMACENAMIENTO.
1.FALTAY"OINADECUADOMANTENIMIENTO DELOSRECURSOSTECNO LOGIC OS
2.#A%ACALIDADDELOSRECURSOSTECN OLOGIC OS
3. I NADECUADO USO DELOSRECURSOSTECN OLOGIC OS
'. F ALTADECAPACITACINSO#REELADECUADOUSO DELOSRECURSOS
TECNO LOGICO S. . FALTADEPROTECCIN DELOSRECURSOSTECN OLOGIC OS.6. TERRO RISMO
+. FACTORESAM#IENTALES
EQUIPOSDA)ADOSDESPROVECHAMIENTOS DELOS
RECURSOSTECNOLOGIC OS
AUSENCIAY"ODEFICIENCIA EN
LOSSOFTWARESYSISTEMASDEINFORMACIN
HACEREFERENCIAALAFALTAY"ODEFINICIENCIA ENLOSSOFWAREY"O
SISTEMASDEINFORMACIN.
1. D EMORAENELTRAMI TEDECOMPRADE
SOFTWAREY"OSISTEMASDEINFORMACIN2. F ALTAY"OINADECUADO MANTENIMIENTO DELOSRECURSOSTECNO LOGIC OS
3. 2.#A%ACALIDADDELOSRECURSOSTECNO LOGICO S
CAM#IOSDEPRECIOSDECOMPRAS PERDIDADE
GARANTIAS
6INADECUADAUTILI$ACION DEL
PORTALINSTITUCIONAL
HACEREFERENCIA ALASU#UTILI$ACIN DEL PORTALPOR
PARTEDELA COMUNIDADUNIVERSITARIA
1. FALTADECULTURATECNO LOGIC A2. FALTADEINFORMACINSO#REELUSOYLA
UTILI$ADA
3. FALTADECAPACITACIN
DESINFORMACIN DELACOMUNIDADUNIVERSITARIA
+FALLASENLAS
TELEC OMUNI CACIO NESY"OFLUIDOELECTRICO
POSI#ILIDADDEQUESEPRESENTENFALLASENLAS
TELE COMUN ICACI ONES ( INTERNETREDES INTRANET SERVICIO
TELEF ONICO ! OENELFLUIDOEL*CTRICO DELAENTIDADPARAELDESARROLLODESUSOPERACIONES
1. F ALTADEDISPONI#ILIDADDELSERVICIOPORPARTEDELPROVEEDOR2. FALTADE
MANTENIMIENTO DELOSEQUIPOSYREDES3.DETERIORODELAS REDES'. MAN%EO
ADECUADOYOPERACINDELOSUSUARIOS YTECN ICOS 6. FALLAENLASCOMUNICACIONES .,. F LUCTUACIONESENELFLUIDOELECTRICO .
. F ALTADEPROTECCIN ANTEPICODEVOLTA%ESY"OINTERRUPCIN DELFLUIDO
ELECTRICO NOPLANIFICADO (REDUNDANCIADE
ENERGIA!.
PERDIDADEINFORMACINDEMORAENLOS
PROCESOSPERDIDADDELAIMAGENDELAENTIDADANTEEL
PU#LICO INFORMACININOPORTUNA I NCUMPLIMIENTO
DEL PROCESO ALTERACIN DELAOPERACIN.
,DESCONOCIMIENTO DELOS
AVANCESDELPLANESTRTEGICO
FALTADEPRESENTACINDELINFORMEDEGESTIN
ELA#ORACININADECUADAONULADELINFORME. FALTADESOLCIALI$ACIN DELPETI
ENELAREADETECNO LOGIA .
SANCIONESLEGALESDESINFORMACIN
FRACASODEEVENTOS
PROGRAMADOS
SUSPENSINDEACTIVIDADESOEVENTOS
POCA ONULADIVULGACI.
PRESUPUESTO INADECUADOFRUSTRACINDELOS
ORGANI$ADORESINCUMPLIMIENTO CONINVITADOS
1 HUMEDADPROUCIDAPORSISTEMASDEREFRIGERACIN
INADECUADOSY"OFILTRACIONESDEAGUA
DA)OSENLAINFRAESTRUCTURAF&SICAPRODUCIDAPOR
CONDENSACIN HONGOS#ACTERIAS ACAROS.
GASINSTANTNEOENLA L&NEADEL&QUIDORESTRICCIONES ENLA L&NEADEL&QUIDO
DISE)OINADECUADODETU#ER&ASU#ENFRIAMIENTO INADECUADO #A%A
HOSPITALI$ACIONESINCAPACIDADES MUERTE
PERDIDADEINFORMACININTERRUPCIN DEPROCESOS
-
7/25/2019 Analisis de Riezgo
5/9
PRESINDECONDENSACIN CARGAE/CESIVAENELEVAPORADOR PRO#LEMASY
SOLUCIONES #A%APRESINDECONDENSACIN CONTROLDEL
HUMIDIFICADOR CONTAMINACINENELSISTEMA.
DA)OSF&SICOSDEPLANTADA)OSENINFRAESTRUCTURA
TECNO LOGIC A.
11ACCESOSNOAUTORI$ADOS ALASINSTALACIONESDELAREA
TECNOLOGIC A
INGRESODEPERSONASNOAUTORI$ADASPARALA
MANIPULACIN DEEQUIPOSTECN OLOGIC OS
1. I NADECUADOCONTROLDEACCESOALASINSTALACIONES2.PUERTASNOAPTASPARALA
SEGURIDAD
PERDIDA DA)OS MANIPULACIN RO#OSENLAINFRAESTRUCTURA
TECNO LOGICA
MATRIZ DE RIESGOS (2 de 2)
PROCESO GESTION TECNOLOGICA
ANALISIS DE RIESGOS
(8)VALOR
(9)PROBABILIDAD
(10)VALOR
(11)IMPACTO
(12)SEVERIDAD
(Riego Ine!en"e)
#A%A 2 MODERADO 1
1 MEDIA 2 MODERADO 2
2 ALTA 2 MODERADO '
1 MEDIA 2 MODERADO 2
2 ALTA 2 MODERADO '
1 MEDIA 1 LEVE 1
2 ALTA 2 MODERADO '
#A%A 1 LEVE
#A%A 2 MODERADO 1
2 ALTA 3 CATASTROFICO 6
2 ALTA 3 CATASTROFICO 6
-
7/25/2019 Analisis de Riezgo
6/9
PROCESO GESTION TECNOLOGICA # COM$NICACIONES
EVAL$ACI%N DE RIESGOS
(1&)CONTROL
(1')DESCRIPCI%N DEL CONTROL
(1)TIPO DE
CONTROL
(1)ESTA
DOC$MENTADO*
(1+)DONDE ESTA
DOC$MENTADO
(18)APLICACI%N
(19)E,ICACIA
DELCONTROL
(20),REC$ENCIA
DEL CONTROL
Evalucin de expertoDiagnostico sobre ventajas y desventajas
del software
PREVENTIV
OSI
Procedemientosestablecidos Pgina
web institucional
SI ALTAC04 5
7859
Mejoramiento de la jerarquia de usuarios.Divulgacin de las politicas de manejo de la
informacin. Monitoreo a los sistemas deinformacin. Procedimientos para la
asignacin de roles y accesos a los sistemasde informacin.
Establecimiento de roles en el sistema.ptimi!acin de los controles en los
sistemas de informacin
PREVENTIVO
SIManual de seguridad ypoliticas de informaticasitio web institucional
SI ALTA mensual
"ortalecimiento de los cortafuegos.Procedimientos de control para la deteccin
de vulnerabilidades en los sistemas deinformacin. #plicacin de buenas practicas
para el desarrollo e implementacin desistemas de informacin seguros.
$erificar que las politicas de proteccinesten funcionando adecuadamente.
PREVENTIVO
SIManual de seguridad ypoliticas de informaticasitio web institucional
SI ALTA Diariamente
%nstalacin y verificacin del antivirus.$erificacin de los tomas electricos& con el finde establecer que el voltaje sea el apropiado
para la instalacipn de los equipos.
Monitoreo adecuado del antivirus.$erificain de los puntos electricos& conel objetivo de detectar alguna falla en el
fluido que puedad afectar elfuncionamiento de los recursos
tecnologicos.
PREVENTIVO
SIManual de seguridad ypoliticas de informaticasitio web institucional
SI ALTA 'emanal
Determinar las caracteristicas adecuadas(rindar la asesoria necesaria en la
adquisicin
PREVENTIVO
NO SI ALTAC04 57859
)apacitacin y divulgacin del portal web# traves de cursos y*o manuales de
usuario
PREVENTIVO
SI 'itio web institucional SI ALTAC04 57859
$erificacin de las condiciones operativas dela ups
Mantenimiento de la upsPREVENTIV
ONO SI ALTA 'emanal
Mantener cronograma de acopio deinformacin
%nvolucrar a todas las instancias quesuministran informacin
PREVENTIVO
SI 'itio web institucional SI ALTA)uando sepresenta
Dise+ar programa de eventos& Dise+oadecuado de la logistica& manejar plan de
medios
Divulgacin de responsabilidades ytareas
PREVENTIVO
SI Plan de medios SI M:C04 57859
Evalucin de experto& Mantenimientospreventivos y programados
Diagnostico del sistema de refri geraciny mantenimiento
C488;9:
-
7/25/2019 Analisis de Riezgo
7/9
PROCESO GESTION TECNOLOGICA # COM$NICACIONES
CALI,ICACI-N DE RIESGO RESID$AL
(21)
VALOR
(22)
PROBABILIDAD
(2&)
VALOR
(2')
IMPACTO
(2)
SEVERIDAD
- (## / MDE,#D 01
- (## / MDE,#D 01
01 MED%# / MDE,#D /1
- (## / MDE,#D 01
01 MED%# / MDE,#D /1
- (## 0 2E$E -
01 MED%# / MDE,#D /1
- (## 0 2E$E -
- (## / MDE,#D 01
01 MED%# 3 )#4#'4,"%) 31
01 MED%# / MDE,#D /1
-
7/25/2019 Analisis de Riezgo
8/9
MATRIZ DE RIESGOS VERSION. 1CODIGO. D0C/GT/00'PAGINA. 1 DE
PROCESO GESTION TECNOLOGICA # COM$NICACIONES
TRATAMIENTO
(2)ACCI%N DE TRATAMIENTO
(2+)TIEMPO DEIMPLEMENTACI%N
(28)COSTO
(29)RESPONSABLE
)onsiderar la participacin de la5s6persona experta
'eg7n la ocurrencia (ajo(ienes y suministros8ficina de %nformatica
,easignacin de ,oles en el sistema&implemenentacin de mas niveles de
seguridad& sociali!acin de las politicas demanejo de informacin
'eg7n la ocurrencia MedioProcesos involucrados8ficina de informatica
,obustecer la seguridad mejorando loscortafuegos. #plicar buenas practicas en el
desarrollo de sistemas de informacinseguros.
Diariamente Medio ficina de informatica
)ontrolar que los equipos institucionalestengan el antivirus institucional& el buen
uso y su actuali!acinsemanal Medio
Procesos involucrados8ficina de informatica
Participacin activa del experto en ladeterminacin de adquiir tecnologia
'eg7n la ocurrencia Medio(ienes y suministros8ficina de %nformatica
%nvolucrar en el plan de capacitacininstitucional el uso adecuado del portal
'eg7n la ocurrencia (ajo
4alento 9umano8(ienestar :niversitario8ficina de informatica8
comunicaciones
2ograr la redundancia electrica en la
institucin'eg7n la ocurrencia #lto 'ervicios ;enerales
Divulgacin del plan 'eg7n la ocurrencia (ajo Procesos involucrados
Designar tareas y controlar lasresponsabilidades de acuerdo a
cronograma del evento'eg7n la ocurrencia Medio )omunicaciones
,eporte al contratista encargado del areade salud ocupacional y la #,P para
reali!ar las diferentes actividades que serequieran. 'olicitud de actuali!acin alprocedimiento DE M#
-
7/25/2019 Analisis de Riezgo
9/9
3 PLANIFICACION DE AUDITORIA,-%RO PDRO .RA-,IS,O /O-01 A$osto1 2345