Ramsés Gibertoni

1067862

Materia: Gestión de TI - Auditoria y Controles

Asunto: Caso de estudio - Gestión de Riesgo Operativo

Profesor: Fausto Morel

Fecha de Entrega: 25/06/2019

 Banco Estado

Usted a sido integrado al comité de riesgos de su institución y se le ha solicitado de su

participación en torno al evento sobre los eventos internos de fraude del área tecnológica de
su institución:

Se le ha instruido utilizar el marco referencial Cobit 4.1 a tales fines.

Subprocesos de Cobit a Consultar: PO6, DS5, DS9, DS12

Sus tareas:

1. Identificar los principales riesgos internos de fraude en el área tecnológica de su

institución.

Riesgos Identificados:

Numero Descripción del riesgo

1 Cualquier usuario tiene acceso a los data center, esto implica fuga de
información.

2 Las contraseñas no se cambian habitualmente y usan contraseñas muy

fáciles de adivinar (con bajo nivel).

3 Los usuarios del equipo de TI no tienen los respaldos necesarios en

casos graves de fallos en el sistema.

4 Las computadoras están desbloqueadas al publico y dispositivos USB

que pueden ser insertados con toda libertad.
 2. Una vez identificados estos riesgos se le pide realizar una evaluación de riesgo
cualitativo utilizando las siguientes escalas para la probabilidad y el impacto.
Impacto
Escala numérica Descriptivo
5 Severo
4 Mayor
3 Moderado
2 Menor
1 Insignificante
Probabilidad
Escala numérica Descriptivo
5 Casi seguro
4 Probable
3 Posible
2 Improbable
1 Raro
Escala de severidad a utilizar
Color
Verde
Amarillo
Rojo
Definición
No se pueden lograr la
mayoría de los objetivos.
No se pueden lograr algunos
objetivos importantes.
Algunos objetivos afectados.
Efectos menores que se
remedian fácilmente.
Impacto insignificante.
Descripción
El evento tiene mucho
oportunidad de ocurrencia
El evento ha ocurrido varias
veces ó más
El evento ha ocurrido 1 vez
en los últimos 3 años
El evento ha ocurrido 1 vez
en los últimos 10 años.
Nunca ha ocurrido el suceso
pero no se descarta su
ocurrencia.
Descripción de la severidad
Bajo
Medio
Alto
Resultados de la evaluación:

Numero Combinación Puntuación Severidad

1 5-4 20 Rojo

2 3-3 9 Amarillo

3 5-3 15 Rojo

4 4-4 16 Amarillo

3. Se le pide completar la siguiente matriz de riesgo y colocar los riesgos identificados a

continuación según la combinación previamente identificada:

Probabilidad de Ocurrencia
5-2 5-3 5-4
5-1 5-5
5 3 2

4-4
4-1 4-2 4-3 4-5
4

3-3
3-1 3-2 3-4 3-5
1

2-1 2-2 2-3 2-4 2-5

1-1 1-2 1-3 1-4 1-5

Magnitud del Impacto

4. Seleccione el riesgo de mayor puntuación de los realizados en su evaluación y
considerando que el mismo tiene ya sus controles internos implementados, se le pide
establecer la respuesta al riesgo que mejor considere ante la presente situación:
seleccione cual sería la alternativa más idónea a seleccionar:
 Evitar.
 Compartir.
  Reducir.

Se le solicitar especificar detalles de su respuesta al riesgo:

Para evitar el acceso no autorizado a los data centers, No se permitirá la entrada al

edificio a ninguna persona, solo a las personas autorizadas.

5. A fin de realizar las actividades de control se le ha solicitado seleccionar el riesgo de

mayor puntuación a fin de considerar el establecimiento de 3 control internos que
permitan disminuir el riesgo controlado:

Numero Descripción del control

1 Deshabilitar el acceso no autorizado al centro de datos.

2 Implementar los controles de acceso requeridos.

3 Implementar medidas de vigilancia debidas a estos equipos.

6. A fin de establecer las técnicas de monitoreo continuo de su sistema de gestión de

riesgo operativo se le pide identificar los indicadores a ser monitoreados del riesgo
seleccionado en la pregunta 4:

Numero Descripción del Indicador

1 Seguridad en el control de acceso.

2 Numero de personas que tienen acceso.

3 Esquema de seguridad valido para la gestión de acceso.