Вы находитесь на странице: 1из 9

Empresa XYZ, S.A.

Matriz de riesgos por auditoria de tecnologa de informacin


Por el perodo del al

MATRIZ DE
rea:
Fecha de elaboracin: 19 de febrero del 2017

No. rea Establecimiento de objetivos

1 Organizacin del centro

1.1 Organizacin del centro Contar con poltica de uso en redes sociales

Realizar gestin de riesgos de TI de acuerdo a un


1.2 Organizacin del centro
modelo definido

1.3 Organizacin del centro Recuperacin de infraestructura de TI

1.4 Organizacin del centro Marco regulatorio de gobierno de TI

1.5 Organizacin del centro Mantener Inventarios de activos TI

1.6 Organizacin del centro Presupuesto para operaciones de TI

1.7 Organizacin del centro Contratos, polizas de seguros

1.8 Organizacin del centro Infraestructura fsicade TI

1.9 Organizacin del centro Outsourcing por estructura de TI

1.10 Organizacin del centro Manuales de funciones por personal de TI


1.11 Organizacin del centro Acceso a Redes

1.12 Organizacin del centro Planifiacin de Objetivos

Decisiones institucionales por parte de los encargados


1.13 Organizacin del centro
de TI

1.14 Organizacin del centro Alto voltaje Electrico

1.15 Organizacin del centro


1.16 Organizacin del centro
1.17 Organizacin del centro
1.18 Organizacin del centro
1.19 Organizacin del centro
1.20 Organizacin del centro

3 Seguridad de la informacin

Evitar fuga de informacin por medio de unidades


3.1 Seguridad de la informacin
mviles

3.2 Seguridad de la informacin No mantener computadores con virus o malware

Autorizacin de acceso privilegiado (el llamado "sper


usuario") en los sistemas de aplicacin, bases de
3.3 Seguridad de la informacin
datos, software de red y comunicacin y software de
sistemas.

3.4 Seguridad de la informacin Mantener Control de trabajo fuera de horario

Mantener una politica sobre solicitudes y uso de


3.5 Seguridad de la informacin
informacin.

3.6 Seguridad de la informacin Mantener controles de informacin en la nube

Mantener acceso restringido a puertos de hardware en


3.7 Seguridad de la informacin
la compaa.

3.8 Seguridad de la informacin Controlar reproduccin de informacin


3.9 Seguridad de la informacin Acceso a servidor de la compaa

3.10 Seguridad de la informacin Realizar copias de seguridad

3.11 Seguridad de la informacin Uso del Internet libre proporcionado por la entidad.

3.12 Seguridad de la informacin restriccin para el uso de carpetas compartidas

Desbloqueo y cambio de contraseas via remota o


3.13 Seguridad de la informacin
telefonica.

3.14 Seguridad de la informacin Uso de Firma Digital

3.15 Seguridad de la informacin Dominios no autorizados

3.16 Seguridad de la informacin Capacitaciones constantes

3.17 Seguridad de la informacin


3.18 Seguridad de la informacin
3.19 Seguridad de la informacin
3.20 Seguridad de la informacin
MATRIZ DE RIESGOS
Realizado Por:
Revisado Por: vmsipac

Identificacin del riesgo Respuesta al riesgo

La compaa podra no contar con una estrategia


formal que defina el uso de redes sociales.

Inadecuada gestin de los activos de tecnologa de


informacin en la compaa.

La compaa podra no garantizar la recuperacin


de la infraestructura de TI ante posibles
eventualidades fsicas, o siniestros naturales.

La compaa podra no contar con personal


especifico para gestionar las actividades de TI.

Posible prdida o extravio de activos (software,


hardware, etc), al no contar con un inventario de los
mismo.

La administracin podra no contar con un


presupuesto de personal destinado a los analistas
funcionales y programadores revisado y autorizado
por el gerente financiero y administrativo.

La compaa podra no contar con polizas de seguros


por los activos de TI

La infraestructura de TI (cables, lugares fsicos,


etc.) podra no estar instaladas adecuadamente,
segn el uso respectivo.

La compaa podra no contar con servicios externos


que benefician la eficiencia del manejo de activos
de TI.

La compaa podra no contar con manuales en


donde se identifiquen las actividades a realizar por
el personal del departamento de TI.
Red inalambrica expuesta al acceso no aturizado

Evitar usuarios no autorizados y fuga de


informacin.

Negligencia u omisin por parte de los encargados de


TI

Falta de Planta electrica y/o mantenimiento a la


misma.

La compaa podra perder informacin por medio


de recepcin de correos en telfonos mviles, o
trablets, etc.

La compaa podra no cotnar con un antivirus en


cada computador.

La administracin podra no limitar al personal


apropiado el uso del acceso privilegiado (el llamado
"sper usuario") en los sistemas de aplicacin, bases
de datos, software de red y comunicacin y software
de sistemas.

Personal podra hacer uso de sistemas o


computadores fuera del horario de trabajo normal
para fuga de informacin.

La compa podra no contar con un manual sobre


el proceso de solicitud de informacin a usuarios
internos y externos.

La informacin en la nube podra no estar disponible


solamente por la compaa y el gestor del servicio y
podra afectar la integridad y confidencialidad.

La compaa podra tener acceso libre a los puertos


USB u otros en el hardware utlizado por el personal.

La compaa podra no mantener una bitacora de las


reproducciones de informacin que realiza el
personal.
El servidor de la compaa se encuentra con acceso
restringido por medio de una clave autorizada al
personal correpondiente.

La compaa podra no contar con una poltica de


realizacin de copias de seguridad periodicamente.

Contaminacin de equipos de la red por uso de


Restretriccin de paginas fuera del uso labroal
paginas no autorizadas o anomalas.

Contaminacin masiva de informacin y mal uso de


restriccin de uso de carpetas compartidas.
informacin.

Posible robo de identidad para mal uso de Realizar preguntas clave y personales para
informacin. desbloqueo y cambio de contrasea via telefnica.

Uso inapropiado de las firmas digitales para


autorizaciones.

Ingreso a base de datos para el compartimiento de


informacin va correo

Falta de induccin, capacitacin y sensibilizacin


sobre riesgos al personal de TI
Procedimiento de auditora Referencia
Intentar ingresar a una pagina o direccin con
restriccin de uso o acceso.

Evaluar en la red equpos o IP con carpetas


compartidas.

Realizar una prueba simulando un cambio de


contrasea de un usuario inexistente.