Empresa XYZ, S.A.

Matriz de riesgos por auditoria de tecnologa de informacin

Por el perodo del al

MATRIZ DE RIESGOS
rea:

Realizado Por:

Fecha de elaboracin: 16 de marzo de 2016

Revisado Por: vmsipac

No.

rea

Establecimiento de objetivos

Identificacin del riesgo

Respuesta al riesgo

Procedimiento de auditora

Referencia

1. Observar fisicamente el cdigo de conducta que establece

los lineamiento sobre el uso adecuado de las redes sociales
dentro de la compaa.
2. Seleccionar a un grupo de empeados del departamento
de TI y determinar si el cdigo de conducta es puesto en
prctica por dentro de la compaa.

O-1

1 Organizacin del centro

1.1 Organizacin del centro

Contar con poltica de uso en redes sociales

1. Que exista un manual de conducta que establezca

lineamientos sobre el comportamiento apropiado de las
La compaa podra no contar con una estrategia formal que defina personas responsables de publicar contenido a nombre de
el uso de redes sociales.
la compaa y as garantizar que las publicaciones de un
empleado no expongan a la compaa a riesgos legales o
situaciones embarazosas.

1.2 Organizacin del centro

Realizar gestin de riesgos de TI de acuerdo a un modelo

definido

Inadecuada gestin de los activos de tecnologa de informacin en

la compaa.

O-2

1.3 Organizacin del centro

Recuperacin de infraestructura de TI

La compaa podra no garantizar la recuperacin de la

infraestructura de TI ante posibles eventualidades fsicas, o
siniestros naturales.

O-3

1.4 Organizacin del centro

Marco regulatorio de gobierno de TI

La compaa podra no contar con personal especifico para

gestionar las actividades de TI.

O-4

1.5 Organizacin del centro

Mantener Inventarios de activos TI

Posible prdida o extravio de activos (software, hardware, etc), al

no contar con un inventario de los mismo.

1.6 Organizacin del centro

Presupuesto para operaciones de TI

La administracin podra no contar con un presupuesto de

personal destinado a los analistas funcionales y programadores
revisado y autorizado por el gerente financiero y administrativo.

1.7 Organizacin del centro

Contratos, plizas de seguros

La compaa podra no contar con plizas de seguros por los

activos de TI

1.8 Organizacin del centro

Infraestructura fsica de TI

La infraestructura de TI (cables, lugares fsicos, etc.) podra no

estar instaladas adecuadamente, segn el uso respectivo.

O-8

1.9 Organizacin del centro

Outsourcing por estructura de TI

La compaa podra no contar con servicios externos que

benefician la eficiencia del manejo de activos de TI.

O-9

Manuales de funciones por personal de TI

La compaa podra no contar con manuales en donde se

identifiquen las actividades a realizar por el personal del
departamento de TI.

1.10 Organizacin del centro

1. Solicitar las instrucciones de toma fsica de inventario

1. Que la empresa realice un inventario fisico de los activos
(reporte)
que conforman el departamento de TI semanalmente y asi
2.Pedir el acta o el documento que certifique que la toma
evitar que existan prdida o extravio de activos.
fsica se lleva a cabo cada semana.

O-5

O-6

1. Observar fisicamente la pliza

2. Que se contrate una pliza de seguro contra daos para
2. Determinar que la compaa haya realizado el pago de
tener protegidos los activos del departameto de TI
las primas del seguro mensualmente. (Ver los cheques).

1. Observar fisicamente el manual de segregacion de

1. Que la compaa elabore manuales que especifiquen las
funciones del departamento de TI.
actividades que debe desarrollar cada integrante del
2. Preguntar al personal de TI si saben de la existencia de
departamento de TI, de acuerdo a su experiencia y
dicho manual y si lo aplican diariamente en su
capacidad profesional.
desempeo laboral.

O-7

O-10

2 Sistemas y medidas de seguridad

2.1 Sistemas y medidas de seguridad

Utilizacin de sistemas por operaciones

La compaa podra no contar con informacin oportuna, debido a

que no cuenta con un software realizado a la medida de las
operaciones que realiza.

M-1

2.2 Sistemas y medidas de seguridad

Autorizacin por acceso informacin sensible

Podra no mantenerse acceso restringido para el servidor de la

compaa

M-2

2.3 Sistemas y medidas de seguridad

Identificacin de personal de TI

El personal de TI, podra no estar identificado (gafetes) al realizar

la gestin de sus actividades.

1. Observar fisicamente los gafetes.

1. Crear gafetes que contengan: el nombre de la empresa, 2. Seleccionar una muestra de gafetes al azar y establecer
nombre del empleado, Numero de empleado, puesto que
si son autenticos por medio del cdigo de barras.
ocupa dentro de la compaa fecha de vigencia.
3.Solicitar un listado de empleados del departamento de TI
para poder cotejar con los gafetes fisicos.

M-3

2.4 Sistemas y medidas de seguridad

Vigilancia y alarmas

Podra no mantenerse sistemas de vigilancia en las actividades

que realizan en el rea de sistemas.

1. Que la empresa instale camaras de seguridad en el

departamento de sistemas para poder realizar un
monitoreo diario de las actividades de los empleados y asi
localizar posibles fallas.***

1. Observar las camaras de seguridad fisicamente y

asegurarse que funcionen correctamente.
2. Seleccionar grabaciones al azar para poder observar
como se desempean los empleados del departamento de
TI en sus actividades diarias.

M-4

2.5 Sistemas y medidas de seguridad

Acceso a la red es restringido.

El personal podra mantener accesos a la red por no estar

restringida por acceso remoto. (usuarios ingresan sin password y
usuario)

1. Crear perfiles de usuarios autorizados segn el rea de

trabajo o puesto que desempea dentro de la compaa.

1. Solicitar el reporte de usuarios autorizados.

2. Seleccionar a un usuario al azar y solicitar la
autorizacin de acceso.
3.Ingresar con el usuario para observar el posible acceso.

M-5

2.6 Sistemas y medidas de seguridad

Los privilegios de acceso de dichos empleados se gestionan

adecuadamente

El administrador de la seguridad podra no ser notificado de

empleados que hayan cambiado sus funciones y
responsabilidades, que hayan sido transferidos o que hayan
terminado su relacin laboral.

M-6

2.7 Sistemas y medidas de seguridad

Derechos de acceso de los empleados de TI sean segregados

apropiadamente

Los conflictos identificados en la segregacin de funciones podran

no ser corregidos oportunamente.

M-7

2.8 Sistemas y medidas de seguridad

Evitar procesamiento de datos incorrectos

Los sistemas utilizados por la compaa podra no contar con

medidas de seguridad en el ingreso de los datos.

M-8

2.9 Sistemas y medidas de seguridad

Acceso a computadores autorizado

Los computadores de la compaa podran mantenerse sin clave

de accreso, o podra no contarse con un proceso para la
autorizacin y creacin de usuarios.

M-9

Instacin autorizada de software

1. Observar el memorandum fisico que se les envio a todos los

usuarios de la compaia donde se notifica que la unica
persona autorizada para instralar software es el ingeniero en
1. Se debe notificar por medio de un memorandum a todos sistemas
Los usuarios podran instalar el software sin ningun control del uso los usuarios que la unica persona autorizada para instralar 2. Solicitar los documentos que avalen la autorizacin de
de los mismos.
software es el ingeniero en sistemas, previa autorizacin
cada instalacin de software que ha sido hecha en la
del Comit de auditoria de la compaa.
compaa el ultimo ao.
3. Seleccionar una fecha al azar y verificar que se hallan
seguido las normas establecidas por el Comit de auditoria la
compaa.

M-10

2.10 Sistemas y medidas de seguridad

3 Seguridad de la informacin
3.1 Seguridad de la informacin

Evitar fuga de informacin por medio de unidades mviles

La compaa podra perder informacin por medio de recepcin de 1. Que la informacion llegue primero al servidor local y
correos en telfonos mviles, o trablets, etc.
luego al dispositivo movil

1. Solicitar una prueba con el departamento simulando la

recepcion de un correo y de ese manera verificar que llegue
primero al servidor y luego al movil

S-1

3.2 Seguridad de la informacin

No mantener computadores con virus o malware

La compaa podra no cotnar con un antivirus en cada

computador.

1. Contar con una licencia de antivirus con buen soporte y

actualizacion periodica de la base de datos de virus

1. Solicitar la licencia y comprobar si el mismo es de alta

calidad

S-2

3.3 Seguridad de la informacin

La administracin podra no limitar al personal apropiado el uso del

Autorizacin de acceso privilegiado (el llamado "sper usuario")
acceso privilegiado (el llamado "sper usuario") en los sistemas de
en los sistemas de aplicacin, bases de datos, software de red y
aplicacin, bases de datos, software de red y comunicacin y
comunicacin y software de sistemas.
software de sistemas.

1. De existir tener una carta compromiso firmada por la

persona que tiene uso al super usuario indicando la
responsabilidad de contar con este usuario y las
consecuencias si es mal usado

1. Solicitar dicha carta y entrevistar al personal para

comprobar que este enterado de la resposabilidad que tiene

S-3

3.4 Seguridad de la informacin

Mantener Control de trabajo fuera de horario

Personal podra hacer uso de sistemas o computadores fuera del

horario de trabajo normal para fuga de informacin.

3.5 Seguridad de la informacin

Mantener una politica sobre solicitudes y uso de informacin.

1. El acceso a la informacion debe estar limitado al cargo

La compa podra no contar con un manual sobre el proceso de
dentro de la compaa y controlar que los mismos no se
solicitud de informacin a usuarios internos y externos.
violen

3.6
Seguridad de la informacin

3.7 Seguridad de la informacin

Mantener controles de informacin en la nube

Mantener acceso restringido a puertos de hardware en la

compaa.

La informacin en la nube podra no estar disponible solamente

por la compaa y el gestor del servicio y podra afectar la
integridad y confidencialidad.

La compaa podra tener acceso libre a los puertos USB u otros

en el hardware utlizado por el personal.

3.8
Seguridad de la informacin

Controlar reproduccin de informacin

La compaa podra no mantener una bitacora de las

reproducciones de informacin que realiza el personal.

1. Solicitar la bitacora y comprobar que se mantiene un

1. Contar con monitoreo constante en cada computadora y
monitoreo constante a cada maquina, pudiendo ver a que
contar con bitacora de accesos y horarios
informacion se accede y en que momento
1. Comprobar mediante monitoreo de algunos empleados que
los accesos a la informacion con la que cuentan sea acorde al
cargo y atribuciones que desempea el mismo dentro de la
compaa

1. Usar contraseas largas (al menos de 8 caracteres) y

1. Solicitar y verificar el tipo de contrasea utilizada para
complejas, que incluyan minsculas, maysculas, nmeros
ingresar al sistema.
y caracteres no alfanumricos.

S-4

S-5

S-6

2. Encriptar la informacion antes de subirla a la nube, 1. Sacar una muestra de la informacion y la forma en que esta
incluyendo las copias de seguridad.
es subida a la nube.
1. Desactivar los puertos USB desde la configuracin BIOS 1. Revisar la configuracion utilizada para el uso de puertos u
de las mquina.
otros en el hardware.
1. Solicitar
informacion

autorizacion

para

poder

reproducir

S-7

la 1. Observar fisicamente la manera de cmo se solicita la

informacion
S-8

2. Crear una bitcora de reproducciones de la informacin

automtica.

3.9

1. Observar fisicamente la manera de reproduccion de la

informacion
1. Solicitar el reporte de usuarios autorizados.

Seguridad de la informacin

Acceso a servidor de la compaa

El servidor de la compaa se encuentra con acceso restringido

por medio de una clave autorizada al personal correpondiente.

1. Crear perfiles de usuarios autorizados segn el area de 2. Seleccionar un usuario al azar y solicitar la autorizacion de
trabajo o puestos.
acceso.

S-9

3. Ingresar con el usuario para observar el posible acceso.

3.10

1. Solicitar la programacion de la compaa.

Seguridad de la informacin

Realizar copias de seguridad

La compaa podra no contar con una poltica de realizacin de

copias de seguridad periodicamente.

1. Realizara programacion para informar al personal

resaponsable la fecha de la realizacion de las copias de
seguridad de la informacion

S-10
2. Solicitar una fecha al azar para verificar el control (reporte)

4 Calidad de la informacin
4.1 Calidad de la informacin

Licenciamiento de software

La compaa podra mantener software sin lincencias de uso.

C-1

4.2 Calidad de la informacin

Retiro de software

No podra contarse con gestin adecuada del retiro del software

C-2

4.3 Calidad de la informacin

Retiro de Hardware

No podra contarse con gestin adecuada del retiro del hardware.

C-3

4.4 Calidad de la informacin

Estadistica por errores detectados

La empresa no cuenta con un departamento de Anlisis y

Estadsticas el cual realiza un anlisis de los cuadros estadsticos
y reportes que genera el sistema.

1. Crear un departamento de analisis y Estadistica, o

1. Observar fisicamente la importancia del analisis y la
contratar a un persona especilizada para que analice la
realizacion de cuadros de la informacion
informacion

C-4

4.5 Calidad de la informacin

Normas sobre exactitud de datos

El departamento de TI podra no verificar la exactitud de datos

cotejandolo con el documento fuente.

1. Cambiar al personal del departamento de TI.

1. Realizar pruebas al personal del departamento con respecto

al conocimiento en TI

C-5

4.6 Calidad de la informacin

Cumplimiento de polticas existentes

La empresa podra no evaluar el cumplimiento de los estndares y

1. Realizar pruebas al personal con respecto al conocimiento
mtodos respecto a las entradas de datos y salidas de
1. Realizar capacitacion al personal con respecto al manejo
de cada uno sobre las politicas sobre la manipulacion de la
informacin. La operacin y manipulacin en el sistema y el
de la informacion
informacion
procesamiento de la informacin.

C-6

4.7 Calidad de la informacin

Elaboracin o desarrollo de programas a la medida.

Los programas y sistemas podran no adquirirse o desarrollarse

bajo un estricto proceso de revisin para poder proporcionar las
1. Crear una plataforma que soporte el procesamiento y 1. Observar fisicamente los programas utilizados y la forma en
plataformas que soporten el procesamiento y registro exacto de la registro exacto de la informacion
que estos corren con la informacion proporcionada
informacin.

C-7

4.8

Calidad de la informacin

Capacitacin a personal de TI

El departamento de TI podra no contar con personal calificado

para las actividades de gestin de activos de TI y/o reciben
capacitacin periodicamente.

1. Realizar mediciones de desempeo y rendimiento

mnimo una vez cada 3 meses al personal de TI.

2. Se capacita al personal de TI como mnimo una vez 1

vez al mes

4.9

Calidad de la informacin

Capacitacin a personal por uso de sistemas

Los usuarios de los sistemas podran no contar con capacitacin

por el uso de los mismos.

1. Se capacita a los usuarios de TI sobre un sistema de

informacin diferente cada mes y as lograr un mejor
desempeo laboral.

1. Solicitar la documentacin de las mediciones de rendimiento

y evaluaciones practicadas al personal de TI de los ltimos 6
meses anteriores a la fecha de realizada la auditora.
2. Seleccionar a varios integrantes del personal de TI al
azar para poder examinar su rendimiento y capacidad.

C-8

1. Solicitar el listado de las personas que asistieron a la

capacitacin, quien fue su capacitador, que tema se trato.
(programacin)*****
1.Solicitar el listado de las personas que asistieron a la
capacitacin, quien fue su capacitador, que tema se trato.
(programacin)
C-9
2. Solicitar una certificacin firmada y sellada por la institucin
que impartio la capacitacin.

4.10

Calidad de la informacin

Mantenimiento por activos de TI

Los activos de TI podran no contar con un programa de

mantenimiento preventido segn el activo correspondiente.

1. Se realiza una programacin de mantenimiento

preventivo para cada uno de los activos (software y
hardware) que conforman el departamento de TI.

1. Solicitar la programacin de mantenimiento preventivo de

cada uno de los activos a la compaa.
C-10
2. Solicitar una fecha al azar para la verificacin del control
(reporte).