Anlisis de Sistemas 90168_12

Trabajo colaborativo 3: Hallazgos de la auditoria. Tratamiento de riesgos, Controles

Cristian Andrs Ibez Rodrguez

COD: 1012398440.

Tutor
Sara Igua Muoz

Universidad Nacional Abierta y a Distancia

Escuela De Ciencias Bsicas Tecnologa e Ingeniera
Ingeniera de Sistemas
Bogot D, C;
2016

Cada estudiante debe tener en cuenta el resultado de la matriz de riesgos del proceso
trabajado anteriormente y determinar el tratamiento de los riesgos (aceptarlo, transferirlo,
ejercer controles). Los que estn debajo de la diagonal se aceptan por la baja
probabilidad e impacto leve, los que estn en la diagonal y sobre la diagonal se deben
transferir o ejercer controles.
Riesgos

Vulnerabilidad del sistema de informacin.

Inadecuada adquisicin de software.
Daos, deterioro o prdida de los recursos tecnolgicos.
Uso indebido de la informacin.
No actualizan usuarios, ni contraseas.
No informan cuando evidencian algo indebido por uno de sus compaeros.
No hacen buen uso de su equipo de trabajo.
No se realizan copias de seguridad de la informacin.
No se realizan Auditorias peridicas.
MATRIZ DE PROBABILIDAD DE IMPACTO
Matriz de probabilidad de ocurrencia e impacto segn relevancia del proceso
No informan
cuando
evidencian algo
indebido por uno
de sus
compaeros.

Uso indebido
de la
informacin.

Vulnerabilidad
del sistema de
informacin.

31-60%

No actualizan
usuarios, ni
contraseas.

No se realizan
Auditorias
peridicas.

Inadecuada
adquisicin de
software.

Bajo

No hacen buen
uso de su equipo
de trabajo.

Daos,
deterioro o
prdida de los
recursos
tecnolgicos.

No se realizan
copias de
seguridad de la
informacin

Leve

Moderado

Catastrfico

PROBABILIDAD

Alto
61-100%
Medio

0-30%

IMPACTO

Zona de
Zona de
Zona de
riesgo
riesgo
riesgo
Inaceptabl
Moderado Aceptable
e
Zona de
riesgo
Importante

Zona de
riesgo
Tolerable

Cada estudiante debe hacer un cuadro de hallazgos detectados que tienen mayor
importancia que se deben transferir o ejercer controles. El cuadro debe contener una
columna del riesgo identificado (R1, R2, Rx.), otra columna de la descripcin del riesgo
y como se est presentando en la empresa, otra columna de los recursos informticos
afectados, otra columna identificando la causa que los origina, y una columna final con los
controles propuestos.
ID.
Riesgo

Descripcin Riesgo

Tratamiento Riesgo

R1

Inadecuada adquisicin de software.

Controlarlo

R2

Uso indebido de la informacin.

Controlarlo

R3

Accesos no autorizados a las instalaciones del

rea tecnolgica.

Controlarlo

R4

Deterioro o prdida de los recursos tecnolgicos.

Controlarlo

R5

No actualizan usuarios, ni contraseas.

No informan cuando evidencian algo indebido por
uno de sus compaeros.
No hacen buen uso de su equipo de trabajo.
No se realizan copias de seguridad de la
informacin.

Controlarlo

R9

No se realizan Auditorias peridicas.

Controlarlo

R10

Los empleados tienen privilegio de administrador

en sus equipos.

Controlarlo

R11

No existe control para el acceso ilimitado a

internet.

Controlarlo

R6
R7
R8

Controlarlo
Aceptarlo
Controlarlo

Finalmente cada estudiante debe elaborar un cuadro con una columna de los riesgos, otra
con los controles propuestos, y una columna adicional con el tipo de control (preventivo,
detectivo, correctivo, o de recuperacin).
RIESGOS o HALLAZGOS
ENCONTRADOS

TIPO DE
CONTROL

Inadecuada adquisicin de
software.

Preventivo.

Uso indebido de la informacin.

Preventivo.

Realizar supervisin y revisin de copias

de seguridad, para que no haya fuga de
informacin.

Accesos no autorizados a las

instalaciones del rea tecnolgica.

Preventivo.

Crear escarapelas o identificaciones

para diferenciar quien es o no empleado
de la compaa.

Deterioro o prdida de los recursos

tecnolgicos.

Correctivo.

Renovacin de equipos, si se evidencia

que ya est obsoleto.

No actualizan usuarios, ni
contraseas.

Preventivo.

No informan cuando evidencian

algo indebido por uno de sus
compaeros.

Preventivo.

No hacen buen uso de su equipo de

Preventivo.
trabajo.

No se realizan copias de seguridad

de la informacin.

Preventivo.

No se realizan Auditorias
peridicas.

Preventivo.

SOLUCIONES O CONTROLES
Brindarles a los usuarios
recomendaciones del uso de este
software, y a su vez retirarle los
permisos de administrador si este los
posee.

Recordar a los usuarios que deben

realizar actualizacin de contraseas y a
su vez verificar que personas que ya no
estn en la compaa tengan su usuario
deshabilitado.
Incentivar a los empleados que informen
cualquier comportamiento sospechoso
que evidencien para as prever la fuga
de informacin o robo de equipos.
Hacer la recomendacin a los usuarios
del buen uso y manejo de sus equipos
de cmputo y a su vez recomendar que
no deban comer ni beber cerca de los
equipos de cmputo para as prever su
avera.
Incentivar a los usuarios de hacer copias
de seguridad de su informacin para
cuando sufran una perdida tenga
respaldo de la misma.
Realizar Auditoras, con participacin de
los mismos empleados para disminuir
todos estos riesgos.

Los empleados tienen privilegio de

administrador en sus equipos.

No existe control para el acceso

ilimitado a internet.

Preventivo.

Preventivo.

Quitarles a los usuarios los permisos de

Administrador a sus equipos, excepto si
estos lo necesitan y hacer que se
comprometan con el buen uso que le d
a su equipo.
Restringir el acceso a pginas web, para
s evitar que los empleados desperdicien
su tiempo o no se han victimas de robo
de credenciales, en su defecto virus
informticos.