David Valdez (Gerente)

Randy Mendoza (Auditor Senior

I)
Susi Rosario (Auditor Snior II)
Heidy Olmos (Auditor Senior III)
Rudy Pichardo (Auditor Junior I)
Rafael Rodrguez (Auditor Junior
II)

Tabla de contenido
1 ENTENDIMIENTO DE LA EMPRESA...............................Error! Marcador no definido.
2 ANLISIS DE RIESGO.................................................................................................... 2
3 PLANIFICACION DE AUDITORIA.....................................................................................6

2 ANLISIS DE RIESGO
CENTRO PEDRO FRANCISCO BON, Agosto, 2015

MATRIZ DE RIESGOS (1 de 2)
PROCESO GESTION TECNOLOGICA
(1)
CDIG
O

(2)
RIESGO

(3)
DESCRIPCIN
1. A DQUIRIR

(6)
CAUSAS

(7)
CONSECUENCIAS

UN SOFTWARE QUE NO

CUMPLA LOS REQUERIMIENTOS Y

LAS NECESIDADES DE LA

I NADECUADA

ADQUISICION DE

SOFTWARE Y HARDWARE

- 2. A DQUIRIR
ACTIVOS DE COMUNICACIN ( SW ,
ROUTER , ETC ) QUE NO CUMPLA LOS
UNIVERSIDAD

1.S UMINISTRO Y/ O

CAPTURA INADECUADA DE

LA INFORMACIN DE REQUERIMIENTO Y / O
NECESIDADES DEL SOFTWARE

P ERDIDAS ECONOMICAS
P ARALISIS DEL SISTEMA DE
INFORMACIN

I NESTABILIDAD DE LOS PROCESOS

- FALLAS EN LA RED DE DATOS

2. D ESCONOCIMIENTO

REQUERIMIENTOS Y LAS
NECESIDADES DE LA UNIVERSIDAD

P OSIBILIDAD

DE QUE SE ACCEDA ,

MANIPULE Y / O DIVULGUE SIN

U SO

INDEBIDO DE LA

INFORMACIN

AUTORIZACIN LA INFORMACIN
PRIVILEGIADA O DE RESERVA QUE SE
ORIGINE , SUMINISTRE O CUSTODIE
EN LOS SISTEMAS DE INFORMACIN

P OSIBILIDAD

QUE TERCEROS ENTRE

DE FORMA INDEBIDA O

V ULNERABILIDAD

DEL SISTEMA

DE INFORMACIN

FRAUDULENTA A LOS SISTEMA DE

INFORMACIN DE LA

U NIVERSIDAD ,

PARA ALTERAR , HURTAR O DAAR LA

INFORMACIN .

1. B AJO

NIVEL DE SEGURIDAD PARA EL ACCESO

A LA INFORMACIN .

2. D ESCONOCIMIENTO

DE LAS POLTICAS DE

MANEJO DE INFORMACIN .

3. A CTOS MAL INTENCIONADOS DE TERCEROS .

4. A CCESO NO AUTORIZADO A INFORMACIN .
5. F RAUDE INTERNO .
1. B AJO NIVEL DE SEGURIDAD PARA EL ACCESO
A LA INFORMACIN .
2. CORTAFUEGOS INADECUADOS . 3. B UGS EN
LOS SISTEMAS DE INFORMACIN . 4.
D ESCONOCIMIENTO EN ESTNDARES PARA
LAIMPLEMENTACIN DE SEGURIDAD EN LOS

M ALA IMAGEN ,
T OMA DE DECISIONES
ADECUADAS .

NO

P ERDIDAS ECONOMICAS .
I NESTABILIDAD DE LOS
PROCESOS . F UGA DE
INFORMACIN

SISTEMAS DE INFORMACIN .

1.F ALTA Y/ O

INADECUADO MANTENIMIENTO DE

LOS RECURSOS TECNOLOGICOS

2.B AJA
D AOS ,
4

DETERIORO O PRDIDA

DE LOS RECURSOS
TECNOLGICOS

P OSIBILIDAD DE QUE SE PRESENTEN

DAOS , FALLAS O PERDIDAS DE LOS
RECURSOS TECNOLOGICOS , EN SU
USO , Y / O ALMACENAMIENTO .

CALIDAD DE LOS RECURSOS

TECNOLOGICOS

3. I NADECUADO

E QUIPOS

USO DE LOS RECURSOS

TECNOLOGICOS

4. F ALTA

DAADOS ,

DESPROVECHAMIENTOS DE LOS

DE CAPACITACIN SOBRE EL

RECURSOS TECNOLOGICOS

ADECUADO USO DE LOS RECURSOS

TECNOLOGICOS .

5. F ALTA

DE PROTECCIN DE

LOS RECURSOS TECNOLOGICOS .6. TERRORISMO

A USENCIA Y / O
5

DEFICIENCIA EN

H ACE

REFERENCIA A LA FALTA Y / O

LOS SOFTWARES Y SISTEMAS

DEFINICIENCIA EN LOS SOFWARE Y / O

DE INFORMACIN

SISTEMAS DE INFORMACIN .

7. FACTORES AMBIENTALES
1. D EMORA EN EL TRAMITE DE COMPRA DE
SOFTWARE Y / O SISTEMAS DE INFORMACIN
2. F ALTA Y / O INADECUADO MANTENIMIENTO DE
LOS RECURSOS TECNOLOGICOS

3. 2.B AJA

C AMBIOS

DE PRECIOS DE

COMPRAS , PERDIDA DE
GARANTIAS

CALIDAD DE LOS RECURSOS

TECNOLOGICOS

H ACE
6

I NADECUADA

UTILIZACION DEL

PORTAL INSTITUCIONAL

REFERENCIA A LA

SUBUTILIZACIN DEL PORTAL POR

1. F ALTA DE CULTURA TECNOLOGICA

2. F ALTA DE INFORMACIN SOBRE EL USO

PARTE DE LA COMUNIDAD

3. F ALTA

UNIVERSITARIA

1. F ALTA
DE QUE SE PRESENTEN

FALLAS EN LAS

F ALLAS
7

EN LAS

TELECOMUNICACIONES Y / O
FLUIDO ELECTRICO

TELECOMUNICACIONES

(INTERNET ,

REDES , INTRANET , SERVICIO

TELEFONICO ) O EN EL FLUIDO
ELCTRICO DE LA ENTIDAD PARA EL
DESARROLLO DE SUS OPERACIONES

D ESCONOCIMIENTO DE LOS
AVANCES DEL P LAN
E STRTEGICO

F ALTA

DE PRESENTACIN DEL

INFORME DE GESTIN

D ESINFORMACIN

DE CAPACITACIN

2. F ALTA

DE

MANTENIMIENTO DE LOS EQUIPOS Y REDES

D ETERIORO

DE LAS REDES

3.

4. M ANJEO

ADECUADO Y OPERACIN DE LOS USUARIOS Y

TECNICOS

6. F ALLA

EN LAS COMUNICACIONES .

8. F LUCTUACIONES EN EL FLUIDO ELECTRICO .

9. F ALTA DE PROTECCIN ANTE PICO DE
VOLTAJES Y / O INTERRUPCIN DEL FLUIDO
ELECTRICO NO PLANIFICADO (R EDUNDANCIA DE
E NERGIA ).
E LABORACIN INADECUADA O NULA DEL
F ALTA DE SOLCIALIZACIN DEL PETI
EN EL AREA DE TECNOLOGIA .

INFORME .

P ERDIDA

DE INFORMACIN ,

DEMORA EN LOS
PROCESOS , PERDIDAD DE LA
IMAGEN DE LA ENTIDAD ANTE EL
PUBLICO , INFORMACIN
INOPORTUNA , I NCUMPLIMIENTO
DEL PROCESO , ALTERACIN DE LA
OPERACIN .

S ANCIONES

F RACASO

DE EVENTOS

S USPENSIN

PROGRAMADOS

DE ACTIVIDADES O

EVENTOS

P OCA

O NULA DIVULGACI .

LEGALES ,

DESINFORMACIN

P RESUPUESTO
9

DE LA

COMUNIDAD UNIVERSITARIA

DE DISPONIBILIDAD DEL SERVICIO POR

PARTE DEL PROVEEDOR

P OSIBILIDAD

Y LA

UTILIZADA

INADECUADO ,

FRUSTRACIN DE LOS
ORGANIZADORES ,
INCUMPLIMIENTO CON INVITADOS

10

H UMEDAD

PROUCIDA POR

D AOS

EN LA INFRAESTRUCTURA

SISTEMAS DE REFRIGERACIN

FSICA PRODUCIDA POR

INADECUADOS Y / O

CONDENSACIN , HONGOS ,

FILTRACIONES DE AGUA

BACTERIAS , ACAROS .

G AS I NSTANTNEO EN LA L NEA DE LQUIDO ,

R ESTRICCIONES EN LA L NEA DE LQUIDO ,
D ISEO I NADECUADO DE T UBERA ,
S UBENFRIAMIENTO I NADECUADO , B AJA

H OSPITALIZACIONES ,
INCAPACIDADES , MUERTE ,
PERDIDA DE INFORMACIN ,
INTERRUPCIN DE PROCESOS ,

P RESIN

C ONDENSACIN , C ARGA E XCESIVA

E VAPORADOR , P ROBLEMAS Y
S OLUCIONES , B AJA P RESIN DE
C ONDENSACIN , C ONTROL DEL
HUMIDIFICADOR , C ONTAMINACIN EN EL
S ISTEMA .
DE

EN EL

A CCESOS
11

I NGRESO

NO AUTORIZADOS A

DE PERSONAS NO

1. I NADECUADO CONTROL
2.P UERTAS

AUTORIZADAS PARA LA

LAS INSTALACIONES DEL AREA

INSTALACIONES

MANIPULACIN DE EQUIPOS

TECNOLOGICA

TECNOLOGICA .

P ERDIDA ,

DE ACCESO A LAS
NO APTAS PARA LA

SEGURIDAD

TECNOLOGICOS

DAOS FSICOS DE PLANTA ,

DAOS EN INFRAESTRUCTURA

DAOS , MANIPULACIN ,

ROBOS EN LA INFRAESTRUCTURA
TECNOLOGICA

MATRIZ DE RIESGOS (2 de 2)
PROCESO GESTION TECNOLOGICA
ANALISIS DE RIESGOS
(8)
VALOR

(9)
PROBABILIDAD

(10)
VALOR

(11)
IMPACTO

(12)
SEVERIDAD
(Riego Inherente)

BAJA

MODERADO

10

10

MEDIA

MODERADO

20

20

ALTA

MODERADO

40

10

MEDIA

MODERADO

20

20

ALTA

MODERADO

40

10

MEDIA

LEVE

10

20

ALTA

MODERADO

40

BAJA

LEVE

BAJA

MODERADO

10

20

ALTA

CATASTROFICO

60

20

ALTA

CATASTROFICO

60

PROCESO GESTION TECNOLOGICA Y COMUNICACIONES

EVALUACIN DE RIESGOS
(13)
CONTROL

(14)
DESCRIPCIN DEL CONTROL

(15)
TIPO DE
CONTROL

(16)
ESTA
DOCUMENTADO?

(17)
DONDE ESTA
DOCUMENTADO

(18)
APLICACIN

(19)
EFICACIA
DEL
CONTROL

(20)
FRECUENCIA
DEL CONTROL

Evalucin de experto

Diagnostico sobre ventajas y desventajas

del software

PREVENTIV
O

SI

Procedemientos
establecidos Pgina
web institucional

SI

ALTA

Cuando se
presenta

Mejoramiento de la jerarquia de usuarios.

Divulgacin de las politicas de manejo de la
informacin. Monitoreo a los sistemas de
informacin. Procedimientos para la
asignacin de roles y accesos a los sistemas
de informacin.

Establecimiento de roles en el sistema.

Optimizacin de los controles en los
sistemas de informacin

PREVENTIV
O

SI

Manual de seguridad y
politicas de informatica
sitio web institucional

SI

ALTA

mensual

Fortalecimiento de los cortafuegos.

Procedimientos de control para la deteccin
de vulnerabilidades en los sistemas de
informacin. Aplicacin de buenas practicas
para el desarrollo e implementacin de
sistemas de informacin seguros.

Verificar que las politicas de proteccin

esten funcionando adecuadamente.

PREVENTIV
O

SI

Manual de seguridad y
politicas de informatica
sitio web institucional

SI

ALTA

Diariamente

Instalacin y verificacin del antivirus.

Verificacin de los tomas electricos, con el fin
de establecer que el voltaje sea el apropiado
para la instalacipn de los equipos.

Monitoreo adecuado del antivirus.

Verificain de los puntos electricos, con
el objetivo de detectar alguna falla en el
fluido que puedad afectar el
funcionamiento de los recursos
tecnologicos.

PREVENTIV
O

SI

Manual de seguridad y
politicas de informatica
sitio web institucional

SI

ALTA

Semanal

Determinar las caracteristicas adecuadas

Brindar la asesoria necesaria en la

adquisicin

PREVENTIV
O

NO

SI

ALTA

Cuando se
presenta

Capacitacin y divulgacin del portal web

A traves de cursos y/o manuales de

usuario

PREVENTIV
O

SI

SI

ALTA

Cuando se
presenta

Verificacin de las condiciones operativas de

la ups

Mantenimiento de la ups

PREVENTIV
O

NO

SI

ALTA

Semanal

Mantener cronograma de acopio de

informacin

Involucrar a todas las instancias que

suministran informacin

PREVENTIV
O

SI

Sitio web institucional

SI

ALTA

Cuando se
presenta

Disear programa de eventos, Diseo

adecuado de la logistica, manejar plan de
medios

Divulgacin de responsabilidades y
tareas

PREVENTIV
O

SI

Plan de medios

SI

Media

Cuando se
presenta

Evalucin de experto, Mantenimientos

preventivos y programados

Diagnostico del sistema de refrigeracin

y mantenimiento

Correctivo

SI

Sitio web institucional

SI

Baja

Programado

Refoezar el acceso fisico a las instalaciones

de tecnologia, observacin permanente del
area

Instalacion de nuevas cerraduras,

cambios de puertas, monitorizacin de
ingresos a las instalaciones de
informatica

PREVENTIV
O

NO

SI

Alta

Semanal

Sitio web institucional

PROCESO GESTION TECNOLOGICA Y COMUNICACIONES

CALIFICACIN DE RIESGO RESIDUAL
(21)
VALOR

(22)
PROBABILIDAD

(23)
VALOR

(24)
IMPACTO

(25)
SEVERIDAD

BAJA

MODERADO

10

BAJA

MODERADO

10

10

MEDIA

MODERADO

20

BAJA

MODERADO

10

10

MEDIA

MODERADO

20

BAJA

LEVE

10

MEDIA

MODERADO

20

BAJA

LEVE

BAJA

MODERADO

10

10

MEDIA

CATASTROFICO

30

10

MEDIA

MODERADO

20

MATRIZ DE RIESGOS
PROCESO GESTION TECNOLOGICA Y COMUNICACIONES

(26)
ACCIN DE TRATAMIENTO

TRATAMIENTO
(27)
TIEMPO DE
IMPLEMENTACIN

VERSION: 1
CODIGO: D0CGT-004
PAGINA: 1 DE 5

(28)
COSTO

(29)
RESPONSABLE

Considerar la participacin de la(s)

persona experta

Segn la ocurrencia

Bajo

Bienes y suministrosOficina de Informatica

Reasignacin de Roles en el sistema,

implemenentacin de mas niveles de
seguridad, socializacin de las politicas de
manejo de informacin

Segn la ocurrencia

Medio

Procesos involucradosOficina de informatica

Robustecer la seguridad mejorando los

cortafuegos. Aplicar buenas practicas en el
desarrollo de sistemas de informacin
seguros.

Diariamente

Medio

Oficina de informatica

Controlar que los equipos institucionales

tengan el antivirus institucional, el buen
uso y su actualizacin

semanal

Medio

Procesos involucradosOficina de informatica

Participacin activa del experto en la

determinacin de adquiir tecnologia

Segn la ocurrencia

Medio

Bienes y suministrosOficina de Informatica

Involucrar en el plan de capacitacin

institucional el uso adecuado del portal

Segn la ocurrencia

Bajo

Talento HumanoBienestar UniversitarioOficina de informaticacomunicaciones

Lograr la redundancia electrica en la

institucin

Segn la ocurrencia

Alto

Servicios Generales

Segn la ocurrencia

Bajo

Procesos involucrados

Segn la ocurrencia

Medio

Comunicaciones

Segn la ocurrencia

medio

Talento HumanoServicios GeneralesOficina de informaticacomunicaciones

Diariamente

Medio

Bienes y suministrosOficina de Informatica Vigilancia ExternaServicios generales

Divulgacin del plan

Designar tareas y controlar las
responsabilidades de acuerdo a
cronograma del evento
Reporte al contratista encargado del area
de salud ocupacional y la ARP para
realizar las diferentes actividades que se
requieran. Solicitud de actualizacin al
procedimiento DE MANTENIMIENTO
CORRECTIVO Y SERVICIOS (Servicios
Generales) a nivel preventivo.
Programacin de mantenimiento por parte
de servicios generales. Solicitud de
estudio microbiologico de ambiente a
Ciencias Bsicas.
Robustecer el control de acceso fisico en
el area

3 PLANIFICACION DE AUDITORIA
CENTRO PEDRO FRANCISCO BON, Agosto, 2015