Empresa Estudiantes del Noveno Semestres USAC, Firma Fecha

Programa realizado
Auditoría de Tecnologias de Información por:
Programa revisado por
Auditoría del 1 de marzo al 31 de marzo de 2024 : victorsipac 5/04/2023

Matriz de Riesgos y Controles de TI

Clasificaci Frecuenc Aprobado /
Código Código Tipo de ón del ia del Procedimientos de Referencia No
Área Riesgo Objetivo Riesgo P I M Control Controles Control Control Control Auditoría PT Aprobado
R-OC-001 Tener suficientes recursos económicos Falta de capacitación al personal por la gerencia al no 3 3 9 C1 Qué el Gerente de Recursos Humanos cuente con Preventivo
para poder capacitar al personal tener suficientes recursos economicos en los diferentes sufientes recursos económicos para poder
departamentos o areas capacitar al personal.
R-OC-002 Contar con una buena organización Incumplimiento de labores por parte de los empleados por 3 3 9 C2 Qué cada area cuente con una persona Preventivo
para que el personal cumpla mala organización responsable que supervise al personal para que
adecuadamente con sus labores cuampla con sus labores.
R-OC-003 Seleccionar al personal adecuado que Mala selección de personal por parte de la administracion 3 3 9 C3 Qué el Gerente de Recursos Humanos seleccione Selectivo
tenga conocimientos en tecnología al contratar personal sin conocimiento en tecnología al personal ideoneo para que realice sus labores de
manera eficiente.
R-OC-004 Dar capacitaciones al personal para Tener laborando a personal sin experiencia por no tener 3 4 12 C4 Qué en la empresa se cuente con un departamento Preventivo
que tenga mejores conocimientos suficientes recursos economicos para poder dar de capacitaciones para el personal.
capacitaciones
Organización del centro

R-OC-005 Tener programas actualizados para Tener programas de sistemas no actualizados donde se 4 3 12 C5 Qué el Gerente de Recursos Humanos, busque la Preventivo
evitar perdida de información pueda guardar una copia de la información manera de tener los programas actualizados para
evitar perdida de información.
R-OC-006 Mantener personal competente Pérdida de recursos de TI, por falta de personal 3 3 9 C6 Qué el Departamento de Recursos Humanos Detectivo
especializado en TI, en la contratación de recurso evalué al personal idoneo para no tener pérdidas
humano en la compañía. de recursos de TI.
R-OC-007 Capacitar al personal idoneó al puesto No contar con personal idoneó y especializado en el 3 3 9 C7 Qué el Departamento de Recursos Humanos Preventivo
departamento de TI. evalué al personal idoneo para el puesto dentro del
Departamento de TI y así desarrollarse de manera
adecuada.
R-OC-008 Soporte técnico adecuado Analistas de TI no capacitados, para solucionar 3 4 12 C8 Qué los analistas de TI sean capaces de solucionar Preventivo
inconvenientes, referentes a las necesidades dentro de la situaciones referentes a las necesidades dentro de
organización. la organización.
R-OC-009 Tecnología actualizada Equipos de computo desactualizados y obsoletos dentro 3 5 15 C9 Qué el Jefe del Departamento de TI, instruya a su Detectivo
de la organización. personal para verificar que los equipos de computo
sean actualizados y funcionales para la
organización.
R-OC-010 Recursos adecuados Qué el Departamento de Recursos humanos evalué y 3 3 9 C10 Qué el Jefe de Recursos Humanos en conjunto con Preventivo
capacite al personal idoneó para las funciones inherentes el Departamento de TI, evaluen al personal idoneó
a las auditorías de TI. para los puestos.
CN1 Aumento de Equipo de trabajo Que por negligencia no se actualice la información y se 16 C11 Para evitar la negligencia se deben hacer contratos Preventivo
Tecnologico pierdan datos. de servicios de mantenimiento al equipo de trabajo
4 4 con el fin de no tener por mucho tiempo las mismas
maquinas.
CN2 Proporcionar cobertura de internet a Riesgo de incobrabilidad por caida de los sistemas 20 C12 crear un plan para evitar que este tipo de Preventivo
todo el pais problemas suceda seguidamente, a menos que sea
4 5 por temas de mantenimiento, e identificar a que se
debe la continua caida de la red.
CN3 Planificar con anticipacion un programa Robo de información por medio de correos electronicos de 20 C13 crear un plan de capacitacion para el personal para Preventivo
que proteja la informacion de hackeos mala procedencia 4 5 abrir correos que cuenten con informacion confiable
y conocida.
CN4 Malas condiciones climatológicas No cuenta con una política adecuada de prevención por 15 C14 Inclumplimiento en las ordenes de trabajo de Detectivo
los cambios climaticos mantenimiento y falta de planificación en el
Continuidad del negocio

3 5
departamento tecnologico.
CN5 Interrupción de Suministro Se observó que al empresa no ha registrado provisión por 16 C15 Falta de planificación y gestión de riesgos, así Detectivo
Q. 250,000.00 , derivado de 6 demandas de 6 como una falta de compresión o subestiamción de
colaboradores y se estimada alta probabilidad de perder 4 4 las consecuencias financieras de las demandas por
los casos. parte de la empresa.
CN6 Brinda un producto y servicio de Realizar un producto y brindar servicios de calidad, 10 C16 Preventivo
2 5
calidad al cliente conforme a las expectativas de los clientes
CN7 Rotación de Personal Pasa un incendio y sale perjudicado el personal. 12 C17 Se debe manejar un seguro para hacer usuarios Detectivo
3 4 por cada persona del equipo de trabajo.

CN8 Cambio de Autoridades en Cargos Al momento de tener por mucho tiempo a 1 sola persona 9 C18 Para evitar los sabotajes en la empresa, es mejor Preventivo
altos mandos en el cargo, haya sabotajes. colocar en los cargos de altos mandos por periodos
3 3 de 3 a 4 años y personal capacitado
profesionalmente.
CN9 Innovación de productos Por inundaciones que se viven, exista la piratería de 20 C19 Por el volumen del consumidor, se debe tener Preventivo
productos. 4 5 opciones en la tecnología, paginas y aplicaciones.

CN10 Incrementar a nuevos mercados. Se vive un terremoto en el país. 25 C20 Con los proyectos en la tecnología y aumentar se Preventivo
5 5 debe contar con servicio de seguridad inteligente
remoto.
Dar un seguimiento de la calidad del 12 C21 Realizar un programa operativo que incluye una
Disponer de informacion poco confiable y procesada de
CC1 sistema de TI a traves de un monitoreo 3 4 metodologia para realizar un mejor monitoreo
forma incorrecta por un escaso conocimiento sobre los
adecuado de los procesos periodicamente y realizar pruebas de
procedimientos.
implementados funcionamiento Preventivo
Garantizar la implementación de 16 C22
mecanismos de control necesarios para Incumplimiento de los mecanismos necesarios que Asignar a personal capacitado para monitorear el
CC2 el adecuado funcionamiento del podrian interrumpir el desarrollo del producto/servicio y 4 4 cumplimiento de los mecanismo y dar seguimiento
sistema de información (restricciones, perdida de credibilidad del mismo. a las actividades definidas en el proceso
validaciones, otros) Preventivo
12 C23 Implementar capacitaciones periodicas para
Lograr una certificacion en sistemas de Personal sin conocimiento suficiente sobre sistemas de
CC3 3 4 actualizar informacion y ejecutar evaluaciones de
informacion para mitigar errores en los informacion que proporciona informacion deficiente sobre
conocimientos al personal para visualizar puntos de
procesos necesarios. los temas necesarios
mejora Preventivo
16 C24
Asegurar el establecimiento de criterios Realizar tareas innecesarias o prácticas ociosas por el
CC4 4 4 Establecer un manual para el cumplimento estricto
que responda a la obtención y manejo personal que afecten negativamente el uso de los
de los indicadores de calidad establecidos
optimo de los recursos de TI recursos disponibles.
Preventivo
12 C25
Verificar que los reportes elaborados Realizar encuestas periodicas al personal sobre la
CC5 No tener actualizaciones adecuadas del sistema segun 4 3
por el sistema sea utiles y necesarios interfaz, reporteria y opciones de menu necesarios
oas necesidades actuales que se requieran.
para los usuarios para garantizar un sistema de datos oportuno.
Preventivo
12 C26
El Administrador de Sistemas revisa las pruebas
Fallas continuas en sistema interno por falta de realizadas en los sistemas informaticos el tiempo
Mantener el sistema sin fallas actualizacion de monitoreo y analisis de redimiento en las tardado en la ejecucion cada quince dias, para
CC6 3 4 Preventivo
Control de calidad

tecnologicas. herramientas y aplicaciones del sistema operativo de la validar el mantenimiento realizado, se aceptará solo
empresa las credenciales selladas y firmados por el analista
que realizo las pruebas.

16 C27
El Analista de la seguridad de la informacion
inspecciona las estrategias de intentos de amenzas
Fuga de datos sensibles por ataque malware de troyanos de pruebas realizados a los colaboradores de
CC7 Identificar las vulnerabilidades contra
en los sistemas internos y archivos en los dispositivos de 4 4 diferente areas, semanalmente para verificar el nivel Preventivo
amenzas ciberneticas.
la empresa de riesgo de la empresa, las autorizaciones deben
estar firmadas por el analista que realizo la prueba
de intento.

10 C28 El Arquitecto de Soluciones comprueba los

Implementar cambios en las
CC8
aplicaciones de la empresa.
Fomentar retroalimentacion en el uso
CC9
de aplicaciones internas.
Problemas de tiempo que afecta la capacidad de
eficiencia por la falta de Innovacion en la actualizacion de
los sistemas informaticos de la empresa.
Ineficiencia en la productividad operativa por falta de
capacitaciones y retroalimentacion en el uso de las
herramientas y aplicaciones de la empresa.
ensayos realizados de los cambios en las
aplicaciones y redes verificando su seguridad y
2 5 rendimiento cada vez que se implementan nuevos Preventivo
cambios/mejora; las autorizaciones debe estar
selladas y fimada por el analista que realizo el
cambio.
6 C29
El Ingeniero de Soporte Técnico revisa la asistencia
de colaboradores que realizaron la capacitacion del
uso de heramientas y aplicaciones de los sistemas
2 3 Preventivo
mensualmente, asi como la aplicaciones de
examenes, se aceptara comprobantes firmados por
encargado de brindar capacitacion.

12 C30
El Desarrollador de Software comprobara las
Realizar pruebas de software para el
CC10 Mal funcionamiento de los sistemas por la falta de funciones mejoradas en el sistema mensualmente
mejor funcionamiento de las 3 4 Preventivo
aseguramiento del uso de las aplicaciones en el software. los permisos entregados deben estar sellados y
aplicaciones.
firmados por analista que ejecuto la mejora.
SI-1 Proteger la información confidencial de Acceso no autorizado a la información confidencial. 3 4 12 C31 Implementar un sistema de control de acceso Preventivo
la empresa del accesos no autorizados. basado en roles, con autenticación multifactor y
politicas de acceso estrictas.

SI-2 prevenir perdida o robo de información fuga de datos confidenciales a terceros. 4 4 16 C32 implementar medidas de seguridad perimetral Preventivo
confidencial. como firewalls, sistemas de detección de intrusos
(IDS) y sistemas de prevención de intrusos (IPS).

SI-3 proteger los sistemas informaticos de infección por malware, virus y ataques ciberneticos en los 4 5 20 C33 implementar en los equipos algun software antivirus Preventivo
cualquier tipo de malware y ataques sistemas o equipos de la empresa. y antispyware y velar por que el mismo este
ciberneticos. actualizado, junto con capacitaciones al personal
para el manejo adecuado de los equipos de trabajo.

SI-4 asegurar la disponibilidad de la interrupción de los servicios. 3 3 9 C34 Realizar revisiones periodicas de los sistemas Preventivo
Seguridad de la información.

información y los sistemas informaticos. informáticos para detectar y prevenir futuros fallos,
e implementar un sistema de copias de seguridad.

SI-5 proteger la información de empleados amenazas internas a la información. 4 5 20 C35 implementar medidas de control de acceso, como Preventivo
descontentos o malintencionados. la segregación de funciones y tomar las medidas
de seguridad fisicas como el control de acceso a las
instalaciones.
SI-6 Mantener la confidencialidad de los Hackeo de sistemas contables y financieros 3 3 9 C36 Contar con contraseñas altamente seguras para el Preventivo
datos de nuestros clientes y de la ingreso a dicha informacion
organización
SI-7 proporcionar capacitaciones para que perdida de informacion de la base de datos interna de la 2 3 6 C37 Contar con personas calificadas para dichas Preventivo
los colaboradores tengan empresa por desconocimiento del efecto que pueda capacitaciones.
conocimientos sobre ataques causar el robo de informacion en la plataforma de la
ciberneticos empresa
SI-8 Cuidar la informacion y seguridad de divulgacion de la informacion para fines ajenos a la 3 3 9 C38 Contratar a un proveedor confiable para el Preventivo
los datos financieros de la corporacion compañía almacenamiento de datos de clientes, proveedores
y de la misma empresa
SI-9 Dar la confiabilidad de brinda un no tener el personal capacitado para brindar los servicios 3 4 12 C39 Contratar personal capacitado y brindarles Preventivo
servicio excelente necesarios y con calidad de servicio al clientes capacitacion para buscar la excelencia en el
servicio a ofrecer
SI-10 Brindar la seguridad de que la Interferencia de personas mal intencionadas para robar 3 4 12 C40 contar con estandares de seguridad para Preventivo
informacion que el cliente nos informacion por telefono y por otros medios resguardar la informacion.
proporciona es resguardada y no se
divulga