EVALUACIN DEL RIESGO

ACTIVIDAD DE CONTROL
Riesgo
Riesgo
Objetivo de control
Controles
Probabilidad Impacto
(efecto)
Ponderado
Los sistemas, incluido el ERP, no Uso inadecuado de
Medio
Medio
Medio Asegurar que no existan
Las contraseas se
tienen configurado el cambio
contraseas
accesos no autorizados a los cambiarn cada 30 das
peridico de contraseas
sistemas
(solicitud automtica del
sistema)
RRHH no informa con
Acceso no autorizado
Alto
Alto
Alto
Asegurar que no existan
RRHH informar mediante
anticipacin el retiro de personal. de personal
accesos no autorizados a los memorndum las bajas de
Muchas veces, el rea de
desvinculado
sistemas
personal al momento de la
Sistemas se informa luego de
renuncia o desvinculacin
retiro del trabajador.
Se carece de un reporte donde se Asignacin incorrecta
Bajo
Medio
Medio Asegurar que no existan
Emitir informe con el
identifiquen los usuarios y sus
de accesos
accesos no autorizados a los detalle de usuarios y
accesos a los sistemas.
sistemas
accesos.
Redefinir los accesos y
asignarlos de acuerdo con
las funciones de los
usuarios
Los servidores estn ubicados en Daos a los equipos
Bajo
Alto
Medio Implementar los controles Restringir el acceso al rea
un rea exclusiva y con las
que almacenan la
necesarios para minimizar
de servidores (puerta con
condiciones ambientales
informacin de la
el riesgo de dao accidental clave)
apropiadas dentro de la oficina empresa (accidental o
o intencional de los equipos
de Sistemas. El acceso a esta
intencional)
rea es libre.
En el rea de Sistemas no se
Eventual prdida de
Bajo
Alto
Medio Implementar los controles Instalar detectores y
cuenta con alarmas de incendios. informacin por no
necesarios para minimizar
alarmas de incendios
poder identificar un
el riesgo de dao accidental
incendio
o intencional de los equipos
oportunamente
En ocasiones, los cambios
Cambios a programas
Medio
Medio
Medio Asegurar que el desarrollo y Establecer procedimiento
solicitados al ERP no son
que no cumplen los
cambios a los sistemas y/o
para el alta de un
probados por el usuario que los requerimientos del
programas sean
programa (no se da de
solicit y as se dan de alta en usuario (ineficiencia)
autorizados, probados y
alta sin la aprobacin del
los sistemas.
documentados
usuario).
Las pruebas y aprobacin
sern documentadas.
Los respaldos slo se resguardan Prdida de
Bajo
Alto
Medio Contar con los respaldos y Obtener mensualmente dos
en un armario en la oficina de
informacin (robo /
el plan de contingencias
copias de respaldo, una de
Sistema.
desastre) por no tener
necesarios para reanudar
las cuales ser guardada
dos respaldos
las operaciones en caso de
fuera de las instalaciones de
desastres
la empresa.
Situacin identificada
(causa)

a)

b)

c)

d)

e)

f)

g)

MONITOREO
Prueba de efectividad
Verificacin de configuracin del
cambio automtico de contraseas
cada 30 das.
Verificacin las liquidaciones de
personal contra los usuarios
habilitados.

Evaluacin del informe con los

usuarios y accesos, y la adecuada
segregacin de funciones

Verificacin del funcionamiento de

la puerta con cdigo de acceso

Mantenimiento de las alarmas

Revisin de la documentacin de
soporte

Verificar que se realizan las dos

copias de respaldo.
Verificar el contrato o sustento que
la otra copia se encuentra en otra
ubicacin.