Universidad de San Carlos de Guatemala

Facultad de Ciencias Económicas

Escuela de Contaduría Pública y Auditoría
Salón: 109 Grupo: 5
Curso: Auditoría V
Docente: Oscar Noe López Cordón
Docente Auxiliar: Roberto Sutuj

MATRICES DE RIESGO

Guatemala 22 de marzo de 2023

No. Carné Apellidos

1 200712603 Morataya Estrada
2 201011319 Aceituj Pérez
3 201606029 Carrillo Matias
4 201606228 Samayoa Delgado
5 201710390 Pichillá Trejo
6 201802566 Carranza Contreras
7 201807804 López Soto
8 201809630 Marroquin Amezquita
RIESGO

rzo de 2023

Nombre Ponderación
Evelyn Azucena 10
Josefina 10
Henry Geovanny 10
Michael Eduardo 10
Juan Carlos 10
Kimberly Fabiola Michell 10
Kevin Estuardo 10
Karla Johana 10
 Entidad:
Periodo:
Área:

No. riesgo posible resultado

El riesgo de que la empresa no
cuente con la infraestructura
1 Infraestructura tenológica que soporte de
manera efectiva las necesidades
actuales y futuras del negocio.

No se puede detectar quien de

2 Introducir información erronea en el sistema.
las personas cometio el error.

Uso inadecuado del equipo de computo y de Perdida de la informacion y de la

3
los sistemas confidencialidad

Se filtran o revelan datos

4 Filtración de información confidencial. confidenciales de manera
accidental o no intencionada.

Que no se realice el mantenimiento de los

5 Que el equipo ya no funcione
equipos de computo en tiempo oportuno

Que no se han definido, asignado y aceptado Que los programas y equipos no

6 las responsabilidades, manejo y control del operen apropiadamente y que se
equipo impidan cambios no autorizados.

El riesgo de que la empresa no

cuente con la infraestructura
tenológica que detecte
oportunamente los daños al
7 Informatico
acceso de perifericos externos
ocacionando acceso a la
informacion que se resguarda en
cada equipo informatico
 Divulgación de los usuarios y
contraseñas respectivas a terceras
personas que puedan utilizarlos
8 Seguridad de contraseñas para la alteraciónde registros
dentro del sistema y robo de
información
 MATRIZ DE RIESGO

PT
Hecho por: GRUPO 5
Revisado Por:

ANÁLISIS
sintoma
Probabilidad Impacto priorida
No se cuenta con sistemas actualizados a la
necesidad de la empresa, centro de datos y
M A 1
servidores especializados de acuerdo a la operación
de la organización.

Información poco confiable para la toma de

A A 3
decisiones.

Que ocurra una perdida de la informacion por mala

configuracion provocando virus informatico o A A 1
borrado a proposito de los datos

Intercambio de Contraseñas entre el personal M M 6

Que el equipo no funcione de manera correcta por

ejemplo que los archivos tarden en abrir, que el A A 1
equipo se apague de forma repentina.

No hay seguridad de que los procedimientos

A A 1
programados continúen trabajando apropiadamente

No se cuenta con sistemas o Programas de

computacion que detecten y analicen los perifericos
A A 1
conectados al sistema que podrian estar infectado
con algun tipo de malware
Que no se cuente con la respectiva normas de
A M 5
confidencialida y falta de valores eticos
 FECHA
HOJA
DD MM AA
15 3 2023 01 de 01

responsable de la accion
RESPUESTA de respuesta

Contar con elementos tecnólogicos que

Jefe de Soporte y Jefe de
soportan las operaciones de la organización y
Informática
que sustentan la operación.

Crear uasuarios a cada persona que introduce

Jefe de Informatica
información al sistema.

Realizar políticas institucionales de seguridad

Jefe de Recuros
de la Información y un backup central con
Humanos y Jefe de
licencias de anti-virus para resguardo de los
Informatica
sistemas.

Mensualmente el encargado solicitará las

contraseñas del equipo para tener un back up Director del Colegio
y el será el unico encargado del manejo de
dichas contraseñas.

Realizar mantenimiento de equipos al menos

Jefe de informatica
cada seis meses

Realizar una organización bin controlada con

políticas que requieran el desarrollo de un
Jefe de informatica
plan de trabajo y que especifica el nivel de
detalle

Contar con programas que analicen los

Director, Jefe de
dispoditivos y detecte oportunamente los
Informática
riesgos.
Contar con contratos de confidencialidad al
momento de engtregarles las contraseñas y Director, Jefe de
usuarios a los empleados. Informática
p
r
o A 4 2 1
b M 7 5 3
a B 9 8 6
b
i impacto
l
i
d
a B M A
d
No. Riesgo (si)

Pérdida del equipo

de computo que
1
estaba bajo su
resguardo

2 UPS en mal estado

3 Robo de equipos

4 Licencias y sofware
autorizados

Páginas no
5
autorizadas

Daño a los equipos

6
 Respaldo de la
información

Seguro de los
equipos

Falta de mecanismos
de control
(USUARIOS,
CONTRASEÑAS,
ROLES)

1. Ausencia de
inventario de
equipos. 2. Ausencia
de Bitàcora de
prestamo y
asignaciòn de
equipos
10

Suplantacion

11

Almacenamiento de
equipo en lugares de
acceso publico

12
 Poca ventilación

13

Perdida por incendio

14

Mapa de calor
PROBABILIDAD A 4 8 9
M 3 5 7
B 1 2 6
B M A
IMPACTO
 MATRIZ DE RIESGO DE ROBO O PÉRDIDA DE EQUIPO

A= 3, M=2, B=1 A= 3, M=2, B=1

Posible Resultado (Entonces) Síntoma Probabilidad A/M/B Impacto A/M/B

No dan información del

equipo, indican que se
Datos o información confidencial
encuentra averiado y su 3 2
expestos
reparación siempre lleva
un atraso.

Bajas y altas en la
perdida parcial o total en
energía electrica que
equipos de computo y/o 1 3
puede causar daños en
servidores
circuitos internos

Personal que realiza

trabajos fuera de las
Robo de equipos a personal
oficinas y deban de 1 3
fuera de las instalaciones
llevar equipos de
computo

Descargas de licencias
Perida de tarjetas gráficas, discos y/ó programas no
3 3
duro y sistema de operación autorizadas por el
departamento

Virus provocando una amenaza

en los archivos confidenciales y Equipo lento y con virus 3 2
equipos de computo

El Activo se puede depreciar y No dan capacitacion del

puede que no dure el tiempo cuidado adecuado de los 3 2
que la empresa tenía previsto equipos

Perdida de la informacion
Al no tener un respaldo
de la informacion se
debe comenzar a 2 2
restaurar la informacion
desde cero

De no tener seguro para los Perdida del valor

equipos, ante un robo no se
monetario de los 3 3
puede recuperar el valor total o equipos
parcial

1.Manipulacion de las cuentas

2.Perdida de información
3. Perdida de credibilidad Manejar información
4. posibles hallazgos de entes de restringida. Acceder a 3 3
control perfiles no autorizados.
5. pérdida de contraseñas

Plagio de la infomracion Perdida No tener control sobre

de la Imformacion Hurto què equipos de computo 1 3
Informacion tienen los colaboradores

Plagio de la infomracion
Manejar información restringida. Perdida de la
Acceder a perfiles no 1 3
Imformacion Hurto
autorizados.
Informacion

Resguardo inadecuado
de Hardware con acceso
Hurto de equipo, manupulacion indeguro y con vigilacia
2 3
indebida escaza que beneficie al
Hurto de los equipos e
informacion
 Daño severo del
hardware que ocasiona
Sobrecalentamiento de equipos 1 3
la perdida del equipo y
de la información

Por no tener el cuidado

Perdida total del equipo adecuado del equipo 1 3
como extintores y
alarmas contra incendio
DE EQUIPO

Prioridad (1-9) Respuesta Responsable de la acción de respuesta

Contener información
de archivos
encriptados o con Gerencia y jefe o supervisor autorizado por
6
contraseñas que Gerencia del departamento.
posean las personas
responsables o de alta

Realización de
pruebas en UPS para cada uno en sus areas y llevar un control
3 verificación que esten por un encargado
en buen estado

Contar con un seguro

3 aplicable al equipo Genencia
que sea necesario

Restringir las
9 descargas sin Gerencia
autorización del
administrador

Restricción de paginas
en las que no sean
6 necesarias para Gerencia
resguardar equipos
de computo

Se deben dar
capacitaciones y dar
6 seguimiento al Jefe del departamento
cuidado de los
equipos
 Se debe tener un
respaldo de la
4 informacion en la Jefe del departamento
nube o en algun disco
duro designado.

Contratar un seguro
que pueda cubrir el Jefe del departamento, gerencia del
9
robo o la perdida de departamento
los equipos

1.Claves unicas para

trabajadores. Manejo
de información por
Jefe del departamento, gerencia del
9 areas o procesos.
departamento
2.Actualizaciones y
cambios periodicos de
las contraseñas

Constituir nuevas
politicas de trabajo y
politicas de seguridad Jefe del departamento, gerencia del
3
digital. Control departamento
centralizado de
equipos informàticos.

Constituir nuevas
politicas de trabajo y
politicas de seguridad Jefe del departamento, gerencia del
3 digital. Control
departamento
centralizado de
equipos informàticos.

Establecer un lugar
fisico, adeciado que
propicie el resguardo Jefe del departamento, gerencia del
6 seguro, con acceso
departamento
restringido al publico
en general
 Mantener un
3 ambiente adecuado Jefe del departamento
para los equipos

Contar con el equipo

3 de seguridad Jefe del departamento
adecuado contra
incendios para el area
 GRUPO NO.2
MATRIZ DE RIESGO
INFILTRACIÓN SITIO W

NO. RIESGO POSIBLE RESULTADO

Que engañen a varios clientes,

Que hagan una suplantación de
sacandoles información confidencial
dominio de los correos electronicos
1 de la empresa, engañando así a los
y robandoles, haciendo que los
clientes no vuelvan a confiar en
clientes.
nosotros.

Infiltración por medio de una misma

Paquetes Con Malware Incluidos red WI-FI, conseguir información
2 (Paquetes fisicos) relevante y potencialmente
comprometedoras.

3 Que
web
instalen un Malware en el sitio Infectar a los usuarios que lo visitan y
comprometer sus dispositivos

Suplantación de identidad en sitios

Web, distractores de identidad con
4 Ataques informaticos: Whaling dominios similares al de la
organización

Se cometan ataques al sitio web lo

que provoque que se pierda la No poder controlar nuestra
5 información como publicaciones o
disponibilidad de manejar la pagina información erronea
web por ataque externos
 Posible autoinstalación de bots o
Instalación de programas no virus que puedan controlar
y obtener información altamente
6 autorizados confidencial lo que puede
en el equipo de cómputo.
desencadenar en robos informáticos,
fraudes y pérdida de clientes.

Ingeniería social utilizada por los

ciberdelincuentes para obtener
información confidencial de los
7 Phishing usuarios de forma fraudulenta y así
apropiarse de la identidad de esas
personas.

Bloqueo por parte de hackers desde

dispositivos electrónicos y
8 Secuestro de datos ''Ransomware'' encriptación de archivos para que el
usuario dueño no pueda acceder a la
información

Peligro de la información personal, el

buen funcionamiento de los equipos
9 Deep web y la información de los clientes se
pone en riesgo.

Falsificación de datos,
10 Spoofing modificándolos para poder obtener
beneficios.
 MATRIZ DE RIESGOS
INFILTRACIÓN SITIO WEB

SÍNTOMA PROBABILIDAD IMPACTO PRIORIDAD

Existe la probabilidad que un cliente,

les informe que se estan comunicando
Medio Alto 5
con el desde otro correo electronico,
pidiendole información.

Notar pequeños fluctuaciones en la

red corporativa y ataques de acceso Bajo Medio 8
pasivos o activos para acceder a la red.

Que el sistema funcione lentamente,

que los programan dejen de
responder, que aparezcan ventanas
Medio Alto 3
emergentes, que sucedan cambios
inesperados en la configuración del
sistema.

Solicitar y/o extraer de forma

maliciosa información condifencial de
los altos mando (CEO y CFO),
suplantando identidades por un
Alto Alto 9
directivo de alto mando dentro de la
organización solicitandole información
confidencial a un CEO por medio de un
e-mail.

Se perderá la credibilidad de nuestro

sitio y dará paso a que los clientes Medio Alto 6
esten en la linea de ser engañados
Cambios sustanciales en los datos o
pérdida de información así como Medio Alto 2
indicios de espionaje.

Enviar correos a usuarios solicitando

ingresar a links, clickar botones o
responder dicho correo con tal de
habilidad el acceso del
Alto Alto 8
ciberdelincuente al usuario por medio
de manipulaciones factibles obligando
al usuario a accionar correos de
manera inmediata.

Hay probabilidad de que haya cese de

actividades o retrasos debido al Medio Alto 9
bloqueo del sistema para poder
acceder a la información.

Exposición de la información personal

de la empresa, privar la información
que se tiene de los clientes y Medio Alto 5
posiblemente la venta por internet de
la información.

Daño a la imagen de la empresa, ya

que la información pública en la web
Bajo Medio 5
estaría alterada y provocaría
desconfianza y pérdida de clientes.
 RESPUESTA RESPONSABLE DE LA
ACCIÓN DE RESPUESTA

Tener en redes sociales y páginas web

anclados los links oficiales de la
empresa, hacer recordatorios por
El encargado de IT
medio de anuncios a lo clientes de que
no caigan si les hablaran desde otros
correos o sitios web.

Revisión constante de los paquetes

Administración /
recibidos y tratados con escepticimos Personal de Seguridad /
dentro de la empresa, realizar un Personal de Recepcion.
firewall fisico continuamente

Limpiar el malware y proteger los

dispositivos. Realizar un escaner con
un sofware antivirus actualizado y Los tecnicos de IT
eliminar cualquier archivo o programa
sospechoso.

Implementar una aplicación con

metodos de seguridad, cada vez que
un CEO o CFO necesite enviar un
correo previo a abrir el apartado de Gerente de IT
redacción, solicite dicho código de
seguridad y/o confirmación, para
mitigar el posible ataque malicioso.

Implementar la herramienta de
Captcha para mejorar la seguridad itio
El encargado de IT
web y disminuir los ataques por bots y
crawlers
Establecer una política de restricción
de descargas
de programas de fabricantes
desconocidos. Y realizar una inversión El encargado de IT
en la adquisición de un software de
pago para
incrementar la seguridad.

Recibir e-learnings con posibles

escenarios donde el usuario es forzado
a responder o accionar dichos correos
Gerente de IT
por medio de manipulación social y
generar una línea de respuesta rápida
para reportar correos maliciosos.

Las empresas deben de estar

preparadas para prevenir el
Ransomware, es clave implementar
estrategias de formación y Encargado de IT
concientización sobre seguridad
informática para los empleados de la
organización.

Evitar fallos en el acceso de las páginas

web, estableciendo controles y
Encargado de IT
permisos para acceder, bloqueandolos
automáticamente

Instalación de sistemas de seguridad

para proteger la falsificación de la Encargado de IT
información de la empresa.
 MATRIZ DE R
INTERVENCIÓN MENSA

NO. RIESGO POSIBLE RESULTADO

Usurpación de identidades o
1 Robo de informacion
mal uso de datos

Caida global de señal de red

2 Fallo de señal
del telefono

Cruces de informacion en las Dar referencias o datos

3
diferentes llamadas realizadas confidenciales a terceros

Falta de seguridad en los La filtracion de información,

4 diferentes mensajes que se accesos, contraseñas, llaves
envia o se reciben y/o codigos

compartir informacion
llamadas y mensajes a confidencial y caer en
5
personas errones personas que no les
corresponde

Mensajes que no son claros en

mensajes atravez de enlaces o especificarse, robo de
6
link informacion y hackeo de
cuentas

No responden a las llamadas y Telefonos ocupados,bajas

7
desvios de llamadas señales, perdida del interes
 Mensajes que no son claros en
No responden a los Mensajes especificarse, variaciones
8
escritos entre direcciones de correos
fantasmas o sin identidad
 MATRIZ DE RIESGOS
INTERVENCIÓN MENSAJES Y/O LLAMADAS

SÍNTOMA PROBABILIDAD IMPACTO PRIORIDAD

Envios de links o cadenas para

MEDIA ALTO 6
robar la información

Interceptar mala conexión con la

MEDIA Alto 8
señal

Ocurren sobre todo en el desvio

de llamadas del mismo servidor Medio Medio 4
telefonico de la empresa

No contar con manuales que

orienten los limites de la
Medio Medio 5
informacion a compartir de esta
manera

afecta a los proveedores

MEDIA MEDIA 2
Perdidas y servicios

Afecta a los sistemas

ingresando virus con
Alto Alto 7
intenciones de sabotear a la
entidad

Perdidas en ventas y servicios MEDIA MEDIA 3

 Afecta a los sistemas
ingresando virus o estafas con
Alta Alto 9
intenciones de sobornos a la
entidad
 RESPUESTA RESPONSABLE DE LA
ACCIÓN DE RESPUESTA
Incrementar la seguridad
informatica y la privacidad de
Area de informatica
informacion en los usos de los
telefonos
Incrementar capacitación en el
area reparación de tecnologica Ingeniero en
e informatica para una mejor sistemas PROBABILID
navegacion AD

Usar un numero o un servidor

Gerente de
diferente en el area evitando
Sistemas
cruces innecesarios

Crear politicas y establecer

limites de que se puede
Gerente de
compartir de esta manera y la
Sistemas
eliminacion periodica de la
informacion

incrementar politicas de
seguridad brindando alta
Gerente de
capacitacion al personal a cargo
sistemas
del sistema informatico para
evitar ataques ciberneuticos

Incrementar Politicas de
capacitacion adecuadas y Tener
una contraseña de acceso para
Gerente de
proteger la información
sistemas
contenida en tu dispositivo móvil
que evitará que alguien pueda
tener acceso a tu información

Dar capacitaciones, verificar los

GERENTE DE
Sistemas de de telefonos y
SISTEMAS
Proponer el Adecuado
 Incrementar Politicas de
capacitacion adecuadas que
permitan entrenar al personal y
estar a atentos a los ataques Gerente de
ciberneuticos y Realizar sistemas
evaluaciones sobre el
funcionamiento del sistema
operativo
 Mapa de calor

A 4 8 9

M 3 5 7

B 1 2 6

B M A

IMPACTO
 GRUPO NO. 4

MATRIZ DE RIESGO
ATAQUES DE VIRUS

PONDERACIÓN DE RIESGO
NO. ÁREA OBEJTIVO DESCRIPCIÓN DEL RIESGO
PROBABI.

Implementar el control de un sistema

centralizado de Antivirus con el No existe sistema de antivirus y
1 TI 15
propósito de monitorear y analizar antispam
alertas y fallas del sistema.

Evitar cualquier inconveniente en

Todos los
relación al funcionamiento diario de las Vulnerabilidad de los Sistemas
2 departamentos de la 5
operaciones de la empresa. ( Compras, Informáticos
empresa
Ventas, Inventario, Caja, Contabilidad)

Todos los Mantener los equipos informaticos Mala higiene informatica y carencia de
3 departamentos de la actualizados y libres de cualquier herramientas antimalware en los 5
empresa amenaza traducida en virus informatico equipos de computo
 Todos los No tener copias de la información
4 departamentos de la Protección de Sistemas de Archivo desde la fuente del arranque del entorno 5
empresa en el sistema de archivo crítico.

Ataque de virus que afecte el sistema

5 Compras Pérdida de control de inventario de gestión de inventario y la pérdida de 3
datos

La pérdida de información importante

6 Administración Mantener resguardado la información 4
para la empresa

Todos los Resguardar la información de los

7 departamentos de la sistemas informáticos y prevenir el Infección de Malware 5
empresa riego.

Toda la información debe estar en No realizar copias de seguridad o

8 TI almacenamientos seguros y protegidos actualizar los sistemas del control de las 5
ante cualquier virus. operaciones de la entidad.

La eficiencia y eficacia del trabajo se

Evitar el comportamiento erroneo del ven afectados por el tiempo que se
9 Administración 3
sistema operativo invierte en verificar que se llegue al
resultado esperado.
 Mantener el resguardo la informacion de La informacion debe ser exclusiva para
10 Administracion
los trabajadores uso de la empresa,

Corromper datos importantes para el

Proteger la confidencialidad de los
clientes de los ataques de virus y
11 Adminstración
minimizar el impacto en caso de que
ocurra
funcionamiento de la organización y
abrir puertas traseras en los sistemas
informáticos, permitiendo a los
3
ciberdelincuentes acceder a
información confidencial de la
organización y comprometer la
seguridad.
MATRIZ DE RIESGO
ATAQUES DE VIRUS

PONDERACIÓN DE RIESGO RESPONSABLE DE

EFECTO ACTIVIDAD DE CONTROL LA ACTIVIDAD DE
IMPACTO MEDICIÓN CONTROL

Actualizar protección antispan y antivirus.

Amenaza de seguridad de la Contratar soporte, suscripción de antivirus.
15 25 Departamento de TI
información Implementar politicas de control de acceso y
filtrado de web.

Revisión semanalmente de los controles

5 25 Pérdida de Información.
Vulnerabilidad de los
equipos informaticos,
exposición a pérdida de
5 25
información, acceso a
contraseñas y cuentas de la
empresa.
internos preventivos que tenga implementado el
Departamento de IT; asimismo que siempre Departamento de IT
exista un BACK UP de las operaciones
registradas el día anterior.
Instalación de softwares antivirus para todos los
equipos informaticos, analisis constante de los
Departamento de
equipos para constatar el buen uso del equipo,
Informatica
Restringir el acceso a sitios web para usos que
no sean los laborales.
 Perdida de Información Departamento de
5 25 Herramientas adecuadas para realizar el Backup
Importante Informática

Pérdida financiera, posible
5 15
interrupción del servicio
Responsable de
Actualización de software de seguridad y Compras, Responsable
backup de sistemas e información críticos de Departamento de
Informatica

Retraso en las operaciones

Contratación de antivirus y anti spam para Departamento de
5 20 diarias, pérdida total de
todos los equipos Tecnología
información importante

La infección puede provocar Departamento de

Capacitación a los colaboradores de resguardar
la perdida de la información Información y
5 25 la información y prevenir el riesgo del
y la contaminación de los Departamento de
Malware.
servidores Tecnología.

La perdida de inoformación,
Actualizar y proyeger los sistemas de Depatamento de TI y
5 25 acceso a la base de datos y
seguridad, Operaciones.
fraudes.

Información erronea en los

Realizar constante mantenimiento en el sistema Departamento de
5 15 procesos operativos de la
utilizado Tecnología
empresa
 Incurre en riesgos internos Actualizar de forma manual los datos de los
15 Recursos Humanos
para la empresa, clientes

Interrupción de las
operaciones del negocio, Utilizar software de seguridad, como antivirus y
Departamento de
5 15 tiempo y costos adicionales firewalls, para proteger los sistemas
Técnologia
para reparar los sistemas informáticos.
afectados.
 No. Tipo de Riesgo Probabilidad Consecuencia
1 Alta Menor
2 Media Critico
3 Media Catastrofico
4 Baja Moderada

MATRIZ DE RIESGOS
Consecuencia
Minima Menor Moderada Critico Catastrofico
Probabilidad 1 2 3 4 5
Muy baja 1 1 2 3 4 5
Baja 2 2 4 6 8 10
Media 3 3 6 9 12 15
Alta 4 4 8 12 16 20
Muy Alta 5 5 10 15 20 25
Nivel de Riesgo Calificación
8 8
12 12
15 15
6 6

Color Nivel de riesgos

Riesgo Aceptable
Riesgo Tolerable
Riesgo Alto
Riesgo Extremo

No.
1

7
 EVENTO OBJETIVO DEL PROCESO
Perdida de accesos al equipo y archivos almacenados, lo cual conlleva a
CONTROL
no saber como administrar y retomar labores

Jaqueo de cuentas bancarias, sistema contable y perdidas monetarias FINANCIERO

Robo de datos de la empresa para otra empresa relacionada FINANCIERO

Colocar como contraseñas el nombre o fecha de cumpleaños de los
CONTROL
colaboradores.

Virus en el sistema operativo donde los usuarios acceden por medio de

CONTROL
un link permitiendo el acceso a todos los archivos del sistema.

No realizar el cambio de las contraseñas a los usuarios de empleados

CONTROL
que ya no laboran en la empresa

Compartir entre compañeros las contraseñas de los usuarios y reutilizar

las antiguas contraseñas al momento de actualizarlas cuando el sistema CONTROL
lo requiere.
Tipo de Riesgo Identificado
Probabilidad Impacto Nivel de Riesgo Calificación

Riesgo Operacional Alta Critico Riesgo Extremo 16

Riesgo financiero Media Critico Riesgo Alto 12

Riesgo financiero Media Moderada Riesgo Tolerable 9

Riesgo Operacional Media Moderada Riesgo Tolerable 9

Riesgo Operacional Muy Alta Moderada Riesgo Extremo 15

Riesgo Operacional Alta Critico Riesgo Extremo 16

Riesgo Operacional Alta Moderada Riesgo Alto 12

 MATRIZ DE RIESGOS RECURSO HUMANO
Código
ROTACIÓN DE PERSONAL RRHH -001-2022

Aprobó
20.03.2023

Versión
1

ANALISIS CUALITATIVO CONTROLES

SEGUIMIENTO

RIESGO RESIDUAL
No. De Riesgo

PROBA BILIDAD

IMPACTO
DESCRIPCION DEL
PROCESO POSIBLES CONSECUENCIAS CONTROL EXISTENTE ACCIONES RESPONSABL ES PERIODICIDAD INDICADORES
RIESGO

1, Actualización de información que

alimente el indicador

2, Realizar seguimiento de las

capacitaciones impartidas en la entidad a
1. Deficiencias de los procesos través de la encuesta de satisfacción
Inducción y Inadecuada formación del
2. Baja calidad en la prestación de
capacitación personal de la Entidad, Incluye
servicios. 3. Alto Mayor 32
1 deficiente e el incumplimiento del Plan de # de personas con
Incumplimiento de objetivos
insuficiente Capacitación resultados de evaluaciónde
institucionales.
3, Realizar seguimiento a las desempeño favorables Encuesta de
Seguimiento y Revisión al capacitaciones a través de los satisfacción de las capacitaciones
indicador de cumplimiento certificados de estudio /o evaluación de Administración seguimiento plan de capacitaciones
Semestralmente evaluación de la eficacia de las
Verificación del Plan de desempeño General
Capacitaciones 4, Realizar seguimiento a los resultados capacitaciones
formación del talento humano

32

1. Deficiencias de los procesos

incumplimiento de funciones y
2. Baja calidad de los productos y/o
objetivos por parte de cada uno Seguimiento de los objetivos Permanente seguimiento y control a los
servicios
Deficiente de los empleados concertados, formatos y resultados de los planes de acción, Administración
2 3. Incumplimiento de objetivos Alto Mayor Semestralmente Evaluación de desempeño
desempeño laboral y/o profesionales que ocupan cumplimiento en la establecimiento de la reglamentación de General
institucionales
los cargos de la evaluación la evaluación del desempeño.
4. Desconocimiento del personal de
Entidad
los objetivos institucionales

24 Trabajo ineficiente,. Retraso en los

procesos, errores significativos en
puestos claves.

1 Contrataciones urgentes sin

seguimientos adecuados.
Procesos de 2 Falta de seguimiento con las
Falta de manuales de
selección y investigaciones pertinentes para la Seguimiento y revisión de las Evaluación del impacto que causa la
procedimientos adecuados para Administración
3 reclutamiento de contratación del personal. Moderado Mayor politicas de contratación de contratacion ineficiente de personal, Mensual
la selección y reclutamiento de General
personal 3 Contrataciones por personal. revisión de manuales de procedimientos
 MATRIZ DE RIESGOS RECURSO HUMANO
Código
ROTACIÓN DE PERSONAL RRHH -001-2022

Aprobó
20.03.2023

Versión
1

ANALISIS CUALITATIVO CONTROLES

SEGUIMIENTO

RIESGO RESIDUAL
No. De Riesgo

PROBA BILIDAD

IMPACTO
DESCRIPCION DEL
PROCESO POSIBLES CONSECUENCIAS CONTROL EXISTENTE ACCIONES RESPONSABL ES PERIODICIDAD INDICADORES
RIESGO
24 Trabajo ineficiente,. Retraso en los
procesos, errores significativos en
puestos claves.

1 Contrataciones urgentes sin

seguimientos adecuados.
Procesos de 2 Falta de seguimiento con las
Falta de manuales de
selección y investigaciones pertinentes para la Seguimiento y revisión de las Evaluación del impacto que causa la
procedimientos adecuados para Administración
3 reclutamiento de contratación del personal. Moderado Mayor politicas de contratación de contratacion ineficiente de personal, Mensual
la selección y reclutamiento de General
personal 3 Contrataciones por personal. revisión de manuales de procedimientos
personal idóneo
ineficientes compradazgos
4 Contrataciones de personal no
calificado

12 Falta de dirección, desconocimiento

del personal de sus funciones.
Personal desmotivado

Personal no identificado con la 1 Personal insatisfecho 2 Falta de 1 Elaboración de Perfiles de puesto 2

Falta de programa
institución y desconocimiento compromiso en las responsabilidades Elaboración de Manuales de
de capacitación e Proceso de contratación Administración
4 de la misión y visión de la del personal de la institución 3 Falta Moderado Moderada procedimientos 3 Planes de capacitación Semestral
inducción de ineficiente General
entidad asi como del de dirección e instrucción 4 Falta 4 Planes de incentivos profesionales y
personal
reglamento interno de trabajo de Control economicos.

24

Se evalua por parte de la RRHH quien

recomienda si la persona tiene la aptitud
para el cargo a ocupar
Se realiza la entrevista por parte del Jefe
inmediato para evaluar y recomendar
1. Deficiencia en la calidad del
cumplimiento de funciones en caso de
Inexistencia de trabajo asignado. Verificación de los requisitos
quedar elegido. Check list Verificación de los
planes de Ineficiencia en las actividades a 2. Bajo rendimiento en las tareas Moderado Mayor de acuerdo al perfil del cargo,
Administración Cuando sea requisitos de acuerdo al perfil del
6 promociones desarrollar por parte del asiganadas y proceso interno para
General requerido cargo, y y check list de documentos
profesionales y personal 3. Desgaste en tiempo y recursos culminar el proceso de
a completar para ser dado de alta.
escala de salarios del área administrativa y selkección y recluitamiento.
capacitación
 MATRIZ DE RIESGOS RECURSO HUMANO
Código
ROTACIÓN DE PERSONAL RRHH -001-2022

Aprobó
20.03.2023

Versión
1

ANALISIS CUALITATIVO CONTROLES

SEGUIMIENTO

RIESGO RESIDUAL
No. De Riesgo

24

PROBA BILIDAD

IMPACTO
DESCRIPCION DEL Se evalua porACCIONES
parte de la RRHH quien
PROCESO POSIBLES CONSECUENCIAS CONTROL EXISTENTE RESPONSABL ES PERIODICIDAD INDICADORES
RIESGO recomienda si la persona tiene la aptitud
para el cargo a ocupar
Se realiza la entrevista por parte del Jefe
inmediato para evaluar y recomendar
1. Deficiencia en la calidad del
cumplimiento de funciones en caso de
Inexistencia de trabajo asignado. Verificación de los requisitos
quedar elegido. Check list Verificación de los
planes de Ineficiencia en las actividades a 2. Bajo rendimiento en las tareas Moderado Mayor de acuerdo al perfil del cargo,
Administración Cuando sea requisitos de acuerdo al perfil del
6 promociones desarrollar por parte del asiganadas y proceso interno para
General requerido cargo, y y check list de documentos
profesionales y personal 3. Desgaste en tiempo y recursos culminar el proceso de
a completar para ser dado de alta.
escala de salarios del área administrativa y selkección y recluitamiento.
capacitación

Riesgo Critico

Que no existan Evaluaciòn al personal sobre el

politicas que sean conocimiento de las politicas
de conocimiento del consernientes al area del Recuso
la administración. Humano
Existe un documento que
Politicas inexistentes o Contrataciones no conscientes y soporta la politica de
desactualizadas sobre el despidos injustificados en ausencia Alto Mayor Selección y Reclutamiento de Reiterar comunicado de generacion de
Talento Humano, relacionadas de politicas y normas que rijan el Personal (manuales de politicas de Selección y Reclutamiento de Administración
7 Trimestral
con capacitaciones internas y correcto proceso administrativo tanto puesto). Sin embargo se Personal. General
externas y/o fortalecimiento de para altas como para bajas de actualizara esta politica según
conocimientos del personal personal las necesidades
actuales del proceso.

20

Canales no viables Se da a conocer a la Bolsa de Empleo el Nº de personal contratados por la

para el perfil que debe poseer el postulado para Bolsa de Empleo
reclutamiento de la vacante.
personal
1. Demora en el proceso de selección
Publicaciòn de las vacantes a
No existen los canales y reclutamiento de personal
traves de bolsas de empleo, o Administración Cada vez que sea
8 adecuados para dar a conocer . 2. Perdida de Muy Alto Moderada
promociones dentro de la General necesario
las ofertas laborales. captaciòn de personal idoneo para
institución
la vacante requerida
 MATRIZ DE RIESGOS RECURSO HUMANO
Código
ROTACIÓN DE PERSONAL RRHH -001-2022

Aprobó
20.03.2023

Versión
20 1

ANALISIS CUALITATIVO CONTROLES

Canales no viables Se da a conocer a la Bolsa de Empleo el Nº de personal contratados por la
SEGUIMIENTO
para el perfil que debe poseer el postulado para Bolsa de Empleo
reclutamiento de la vacante.

RIESGO RESIDUAL
No. De Riesgo

PROBA BILIDAD
personal
1. Demora en el proceso de selección

IMPACTO
Publicaciòn de las vacantes a
No existen los canales
DESCRIPCION DEL y reclutamiento de personal
PROCESO traves de bolsas de empleo, o AdministraciónES Cada vez que sea
8 para dar a conocer POSIBLES CONSECUENCIAS
adecuadosRIESGO . 2. Perdida de Muy Alto Moderada CONTROL EXISTENTE ACCIONES RESPONSABL PERIODICIDAD INDICADORES
promociones dentro de la General necesario
las ofertas laborales. captaciòn de personal idoneo para
institución
la vacante requerida

24 Nº de subprocesos de selección
realizados/ Nº de subprocesos de
selecciòn que se deben realizar

1. Verificar la informaciòn suministrada

Proceso de en la Hoja de vida, verificando
Selecciòn referencias laborales y personales.
Proceso de entrevistas,
inadecuada Procesos de selecciòn 1. No se filtra de manera idonea los 2. Realizar una entrevista semi-
verificaciòn de antecedentes
inadecuados que no permiten postulados. 2. estructurada que permita conocer mas a Administración
Moderado Mayor y pruebas psicotecnicas y de semestralmente
filtrar los postulados de manera Posible selecciòn inaecuada de fondo las competencias del candidato. General
conocimientos de acuerdo al
correcta. personal. 3. Realizar pruebas Psicotecnicas para
9 puesto.
evaluar su posible desempeño laboral y
relaciones interpersonales con sus
compñaeros de trabajo.

20 Anual Matriz de relaciòn de los tipos de

contrato utilizado por cada puesto de
trabajo.

Se hace entrega del perfil del

Tipos de contrataciòn al cargo y de las De acuerdo a la complejidad del cargo
personal que afecte responsabilidades del cargo determinar un tipo de contrato que
Muy Alto Moderada
negativamente el desempeño asi como el area de trabajo, permita un alto desempeño y motivaciòn Administración
del personal. calendario de cumplimiento, en el personal. General
entre otras
 MATRIZ DE RIESGOS RECURSO HUMANO
Código
ROTACIÓN DE PERSONAL RRHH -001-2022

Aprobó
20.03.2023

Versión
1

ANALISIS CUALITATIVO CONTROLES

SEGUIMIENTO

RIESGO RESIDUAL
No. De Riesgo

20 Anual Matriz de relaciòn de los tipos de

PROBA BILIDAD
contrato utilizado por cada puesto de

IMPACTO
trabajo.
DESCRIPCION DEL
PROCESO POSIBLES CONSECUENCIAS CONTROL EXISTENTE ACCIONES RESPONSABL ES PERIODICIDAD INDICADORES
RIESGO

Se hace entrega del perfil del

Tipos de contrataciòn al cargo y de las De acuerdo a la complejidad del cargo
Tipo de contrato no personal que afecte responsabilidades del cargo determinar un tipo de contrato que
adecuado para el negativamente el desempeño 1. Alta rotaciòn del personal Muy Alto Moderada
asi como el area de trabajo, permita un alto desempeño y motivaciòn Administración
personal del personal. calendario de cumplimiento, en el personal. General
10 2. Poca motivaciòn del personal 3. entre otras
Bajo desempeño del personal

3 Personal en areas que no

corresponden, es decir la preparación
del personal no es la que reqiere enm
cargo.
24

1. Falta de informaciòn general

sobre la entidad (Misiòn, Visiòn,
Valores, História, Políticas, etc

Inducción adecuada desde el

momento de la contratación,
Inducciòn informando acerca de Visión, En cada expoediente de personal
1. Elaborar un Plan de Inducciòn el
insuficiente al Misión, Valores, Historia, debe constar el perfil del puesto
cualcontenga un Check List de los temas
personal nuevo Politicas, Reglam,ento firmado de recibido por el nuevo
a presentar al nuevo personal y los
interno de trabajo, Administración trabajador asi como la hoja de
2. Desconocimiento de las areas de Moderado Mayor responsables de llevarlos a cabo. 2.
socialización de la General conocimiento que fue dada la
trabajo y de los compañeros con Elaborar un Acta de inducciòn en el que
contratación para Cuando se da de alta inducción de manera consciete
Inadecuada inducciòn general y que tendrà contacto permanente en se haga constar que el nuevo personal si
11 conocimiento de los un nuevo
especifica al nuevo personal la realizaciòn de sus funciones, recibio la inducciòn correspondiente.
compañeros con quienes trabajadora
dentro de la obra como en el area tendrá contacto para el
administrativa cumplimientro de su trabajo.

3. Bajo sentido de pertenencia

a la entidad

Riesgo Alto # de personas con resultados de

Muy Alto Moderada evaluación de desempeño favorables
Encuesta de satisfacción de las
capacitaciones seguimiento plan de
capacitaciones evaluación de la
eficacia de las capacitaciones
1, Actualización de información que
alimente el indicador
2, Realizar seguimiento de las
Seguimiento y Revisión al
capacitaciones impartidas en la entidad a
1. Desactualizaciòn de los indicador de cumplimiento
traves encuesta de satisfacción 3, Realizar
 MATRIZ DE RIESGOS RECURSO HUMANO
Código
ROTACIÓN DE PERSONAL RRHH -001-2022

Aprobó
20.03.2023

Versión
1

ANALISIS CUALITATIVO CONTROLES

SEGUIMIENTO

RIESGO RESIDUAL
No. De Riesgo

PROBA BILIDAD

DESCRIPCION DEL
PROCESO
RIESGO
Evaluación del plan
de capacitaciones
Inadecuada inducciòn general y
12 especifica al personal de nuevo
ingreso de la Entidad
IMPACTO
POSIBLES CONSECUENCIAS CONTROL EXISTENTE ACCIONES RESPONSABL ES PERIODICIDAD INDICADORES
Riesgo Alto # de personas con resultados de
evaluación de desempeño favorables
Encuesta de satisfacción de las
capacitaciones seguimiento plan de
capacitaciones evaluación de la
eficacia de las capacitaciones
1, Actualización de información que
alimente el indicador
2, Realizar seguimiento de las
Seguimiento y Revisión al
capacitaciones impartidas en la entidad a
1. Desactualizaciòn de los indicador de cumplimiento
traves encuesta de satisfacción 3, Realizar
trabajadores en temas necesarios Verificación del Plan de Administración
seguimiento a las capacitaciones a través
para la realizaciòn adecuada de sus Capacitaciones y colegiado General
de los certificados de estudio /o
funciones. activo cuando lo amerite el
evaluación de la eficacia
cargo del profesional.
4, Realizar seguimiento a los resultados
del ítem prueba de conocimiento para Cuatrimestre
determinar cumplimiento de objetivo de

24 Nº de perfiles de cargo modificados/

Nº de perfiles de cargo de la Entidad
y revisión periodica de las mismas

1 Exceso de trabajo centralizado en

pocos trabajadores.
1. Diagnosticar el formato de perfil de
2 Personal con las mismas funciones Manuales y descriptores de
EXCESO EN LA cargo.
Distribución inequitativa de las y carga de trabajo mal distribuida. pouesto sin ponerlos en
13 CARGA DE Moderado Mayor 2. Modificar el formato de perfil de cargo Administración general Anual
funciones y carga laboral 3 Personal practica. Evaluaciones de
TRABAJO de acuerdo a la tendencia actual en la
desmotivado y desgastado. 4 desempeño deficientes.
Renuncia de talento humano a otras
empresas.
Empresa:

MA
Área: SISTEMAS
Fecha de elaboración:
Fecha de actualización:

No. Riesgo Posible Resultado

Que los registros realizados durante la jornada no se guarden

1 Fallas de almacenamiento
en el servidor.
2 Pérdida de base de datos Desfase de la información.

3 Violaciones de Seguridad Que la información sea de dominio publico.

4 Fallas Humanas La información generada por el sistema sea incorrecta.

5 Desastres Naturales Pérdida de la información.

Que el funcionamiento y software de los equipos presenten

6 Falta de Actualización
fallos.

Eliminaciones accidentales por error del

7 Pérdida de la información.
usuario

8 Mal resguardo del servidor Fallo del sistema durante un tiempo determinado.

9 Instalación de programas no autorizados Abrir puentes a posibles hacker´s.

 MATRIZ DE RIESGOS

Probabilidad

prioridad
Impacto
Sintoma

Inestabilidad en la red, cortes de energia electrica. A A 1

Pérdida de la información. M A 2
Que la información sea expuesta, y que personas incorrectas
M A 3
la utilicen.
Falta de conocimiento del proceso. B M 5
Que el servidor deje de funcionar debido a una sobre carga
B M 9
por tormenta electrica

Una computadora no reparada puede ser vulnerable a

ataques, y los sistemas que no brindan actualizaciones no
M M 9
pueden resolver problemas que no se detectaron durante el
desarrollo.

Borrar información indispensable para la empresa. B B 8

Acceso de personal que desconoce la instalación del servidor. B A 7

Programas expuestos a virus. A A 1

Realizado Por:
Revisado Por:
Autorizado Por:

Responsable de la acción de
Respuesta al riesgo
respuesta

Que cada area de trabajo tenga un UPS y el

Gerencia de Informatica
fortalecimiento de la red atraves de rauter´s
Contar con Backup Gerencia de Informatica
Desarrollar una herramienta que pruebe el sistema y
Gerencia de Informatica
pueda identificar las brechas de seguridad.
Capacitaciones de las funciones del sistema. Gerencia de Informatica
Implementar una nube, para no necesitar un servidor
Gerencia de Informatica
físico.

Mantener un plan de actualización automática

Gerencia de Informatica
periódica.

Restringir accesos a los usuarios del sistema Gerencia de Informatica

Mantener el servidor fisico en un lugar aislado, con

Gerencia de Informatica
acceso a personal autorizado.
Restringir accesos a los usuarios de los equipos. Gerencia de Informatica
No. Descripción del Riesgo

1 El cambio climático extremo causa inundaciones en el territorio guatemalteco.

Por causas climaticas una tormenta electrica causo el apagón total de las instalaciones, por lo que no se tiene
2 acceso a internet, ni al sistema.

3 La conexión a Internet se pierde debido a un árbol que boto la red alambrica.

4 Se identifico que la empresa tiene un falsa publidad en redes sociales, la cual no se esta aplicando.

Se encontró un perfil en redes sociales falso, haciendose pasar por la empresa, ofreciendo descuentos y
pidiendo datos personales innecesarios.
Correos electronicos que parecen confiables, pero contienen URL a paginas poco confiables donde pueden
5 hackear información de los computadores.
6 Robo de activos como aparatos tecnológicos importantes para la empresa.

7 Se indentificó un mal cuidado del equipo tecnológico brindado al personal en Home Office.

Hace mas de un año que no se realiza Hacking Ético (para medir el nivel de seguridad de la empresa), Con
8 el fin de evaluar si se está preparado para cualquier ataque de robo de información externo por lo que no se
tiene conocimiento que tipo de posibles vulnerabilidades posee los sistemas.

Se determino la falta de implementacion de normas que garanticen el correcto uso de la tecnologia y

9 aplicaciones por parte de los usuarios.
Se identifico que no tenemos asesoramiento tecnico o asistencia ante posibles problemas o fallas con los
10 sistemas.

11 No se cuenta con un control por medio de algun programa para verificar la autenticidad del sitio web.
Se permite la conexión de computadoras que no pertenecen a la institucion y no se cuenta con un control
12 para autorizar computadoras personales.

No existe un programa de protección de la información contra virus y diferentes ataques

13
cibernéticos.

Depender solo de un medio de almacenamiento, por lo que el departamento de IT ha recomendado utilizar

14 Google Drive por el momento debido a la accesibilidad y confiabilidad.
 Matriz de Riesgos

Hecho
Revisado
Autorizado

Evento Departamento Tipo de Riesgo Impacto

Negativo General Riesgo Externo 4

Negativo General Riesgo Externo 4

Negativo General Riesgo Externo 4

Negativo Mercadeo y Publicidad Riesgo de negocio 4

Negativo General Riesgo Externo 4

Negativo Ventas y Contabilidad Riesgo Externo 5

Negativo General Riesgo Externo 5

Administración y
Negativo Riesgo de Cumplimiento 4
Contabilidad

Negativo IT Riesgo de Cumplimiento 5

Negativo IT Riesgo de Cumplimiento 3

Negativo IT Riesgo de soporte tecnico 4

Negativo IT Riesgo de Control 5

Negativo IT Riesgo de Control 5

Riesgo de perdida en
Negativo General 4
informacion

Negativo General Riesgo de negocio 4

Matriz de Riesgos
INICIALES FECHA
Grupo 09 15/03/23
Roberto Sutuj 19/03/23
Oscar López 3/20/2023

Probabilidad Riesgo Ponderado

4 16 Alto
4 16 Alto

4 16 Alto

5 20 Alto

4 16 Alto

3 15 Medio

4 20 Alto

4 16 Alto

3 15 Medio

4 12 Medio

4 16 Alto

4 20 Alto

4 20 Alto

4 16 Alto

3 12 Medio
Empresa: Nombre de la empresa
Matriz para la Gestión de Riesgos

MAT
Área:
Fecha de elaboración:
Fecha de actualización:

No. Identificación del riesgo

1 Ataques deVirus

2 Perdida o Robo de equipo

Modificación, extracciones y destrucción de información

3
confidencial

4  Phishing

5 Ingreso al equipo por contraseñas débiles

6 Falla contaste por conexión a la red

7 Fallas al sistema

8 Rotación de personal

Se pierden las licencias de programas originales que estan

9
en el archivo sin llave

La información de contabilización se guarda en USB de

10
respaldo y en algunas ocasiones estas se extravían
 MATRIZ DE RIESGOS "Amenazas o intimidaciones por i

Evaluación del riesgo Posible Resultado

El riesgo es impredecible,el robo de Datos e informacion

confidencial de la empresa, provocaria una alerta con
Los riesgos podrian ser: Robo de datos para venderlos a la
nuestro equipo de informatica que tendria que ver que hacer
competencia y hackeo.
por lo mismos todos debemos tomar conciencia sobre la
Ciberseguridad.

La perdida de equipo es un problema interno y por tal motivo

Las perdedas de gastos no son predecibles o mensurables y si
es importante dar con los responsables, posiblemente
las cosas no van bien la empresa trata de reducir los costos.
empleados.

Si las copias de seguridad no cuentan con las protecciones

La destrucción o modificación de la información confidencial
físicas adecuadas, pueden destruirse, por ejemplo, si se
puede ser muy catastrófico para una empresa ya que pueden
ven afectadas por desastres como incendios, inundaciones o
perder información de muchos años de trabajo o puede ser
incluso robos. Además, el mal manejo de los medios físicos de
aprovechada por la competencia.
almacenamiento puede volverlos obsoletos.

El phishing es una técnica de fraude o robo de

identidad en la que los ciberdelincuentes intentan hacerse
pasar por una marca o persona para engañar a los usuarios Perdida de inofrmacion, grandes cantidades de dinero
para que realicen una determinada acción
o proporcionen datos confidenciales.

Cualquier colaborador con malas intenciones puede ingresar

Los empleados no tienen contraseñas robustas
al equipo y ver información sensible

La empresa no cuenta con una red estable y los colaboradores Los empleados tienen dificultad al usar aplicaciones que
constantemente se quejan utilicen internet porque se desconecta constantemente
El sistema tecnologico dejan de funcionar por el Se puede realizar un diagnositico simple en base a los
cibercrimen, falla de hardware y problemas en su propio conocimientos de la persona, para lograr saber si todo esta
software. en su funcionamiento normal.

Esto se puede solucionar con el mejoramiento de la

Mide la relación entre las personas que se incorporan al
inadecuada supervision, clima laboral defavorable , la falta
equipo y los que se marchan
de crecimiento laboral.

La licencia del programa puede ser utilizada por cualquier

Es posible que se flitre la información recopilada.
persona tanto interna como externa.

La información contenida en las memorias es posible que ya

Es posible que se flitre la información recopilada.
no regrese.
ntimidaciones por información"

Probabilidad

Prioridad
Impacto
Síntoma

No debemos abusar del internet de la

empresa; ingresando a nuestras redes
25 25 1
sociales o bien ingresando a portales de
dudosa procedencia.

Debemos minimizar el riesgo de hechos

y así detectar a la persona responsable 12 9 2
del hecho.

La poca motivación o bajos salarios

pueden ser motivos para que personas
mal intencionadas decidan modificar o 2 25 7
destruir información a cambio de un
beneficio economico

Tienden a usar correos

electrónicos, mensajes de texto
o páginas espejo que se parecen
3 12 4
mucho a la marca que están
suplantando, lo que dificulta su
identificación en algunos casos.

La empresa no brinda manuales con

5 25 5
ejemplos de contraseñas robustas

No se cuenta con una red estable 3 9 3

Cualquier dispositivo, software o
equipo que ayuda a las personas a 4 12 4
superar desafíos, de tal manera que
puedan aprender, comunicarse y
funcionar mejor.

es decir, el porcentaje de altas y bajas 3 9 3

en relación al número de empleados en
un determinado periodo temporal

En raras ocasiones se pierden algunos

5 25 6
datos, los cuales se vuelven a ingresar

Cuando se migra la información de un

equipo a otro, en algunos casos no 3 12 4
aparecen las memorias USB
Realizado Por:
Revisado Por:
Autorizado Por:

Responsable de la acción de
Respuesta al riesgo
respuesta

Todos los equipos de la empresa deben recibir una

buena capacitación, sobre la ciberseguridad y tomar en
Jefe de Depatamento
cuenta que el internet de la empresa es solo para uso
del mismo.

Elaborar un plan de prevención, debemos contratar una

póliza de seguro. Debemos tratar de comprender como Jefe de Depatamento
y porque estos riegos llegan a manifestarse.

Utilizar Proveedores que presenten servicios de

Gerente de IT
procesamiento y/o almacenamiento de información

Al revisar cuidadosamente los correos electrónicos,

asegurándonos de que está comprando en un sitio
oficial y no en uno similar, o verificando la compañía Administrador de APP´s
para asegurarnos de que la información solicitada sea
correcta, podemos evitar el fraude.

El equipo brindará capacitación y

Brindar manuales específicos para contraseñas seguras un manual para fortalecer ese
aspecto

Los encargados buscarán un nuevo

Buscar un nuevo proveedor proveedor que cuente con la
calidad requerida
Todo el equipo debe de tener una preparacion con
Gerente de IT
anterioridad para evitar fallos en el sistema.

Los gerentes y jefes de la empresa deben tener una

mejor relacion con todo el equipo de su empresa,
Gerente de IT
definir muy bien el perfil de trabajo de cada uno de sus
empleados.

La administracón debe limitar el acceso a las licencias

Departamento de IT
de programas originales.

Se debe de migrar la información a la "Nube" para

Departamento de IT
poder bajar la información sin problema alguno.
 UNIVERSIDAD DE SAN CARLOS DE GUATEMALA
FACULTAD DE CIENCIAS ECONOMICAS
ESCUELA DE AUDITORIA
AUDITORIA INFORMATICA
Base de Datos de una clínica
NO. EVENTO
Los datos contenidos en la BD no se
1 R.R.H.H. , Informatica
encuentran encriptados
La aplicación es vulnerable a un SQL
2 IT
Injection.
El tipo de ataque es simple y una vez
3 descubierta la vulnerabilidad puede
seguir siendo realizado.
MATRIZ DE RIESGO
PROBABILIDAD
IMPACTO
DEPARTAMENTO TIPO DE RIESGO EFECTO RESPUESTA AL RIESGO RIESGO PONDERADO
Aspectos de la seguridad de La encriptación de datos es
las bases de datos son junto la autenticación, la
necesarias diferentes autorización y la auditoriía,
Operacional
utilidades, procedimientos de uno de los 4 pilares de la
sistema e implementación de seguridad de una base de
comandos. datos
4 5 20
El origen de la vulnerabilidad
radica en la incorrecta
comprobación o filtrado de las Se puede evitar de las siguientes
Financiero, Operacional maneras: a) Escapar los
variables utilizadas en un
programa que contiene, o bien caracteres especiales utilizados
en las consultas SQL b) Delimitar
genera, código SQL. los valores de las consultas
c)Verificar siempre los datos que
introduce el usuario d) Asignar
mìnimos privilegios al usuario
que conectará con la base de
datos e) Programar bien 5 5 25
Para mantener un cierto grado
de seguridad, lo principal y Se debe cambiar perspectiva
primero es la necesitamos de hacia la forma en que
entender cómo pueden percibimos la seguridad,
IT Operacional
atacarnos y en qué consisten conocer cietos ataques y cómo
dichas amenazas, con el fin de podemos aprender de los
poder remediarlas de la mejor mismos para estar lo mejor
forma posible preparados posibles, ya que
no es posible decir en
seguridad “preparados” a
secas 4 4 16
 El alto número de registros Pueden llegar a 500,000 Organizar y verificar las
4 confidenciales perdidos (Pueden llegar a IT Operacional registros perdidos Se viola vulnerabilidades que
500000) politica de seguridad interna. ocasionan las pèrdidas de
registros 4 4 16
Pèrdidas monetarias en las
Las pérdidas monetarias en reposiciones, Elaborar diganostios sobre
5 Financiero, IT Financiero, Operacional reposiciiones de registros
asciende a $15000000. pèrdidas
confindenciales 5 5 25
No. Riesgo (si)

Perdida de base de
1 datos y fuestes de
informacion

Ausencia de
controles en los
2
sistemas de
informacion

Manipulacion,
modificacion o
alteracion sin
3 autorizacion de la
informacion
registrada en los
sistemas.

Erronea gestion de la
4 infraestructura
tecnologica.
 No cumplir con los
lineamientos del
5 modelo de segridad
y provacidad de la
informacion y de las
politicas.

No disponibilidad de
los sitemas
tecnologicos y los de
informacion.

Insuficiencias
operativas de
sofware.

Ataques ciberneticos

Acceso a cuentas de
correo
9

perdida de equipos
de informaticos
10
 Mapa de calor
PROBABILIDAD A 4 8 9
M 3 5 7
B 1 2 6
B M A
IMPACTO
 MATRIZ DE RIESGO DE GESTION SEGURIDA DIGITAL

Descripcion del Riesgo Consecuencias Probabilidad A/M/B Impacto A/M/B

Perdida de autenticidad
en la informacion que se
No ejecutar el debido respaldo maneja.
de toda la información y no Perder la 3 3
contar con la proteccion de esta continuidad en el buen
funcionamiento de las
areas.

Manejar información restringida. Manipulacion de las

cuentas, perdida de
Acceder a perfiles no 2 3
informacion, perdida de
autorizados.
credibilidad.

Perdida de informacion
Manejar información restringida. privada.
Acceder a perfiles no Posibles sanciones por 3 3
autorizados. no teportar informacion
a tiempo.

Fallas en la coneccion de
los sistemas de
informacion tanto
interno como externo.
Gestionar losndistintos procesos Fallas en la
2 3
de infraestructura tecnologica. conectividad, paginas
web, correos
electronicos y demas
sistemas de
comunicacion.

Supervision de los contratos con
terceros qu eprestan los
servicios de infraestructura
tecnologica de los sistemas de
informacion.
Posibles sanciones por
mal manejo de las
politicas de la seguridad
de la informacion. 3 3
Plan de mejora
continua de la seguridad
digital.

Tomar medidas preventivas y

reactivas de los sistemas Mal manejo de todos los
tecnologicos que permiten activos de tecnologia.
resgurardar y proteger la Utilizacion
2 2
informacion buscando mantener de los sistemas
l confidencialidad, la tecnologicos e
disponiblidad e integridad de informacion obsoletos.
datos.

Resultados
desactualizados y no en
No tener un registro de los tiempo real.
componentes que se utilizan en Falta de herramientas 4 2
los procesos que utilizan
semaforo para temas de
sistemas de informacion.
vencimiento en
correspondencia.

No ejecutar el debido respaldo Plagio de la infomracion

de toda la información y no Perdida de la 3 3
contar con la proteccion de esta Imformacion Hurto
Informacion

Plagio de la infomracion
Manejar informacion restringida.
Perdida de la
Acceder a perfiles no 3 3
Imformacion Hurto
autorizados.
Informacion

Plagio de la infomracion
No tener control sobre que
Perdida de la
equipos de computo tienen los 2 3
Imformacion Hurto
colaboradores.
Informacion
A DIGITAL

Prioridad (1-9) Respuesta Responsable de la acción de respuesta

Ejecutar las copiad de

seguridad
debidamentes según
9 Gernte de Tecnologia
el procedimiento.
Copias de seguridad
alojadas en Drive.

Realización de
6 pruebas en UPS para cada uno en sus areas y llevar un control
verificación que esten por un encargado
en buen estado

Cambios periodicos
de contraseña.
9 Capacitar a los Gerente de Tecnologia
funcionarios para la
solicitud de
requerimiento.

Supervision de los
contratos con
terceros que prestan
los servicios de
6 Gerente de Tecnologia
infraestructura
tecnologica de los
sistemas de
informacion.
 Ejecucion al plan de
trabajo de politicas
9 digital. Gerencia de Tecnologia
Entrega de informes y
porcentajes de
avances.

Lista de activos fisicos

de tecnologia.
Lista de inventarios
intangibles (sistemas
de informacion).
4 Gerencia de Tecnologia
Controles de fechas
de terminacion de
contratos y licencias
de uso de los sistemas
de informacion.

Bitacora de revision y
8 lista de chequeo en Gerencia de Tecnologia
instalacion y vigencias
de software.

Monitoreo y
seguimiento a los
9 proveedores Gerencia de Tecnologia
tecnologicos de los
sistemas de antivirus
vigentes en equipos.

Seguimiento de
9 bitacora contractual- Gerencia de Tecnologia
usuario.

Seguimiento de
bitacora de
6 prestamos de Gerencia de Tecnologia
equipos.