Distribuidora Electronica S.

A
Matriz de Riesgos de TI
Fecha de actualización

No. Área Evento

1 Departamento TI Adquisión de nuevas tecnologías

2 Departamento TI Inversiones en tecnología

3 Departamento TI Desembolosos en tecnología

4 Departamento TI Evaluación de equipos

5 Departamento TI Adquisición de programas

6 Departamento TI Cumplimiento de valores en el entorno de TI

7 Departamento TI Instalaciones

8 Departamento TI Contratación de personal

9 Departamento TI Contratación de personal

16 Seguridad de la información Ingreso al área de servidores

La compañía podría perder información por medio

17 Seguridad de la información de recepción de correos en teléfonos móviles, o
trablets, etc.

La compañía podría no contar con un antivirus en

18 Seguridad de la información
cada computador.

La administración podría no limitar al personal

apropiado el uso del acceso privilegiado (el
19 Seguridad de la información llamado "súper usuario") en los sistemas de
aplicación, bases de datos, software de red y
comunicación y software de sistemas.

Personal podría hacer uso de sistemas o

20 Seguridad de la información computadores fuera del horario de trabajo normal
para fuga de información.
 La compáñía podría no contar con un manual
21 Seguridad de la información sobre el proceso de solicitud de información a
usuarios internos y externos.

La información en la nube podría no estar

disponible solamente por la compañía y el gestor
22 Seguridad de la información
del servicio y podría afectar la integridad y
confidencialidad.

Uso de dispositivos de almacenamiento externos

23 Seguridad de la información
ajenos a la empresa

La compañía podría no contar con una política de

24 Seguridad de la información realización de copias de seguridad periodicamente
(Backup)

La compañía no cuente con una deshabilitacion de

25 Seguridad de la información
accesos a personas que se retiran o se despidan
26 Seguridad de la información Divulgacion de informacion confidencial

Pérdida de la información por robo de equipo de

27 Seguridad de la información
computo

Daño del software de los equipos de computación

28 Seguridad de la información por irregularidades del servicio de energía
eléctrica

Navegacion en paginas no autorizadas, pueden

29 Seguridad de la información
infectar el sistema con virus

Envío electrónico de archivos , por error, a

30 Seguridad de la información
terceras personas
 Objetivos Descripción de Riesgo Ponderación de Riesgo
P I Medición

Contar con tecnologia

Que el personal no este
avanzada para el
capacitado para utilizar los 5 4 20
desarrollo de sus
nuevos equipos
actividades

Gastar excesivamente en
otras operaciones puede
Realizar inversiones desplazar oportunidades para
5 4 20
apropiadas en tecnología adoptar tecnologia y
desarrollar nuevas
capacidades

Evitar realizar fuertes

Realizar ahorros de costos a
desembolsos para el
corto plazo, puede
entorno de TI, por 5 4 20
representar un fuerte impacto
haberlos evitado a corto
en un determinado momento.
plazo

Desarrollar e implementar
Optar por realizar compras a
procedimientos
los proveedores que brindan
adecuados de debida
las mejores ofertas
diligencia, contratación y 5 4 20
economicas, sin realizar un
monitoreo a los
proceso adecuado en la
proveedores de
valoracion de los equipos.
tecnología.
Implementar planes piloto
Sobrecostos en relación con
de programas utilizados ,
el presupuesto ,demoras y
para analizar su
fallas en entrega de los 5 4 20
funcionamiento para así
resultados del negocio que se
implentarlo en unas
tienen como objetivo.
escala más amplia

Que tanto los equipos como

Establecer políticas
las instalaciones en donde se
adecuadas para proteger
encuentren ubicados sean 5 4 20
la integridad del entorno
dañados por el persoal u
la tecnología
otros

Contar con instalaciones

Que las instalaciones no sean
adecuadas para el
apropiadas deacuerdo a la
desarrollo de las 5 4 20
cantidad de personas y
actividades del
equipos que se utilizan
departamento.

Contratar personal apto

para desempeñar las Deficiencia y en las
actividades que tengan los habilidades y poca 5 4 20
conocimientos experiencia del personal
académicos requeridos
 Disponer de cantidad de
recurso humano acorde a Insuficiencia de personal
5 4 20
las necesidades de la especializado en TI
organización

Evitar pérdida de
Manejo de TI itnterno 5 4 20
información

Evitar fuga de
No contar con el equipo
información por medio de 1 4 4
electrónico adecuado
unidades móviles

Mantenimiento de
Pérdida de información por
computadores sin 5 4 20
virus
malware

Autorización de acceso
privilegiado (el llamado
"súper usuario") en los
Libre acceso a la información
sistemas de aplicación, 5 4 20
electrónica
bases de datos, software
de red y comunicación y
software de sistemas.

Control de acceso a
Mantener Control de
computadores e información 5 4 20
trabajo fuera de horario
electrónica
Brindara solicitudes y uso
de información que
2 4 8
correspondan al personal
adecuado

Mantener controles de Libre acceso a la informaciòn

3 4 12
información en la nube almacenada en la nube

Mantener acceso
Uso de dispositivos externos
restringido a puertos de 5 4 20
ajenos a la empresa
hardware en la compañía.

Evitar pèrdidas de Elaboración de copias de

3 4 12
información seguridad

Acceso a información de la
Mantenimiento de
empresa por terceros no 3 4 12
usuarios y contraseñas
autorizados
 Contar con contratos de
Informaciòn confidencial de
confidencialidad de la 3 4 12
la empresa desprotegida
informacion

Resguardo físico del Robo de equipo de

2 3 6
equipo de computo computación

Contar con UPS Software desprotegido 3 4 12

Uso inadecuado del servicio

Regulacion del uso del internet 2 3 6
de internet

Protección al enviar Envío por error de archivos

2 3 6
archivos electrónicos de la empresa
 Efecto Actividad de Control Responsable de la
actividad de control

Mal uso y
Capacitación onstantee
aprovechamiento de la Gerente Admo
del personal
teecnología

Impacto negativos en el
Evaluar de forma
desarrollo de las
apropiada las Gerente Admo
operaciones, pérdidas
inversiones .
financieras

Impacto negativos en el
Evaluar de forma
desarrollo de las
apropiada las Gerente Admo
operaciones, pérdidas
inversiones .
financieras

Impacto negativos en el
Liderazgo en valoración
desarrollo de las
de las capacidades TI de Gerente Admo
operaciones, pérdidas
terceros
financieras
 Programas desalineados
Uso de analíticas para
con los objetivos
administrar y coordinar Gerente Admo
estrategicos , mala
los programas de TI.
asignación de recursos.

Monitoreo constante del

Deterioro acelerado de los
cumplimento de las Gerente Admo
equipos e instalaciones
políticas establecidas-

Impactos en la seguridad y
Realizar inspección de
salud del personal del Gerente Admo
las instalaciones
departamento

Evaluar el desempeño de
sus empleados acorde a
Incumplimiento en los
sus responsabilidades, Gerente Admo
objetivos del departamento
logros definidos y
alcanzados.
 Mantener actualizado el
perfil de los puestos de
Baja calidad y retraso en
trabajo de TI, las
entrega de soluciones y Gerente Admo
competencias y requisitos
servicios .
necesarios para
desempeñar la función.

Aculación de problemas
Instalar puertas en los
dificiles de manejar para Gerente Admo
cuartos con servidores
una sola organización.

Pérdida de recursos por

Evaluar a 3 candidatos
mala gestión de Gerente RRHH
para optar al puesto
tecnologías de información

Instalación de antivirus
Pérdidad de información
en todas las Gerente de TI
por software malicioso
computadoras

Restringir el acceso
electrónico a las carpetas
Robo de información de
que contengan Gerente Admo
los servidores
información importante
de la empresa

Restringir el acceso de
Uso inadecuado de equipo
equipo de computo
de computación, robo de Gerente Admo
mediante el uso de
información
contraseñas personales
 Mantener claves de
Fuga de información
acceso al sistema Gerente de TI
confidencial
operativo

Uso inadecuado de
Contratar a empresa de
información interna de la
prestigio para el
empresa, pérdida de
resguardo y protección de Gerente General
competitividad por uso
la información
malintencionado de la
almacenada en la nube
misma

Daños al software del Inhabilitar los puertos

equipo de computo de la USB de los equipos de Gerente de TI
empresa cómputo

Creación de política
Pérdida de la información interna para elaboración
Gerente Admo
histórica de la empresa de backup`s de forma
periódica

Creación de
procedimiento interno
que obligue al Gerente
Administrativo, realizar
Pérdida o manejo
los cambios en las
malintencionado de Gerente Admo
contraseñas de los
información de la empresa
equipos de forma
inmediata luego de un
despido o renuncia de
cualquier colaborador
 Pérdida de ventajas
comerciales, electrónicas,
Elaborar y firmar con
estratégicas, entre otros,
colaboradores contratos Gerente Admo
por mal uso de la
de confidencialidad
información interna de la
empresa

Acceso malintencionado a
Elaborar politicas para
la información de la
uso externo de equipos de Gerente Admo
empresa por parte de
cómputo en la empresa
terceras personas

Pérdida parcial o total de la

Uso obligatorio de UPS
información resguardada
para todo el equipo Gerente Admo
internamente en los
electrónico
equipos de cómputo

Instalación de software
Uso de software que
maliciosos a los equipos de
eviten el acceso a redes
cómputo que generen
sociales y páginas no
pérdida de información
autorizadas
parcial o total

Instalación de software
Uso de software que
maliciosos a los equipos de
eviten el acceso a redes
cómputo que generen
sociales y páginas no
pérdida de información
autorizadas
parcial o total
Cuestionario
5 ¿Se involucra al total de usuarios de un software al momento de tomar la de
6 ¿El equipo tegnologico se encuentra ubicado o instalado en areas con codic
19 ¿De acuerdo con el usuarios existen privilegios para el acceso a la informaci
20 ¿Cuentá con informe de accesos tanto a software como hardware de la emp

Programas

5 1. Solicitar documento de respaldo de notificacion de compra de nuevo software

2. Reporte de conformidad de con el nuevo software

3. Reporte necesidades de la empresa versus lo obtenido con nuevo software

4. Reporte de cotizaciones del software

6 1. Solicitud de reporte de ubicación de equipo tegnologico

2. Validar si ubicación del equipo tegnologico cuenta con condicones adecuadas

3. validar hoja de responsabilidad del equipo tegnologico

19
1. Solicitar reporte de niveles de acceso según usuario
2. Verificar historial de accesos a la informacion
3. Verificar historial de descargas de informacion

20 1. Sin Actividad de Control

 are al momento de tomar la decision de comprar uno nuevo?
o instalado en areas con codiciones adecuadas para evitar daños?
os para el acceso a la informacion?
ware como hardware de la empresa

Hecho Revisado Fecha

JLGG MC 4/23/2021
JLGG MC 4/23/2021
JLGG MC 4/23/2021
JLGG MC 4/23/2021

Hecho Revisado Fecha

JLGG MC 4/23/2021
JLGG MC 4/23/2021
JLGG MC 4/23/2021

Hecho Revisado Fecha

JLGG MC 4/23/2021
JLGG MC 4/23/2021
JLGG MC 4/23/2021

Hecho Revisado Fecha

JLGG MC 4/23/2021
 PT
Distribuidora Electronica S.A
Auditoría de tecnología de información Hecho por: JLGG 4/23/2021
Área: Seguridad de información Revisado por: MC 4/24/2021

Riesgo:
Sobrecostos en relación con el presupuesto ,demoras y fallas en entrega de los resultados del negocio que se tienen como objetivo.

Actividad de control:

Uso de analíticas para administrar y coordinar los programas de TI.

Documentación de auditoría:
Procedimientos realizados: Evidencia:

1. Solicitar documento de respaldo de notificacion de compra de nuevo software

2. Reporte de conformidad de con el nuevo software
3. Reporte necesidades de la empresa versus lo obtenido con nuevo software
4. Reporte de cotizaciones del software

Conclusión Número de hallazgos u

oportunidades de mejora
El control se encuentra diseñado para que las partes involucradas con la compra de software nuevo
sean parte de proceso en toma de decisión de compra, lo que es de gran utilidad para la funcionalidad
del mismo de acuerdo con las necesidades de la empresa Sin hallazgos

PT
Distribuidora Electronica S.A
Auditoría de tecnología de información Hecho por: JLGG 4/23/2021
Área: Seguridad de información Revisado por: MC 4/24/2021
Riesgo:
Que tanto los equipos como las instalaciones en donde se encuentren ubicados sean dañados por el persoal u otros

Actividad de control:

Monitoreo constante del cumplimento de las políticas establecidas

Documentación de auditoría:
Procedimientos realizados: Evidencia:

1. Solicitud de reporte de ubicación de equipo tegnologico

2. Validar si ubicación del equipo tegnologico cuenta con condicones adecuadas
3. validar hoja de responsabilidad del equipo tegnologico

Conclusión Número de hallazgos u

oportunidades de mejora
Existe una deficiencia en la instalacion de equipo de tegnologia, esto expone el equipo de tegnologia ya que puede
sufrir daños por malas conexiones. 3

PT
Distribuidora Electronica S.A
Auditoría de tecnología de información Hecho por: JLGG 4/23/2021
Área: Seguridad de información Revisado por: MC 4/24/2021

Riesgo:
Libre acceso a la información electrónica
Actividad de control:

Restringir el acceso electrónico a las carpetas que contengan información importante de la empresa

Documentación de auditoría:
Procedimientos realizados: Evidencia:

1. Solicitar reporte de niveles de acceso según usuario

2. Verificar historial de accesos a la informacion
3. Verificar historial de descargas de informacion

Conclusión Número de hallazgos u

oportunidades de mejora
Las carpetas con informacion sencible de la empresa cuenta con claves de seguridad de acceso y
tambien cuenta con un historial de usuarios que acceden a cada una de las carpetas Sin hallazgos

PT
Distribuidora Electronica S.A
Auditoría de tecnología de información Hecho por: JLGG 4/23/2021
Área: Seguridad de información Revisado por: MC 4/24/2021

Riesgo:
Control de acceso a computadores e información electrónica

Actividad de control:

Sin actividad de control

Documentación de auditoría:
Procedimientos realizados: Evidencia:

Hallazgo a informe de auditoría

Conclusión Número de hallazgos u

oportunidades de mejora
No existe actividad de control
1