Matriz de Riesgos

Departamento Auditoría de Sistemas Automatizados

Gerencia Auditoría Aplicaciones
[Electrónicas/Financieras] Auditoria prevención Fuga
de Datos
ANÁLISIS DE RIESGO DOCUMENTACIÓN DE LOS CONTROLES

Referencia
Riesgos Efectos Impacto Probabilidad Controles Tipo de Procedimientos de Programa
Control Control Existentes de Pruebas
1.- Chequear la efectividad de un software de administración y monitoreo de la red corporativa.

1.1. descargas y manejo sin control de Política de

Manipulación de software. control desarrollo de
aplicaciones
Medio Baja Registro, política P software. R1OE - 1.1
P
1.2. Especificaciones inconcluso para funcionamiento incorrecto Política de
los desarrolladores de software. control desarrollo de
Medio Media Política software. R1OE - 1.2
Derechos ficticios y/o P
1.3. Falta de mecanismos de excesivos. Seguridad Política de la
autenticación e identificación. Información
Alto Alta Política R1OE - 1.3

2.1. Uso incorrecto de sistemas de a Información

seguridad para la verificación de los Acceso Alto Media Política P Política Seguridad de la
documentos. privado. Información. R2OE - 2.1
2.2. Manejo incorrecto del control de la Permiso a Información Política Seguridad de la
accesibilidad física a áreas privadas. privado. Alto Baja Política P Información. R2OE - 2.2
 Matriz de Riesgos
2.3. Falta de instrumentos para el permiso a Información Alto Baja Política P Política Seguridad de la R2OE - 2.3
Manejo remoto de los archivos y/o privado. Información.
documentos.

3.- Comprobar que las variaciones que realicen las redes sean previamente autorizadas, y que se asegure la calidad de los mismos, antes y luego de estar en operación.

Operar el sistema de red

después de una variación Inseguridad en la
sin una verificación de la
P optimización de las
verificación ajustada de
3.1 Diligenciar la política de la variaciones que se
funcionamiento de estos
3.1 Deficiencia de un sistema optimizado confirmación de la calidad de los incorporan a la red
cambios.
de comprobación de datos en la red. Medio Alta cambios realizados en la red. corporativa. R3OE - 3.1
Posibles Malware de robo
Las variaciones que se se
de datos Inseguridad en
hacen en las redes
los datos
corporativas son
previamente chequeadas
antes de que entren en
3.2 Existencia de datos sin permiso o 3.2 Métodos de verificación de los
procesos de operaciones.
autorizados en la red. Alto Baja datos ingresados en la red. P R3OE - 3.2

Modificación no 3.3 Comprobación del personal Tramitar la red corporativa

autorizada y Posible robo Medio Baja con permiso a realizar los cambios, P y existen condiciones para R3OE - 3.3
3.3 Permiso del personal no autorizado de información. condiciones de seguridad en la el personal sin
para hacer variaciones en el software de la red, e implantar restricciones al autorización a
red. personal no autorizado. transformar.

4.- Confirmar la continuidad de operaciones ante la ocurrencia de eventos no deseados a la red corporativa.

Tras implementar el nuevo

Fuga de recursos software se valida su
prioritarios de la funcionamiento solo en
Bajo Media 4.1 Validación del correcto P R4OE - 4.1
organización y latencia en algunos módulos del
4.1 Error tras implementar el nuevo los servicios. funcionamiento del nuevo software
software en la red. previo a su implementación oficial. mismo.

4.2 Falta de copias de los datos
importantes.
4.3 Extracción o eliminación de los
servidores de la organización.
Posibles fugas
de los datos en las bases
Medio
de datos.
Culminación indefinida de
las actividades de la
empresa.
Matriz de Riesgos
Inexistencia de un
4.2 Validación de los backup de software de respaldo de
Alta los datos en los medios de C R4OE - 4.2
los datos.
almacenamiento.
La empresa tiene un buen
4.3 Mejorar la seguridad de los software para ofrecer
datos, servidores y la puerta falsa seguridad contra el robo o
Alto Baja P R4OE - 4.3
donde se encuentran físicamente la eliminación de los
estos. servidores.

5-Verificar que el sistema se desempeña adecuadamente, asegurar recursos suficientes a los usuarios, servicios y aplicaciones para el cumplimiento de los tiempos esperados, y
que las excepciones sean detectadas, reportadas y corregidas oportunamente.

Se imposibilita la Software funcional

ejecución de los tiempos 5.1 Actualizar los módulos de la
5.1 Software obsoleto con pasos requeridos. página.
innecesarios. Bajo Media C R5OE - 5.1
Debido al nivel de 5.2 Comprar un gestor base de
saturación puede fallar el datos con más espacio para no Suficiente espacio de
sistema por la magnitud sobrecargar la base de datos, o almacenamiento para
solo guardar los archivos más Backup que no se
de los archivos y la
antiguos en el “backup” del realizan.
escasa capacidad de servidor.
5.2 Saturación de la base de datos. procesarlos Medio Baja P R5OE - 5.2
5.3 Permisos a usuarios vulnerables. Una persona puede Alto Baja 5.3 Validación de usuarios más P Usuario y contraseña R5OE - 5.3
entrar al usuario y hacer estricta. para cada usuario.
modificaciones
críticas o
acciones
indebidas.

6.- Verificar el cumplimiento de las leyes, regulaciones y estándar aplicables relacionados a la seguridad de la información en las redes corporativas
 Matriz de Riesgos
6.1 Posible manipulación significativa de Posible edición y La empresa cuenta con
los datos dentro de la red. 6.1 Aplicar la política de seguridad opciones de verificación
clonación de la
para el acceso de información. del usuario mediante
información que se códigos de acceso.
encuentra en la red Alto Media P R6OE - 6.1
6.2 Carencia de monitoreo de la 6.2 Procesos de vigilancia de Un sistema de
información que se comparte en las redes Constante violación los datos que se manejan en monitoreo constante
corporativas. de los protocolos la red. para visualizar la
establecidos para el Medio Baja P R6OE - 6.2
actividad dentro de la
manejo de la red.
información.

Tecnologías de rastreo
Fuga de información
instalables en los
prioritaria dentro de la red Alto Media P R6OE - 6.3
dispositivos de los
6.3 Posibilidad de fraude con relación a corporativa. 6.3 Comprobación de la obtención usuarios.
los datos que se ubican en la red. de datos para acceder a la red.

7.- Confirmar la existencia de contratos de confidencialidad con terceros, en los servicios de mantenimiento e instalación de las redes corporativas.

7.1 Propagación de datos particulares de la Fuga o manipulación de Carencia de protocolos

infraestructura de la empresa. los datos.
Alto
7.2 Poca privacidad de información Acceso a información
delicada que se visualiza en la red. confidencial.
Medio
Manipulación de los datos. Medio
7.3 Divulgación de datos confidenciales que
se encuentran en la red.
7.1 Asentamiento de firmas para
Media salvaguardar los datos particulares
que se encuentran en la red.
7.2 Validación de accesos a través
de un sistema de
Alta identificacion y autenticación
7.3 Validación de las credenciales
del personal a cargo del servicio.
Alta
o sanciones contra el
P personal que difunda R7OE - 7.1
información
confidencial.
Se comprueban los
datos del personal, pero
no existe protocolo que
proteja la privacidad de
los datos.
P R7OE - 7.2
No existe acuerdo entre
ambas partes que evite
P una posible divulgación. R7OE - 7.3
 Matriz de Riesgos
PREPARADO POR:

Richard Antuan Vélez Silva Anjeisi Ivelisse Acosta Carvajal

Auditor Senior de Sistemas Auditor Senior de Sistemas

Miguel Santos Diego Olivero Matos

Auditor Senior de Sistemas Auditor Senior de Sistemas

Iván Fernando Rodríguez Gautreau Jorge Luis Mateo Feliz

Auditor Senior de Sistemas Auditor Senior de Sistemas

César Augusto Castillo Moronta Félix Alejandro Camilo Javier

Auditor Senior de Sistemas Auditor Senior de Sistemas

Dariel Enmanuel Buret Rivera Bryant Perez García

Auditor Senior de Sistemas Auditor Senior de Sistemas