Auditoria De Sistemas Noviembre 2018. PROBABILIDAD IMPACTO RIESGOS/VALORACION A M B L M C
Hardware
R1 No se cuenta con bancos de baterías o
planta eléctrica para servidores, antenas y x x edificación , por lo cual se suspenderá el suministro de internet y televisión a aproximadamente 1500 usuarios en el municipio R2 Ciertos tramos de red y electricidad están a la intemperie y sin señalización lo que x x puede causar manipulación de red, daños a la red, rupturas y su transmisión de datos presentan caídas de paquetes de información. Seguridad física
R3 Falta algún método de control para que
cualquier persona no pueda subir al posta y x x conectar cable al multitap dándose conexión a televisión sin pagar R4 No existe un proceso de rescate por si existe emergencia tras instalaciones en x alturas de postas y tejados de casas. x R5 No hay como extinguir el fuego en caso de emergencia ante un incendio x x Seguridad lógica
R6 Ausencia de parches de seguridad y
actualizaciones, pérdida de información. x x R7 Falta de controles y restricciones para personal no autorizado, el cual puede x x manipular computadores o equipos servidores que manejan los usuarios a los que se les vende internet R8 Falta de control en el uso de datos x x R9 Falta de actualización de equipos informáticos y TV x x Infraestructura R10 No se cuenta con espacio debidamente ventilado para equipos servidores por lo x x cual es inminente recalentamiento apagón y corte completo en el suministro de internet a usuarios R11 Demasiada lentitud en la prestación del servicio de internet esto por antenas muy x x antiguas las cuales se deben cambiar por mejores tecnologías R12 No se cuenta con radioteléfonos para estar en constante comunicación con el personal x x que instala y trabaja en la red externa R13 Se puede sufrir de robo o daños en la infraestructura de la empresa o de sus x x redes
Documentación
R14 Falta programa de prevención ante la
exposición de equipos que irradian señal de x x televisión, puesto que estos pueden ocasionar enfermedad R15 Falta de actualizaciones, perdida de información los equipos o software se cierra x x sin previo aviso R16 Falta de programa de revisión correctiva en donde se cambie elementos dañados a x x causa de la intemperie Personal Área
R17 no se cuenta con personal capacitado para
entrenamiento y educación la empresa esta x x desactualizada R18 Falta personal dedicado a diario a revisar el espectro, lo cual en cualquier momento x x puede saturarse la transmisión de datos en la transferencia de datos por internet a los usuarios que se le vende este servicio
R19 Falta capacitación continua a los empleados
x x R20 Mal manejo en cuanto arquitectura u organización de la información x x R21 Falta manejo de diccionario de datos y de sintaxis x x PROBABILIDAD IMPACTO A: Alta L: Leve M: Media M: Moderado B: Baja C: Catastrófico
Tabla 2 Matriz de Clasificación de riesgo
LEVE MODERADO CATASTROFICO
ALTO R17 R15
MEDIO R20 R1,R2,R7,R9,R12,R16,R18,R19 R6,R10.R13
BAJO R21 R3,R8,R11, R4,R5,R14 ID. Riesgo Descripción Riesgo Tratamiento Riesgo R1 No se cuenta con bancos de baterías o Controlarlo planta eléctrica para servidores, antenas y edificación , por lo cual se suspenderá el suministro de internet y televisión a aproximadamente 1500 usuarios en el municipio R2 Ciertos tramos de red y electricidad están a Transferirlo la intemperie y sin señalización lo que puede causar manipulación de red, daños a la red, rupturas y su transmisión de datos presentan caídas de paquetes de información. R3 Falta algún método de control para que Controlarlo cualquier persona no pueda subir al posta y conectar cable al multitap dándose conexión a televisión sin pagar R4 No existe un proceso de rescate por si Controlarlo existe emergencia tras instalaciones en alturas de postas y tejados de casas. R5 No hay como extinguir el fuego en caso de Controlarlo emergencia ante un incendio R6 Ausencia de parches de seguridad y Transferirlo actualizaciones, pérdida de información.
R7 Falta de controles y restricciones para Controlarlo
personal no autorizado, el cual puede manipular computadores o equipos servidores que manejan los usuarios a los que se les vende internet R8 Falta de control en el uso de datos Aceptarlo
R9 Falta de actualización de equipos Transferirlo
informáticos y TV
R10 No se cuenta con espacio debidamente Transferirlo
ventilado para equipos servidores por lo cual es inminente recalentamiento apagón y corte completo en el suministro de internet a usuarios R11 Demasiada lentitud en la prestación del Aceptarlo servicio de internet esto por antenas muy antiguas las cuales se deben cambiar por mejores tecnologías R12 No se cuenta con radioteléfonos para estar Transferirlo en constante comunicación con el personal que instala y trabaja en la red externa R13 Se puede sufrir de robo o daños en la Controlarlo infraestructura de la empresa o de sus redes
R14 Falta programa de prevención ante la Transferirlo
exposición de equipos que irradian señal de televisión, puesto que estos pueden ocasionar enfermedad R15 Falta de actualizaciones, perdida de Transferirlo información los equipos o software se cierra sin previo aviso R16 Falta de programa de revisión correctiva en Controlarlo donde se cambie elementos dañados a causa de la intemperie R17 no se cuenta con personal capacitado para Aceptarlo entrenamiento y educación la empresa esta desactualizada R18 Falta personal dedicado a diario a revisar Controlarlo el espectro, lo cual en cualquier momento puede saturarse la transmisión de datos en la transferencia de datos por internet a los usuarios que se le vende este servicio
R19 Falta capacitación continua a los Controlarlo
empleados
R20 Mal manejo en cuanto arquitectura u Aceptarlo
organización de la información R21 Falta manejo de diccionario de datos y de Aceptarlo sintaxis RIESGOS o HALLAZGOS TIPO DE CONTROL SOLUCIONES O CONTROLES ENCONTRADOS No se cuenta con bancos de PREVENTIVO Adquirir con presupuesto de la baterías o planta eléctrica empresa para que en algún para servidores, antenas y momento haya un apagón, tenga edificación , por lo cual se una alternativa para la solución suspenderá el suministro de del problema internet y televisión a aproximadamente 1500 usuarios en el municipio Ciertos tramos de red y CORRECTIVO Contratar personal especializado electricidad están a la para la organización adecuada del intemperie y sin señalización cableado y poder contar con una lo que puede causar conexión segura del servicio manipulación de red, daños a la red, rupturas y su transmisión de datos presentan caídas de paquetes de información. Falta algún método de correctivo Mitigar la facilidad del acceso al control para que cualquier cableado que queda cerca de las persona no pueda subir al viviendas para que no sea posta y conectar cable al manipulado por personas ajenas multitap dándose conexión a a la empresa. televisión sin pagar No existe un proceso de Preventivo Capacitar al personal del área de rescate por si existe instalación para que en caso de emergencia tras cualquier emergencia tengan instalaciones en alturas de conocimiento alguno para poder postas y tejados de casas. solucionar la situación en que se enfrenten No hay como extinguir el preventivo Comprar los extintores de fuego en caso de diferentes tipos ya que no todos emergencia ante un incendio los incendios se pueden apagar con el mismo tipo de extintor y que estos se ocasión por diferentes cosas. Capacitar al personal para su buen uso en caso de emergencia.
Ausencia de parches de Correctivo Contratar ingeniero de sistemas
seguridad y actualizaciones, para que realice los parches los pérdida de información. cuales son importantes para resguardar y actualizar la información y esta no se alterada o borrada. Falta de controles y Correctivo Controlar la mala manipulación restricciones para personal del servicio y poner multas a las no autorizado, el cual puede personas que no cumplan con la manipular computadores o política propuesta ante para dar equipos servidores que uso adecuado del servicio. manejan los usuarios a los que se les vende internet Falta de control en el uso de Correctivo Crear usuario y contraseñas para datos que solo la persona encargada del uso de datos la pueda manipular ninguna más. Falta de actualización de Correctivo Contratar un ingeniero de equipos informáticos y TV sistemas y de electrónica para que realicen un mantenimiento a las PC y TV y realicen sus respectivas actualizaciones. No se cuenta con espacio Preventivo Adaptar ventanas grandes las debidamente ventilado para cuales se puedan abrir para el equipos servidores por lo lugar permanezca acondicionado cual es inminente y no ocurran daños a cauda de recalentamiento apagón y recalentamiento. corte completo en el suministro de internet a usuarios Demasiada lentitud en la Correctivo Implementar tecnología avanzada prestación del servicio de para prestar un mejor servicio. internet esto por antenas muy antiguas las cuales se deben cambiar por mejores tecnologías No se cuenta con preventivo Adquirir equipos de radioteléfonos para estar en comunicación radial para manejar constante comunicación con un control a los del área de el personal que instala y instalación del servicio. trabaja en la red externa Se puede sufrir de robo o preventivo Contratar personal de seguridad daños en la infraestructura privada para mantener segura la de la empresa o de sus empresa. redes Falta programa de preventivo prevención ante la exposición de equipos que irradian señal de televisión, puesto que estos pueden ocasionar enfermedad Falta de actualizaciones, preventivo Actualizar constantemente los perdida de información los equipos ya que por falta de ello equipos o software se cierra se puede perder información a sin previo aviso causa de cierres inesperados Falta de programa de correctivo Implementar un plan donde se revisión correctiva en donde realice inventario del estado de se cambie elementos los elementos con los que cuenta dañados a causa de la la empresa y poder cambiar los intemperie que están e mal estado. no se cuenta con personal correctivo Contratar personal para entrenar capacitado para al personal de la empresa para entrenamiento y educación la brindar educación. empresa esta desactualizada Falta personal dedicado a preventivo Contratar personal que sepa de la diario a revisar el espectro, lo manipulación de datos para que cual en cualquier momento pueda contrarrestar saturación puede saturarse la de los mismos en el caso que esto transmisión de datos en la ocurra. transferencia de datos por internet a los usuarios que se le vende este servicio
Falta capacitación continua a Correctivo Realizar capacitaciones
los empleados constantes a los empleados para que la empresa se mantenga en un buen ranking. Mal manejo en cuanto Correctivo Elaborar políticas de arquitectura u organización administración y organización de de la información la información Falta manejo de diccionario correctivo Capacitar para dar buen uso al de datos y de sintaxis diccionario de datos.