Interno

Terceros contratistas
Terceros clientes

Control Interno y
Gcia. de la Calidad
Auditoria

Contabilidad
Gestoría Martínez Pérez Asociados
 ORGANIGRAMA INFORM

Reparación Informatica
S.A.
Presidente y fundador

Straus Alter Comercial,

S.A.
Mesa de accionistas

Gcia. de la Calidad VP Administrativa

RRHH Facturación Cartera

rtínez Pérez Asociados Limpieza Miraflores Mercadeo
RAMA INFORMATICA APLICADA

Reparación Informatica
S.A.

Straus Alter Comercial,

S.A.

Cartera Gcia. Comercial

Mercadeo Fidelización Ventas

Clientes
 VP Tecnologia y
Operaciones

Gcia. Atención al Cliente Gcia. Operativa

Mesa de Ayuda
 Reparación
Informatica S.A.

Straus Alter
Comercial, S.A.
VP Tecnologia y
Operaciones

Gcia. de Tecnología
 *Gestoria Martinez Perez y *Reparación Informatica S.A.
10 Asociados *Limpieza *Straus Alter
Miraflores Comercial, S.A.

*Gerencia de atención al
7
cliente

Poder
6 *Vicepresidencia administrativa *Facturación

4 *Cartera

2 *RRHH

1 2 3
 Interes Poder

Los que se encuentran en esta parte de la matriz, se ecuentra todo aquel puesto que tie
Interes alto - poder alto
los servicios y por eso tiene tal poder mas que el presidente, gerencias y vicepresidenci

Se encuentran las gerencias las que a pesar de tener un personal de ayuda, se va a tra
Interes alto - poder bajo
mesa de ayuda que son los que se encuentran en contacto directo con el cliente para p

En esta parte de la matriz se encuentra todo aquel puesto que tiene a su mando person
interes bajo - poder alto
directo con el cliente

Personal que no se encuentra dictamente con el cliente, si no de actividades internas d

Interes bajo - poder bajo
cargos
*Control interno y auditoria
*Mesa de
*Gerencia
accionistas
de Tecnología

*Presidente

*Gerencia Comercial
*Mercadeo *Contabilidad
*Fidelización *VP Tecnología y
*Ventas operaciones
*Mesa de Ayuda

*Gerencia de la calidad

4 5 6 7 8

interes
 Justificacion

atriz, se ecuentra todo aquel puesto que tiene a su mando cierto personal, asi mismo se encuentra el cliente quien es el que decide o no adquirir
e el presidente, gerencias y vicepresidencia

de tener un personal de ayuda, se va a trabajar con ellos para lograr los objetivos alcanzados, asi como los puestos de ventas, calidad y control y
an en contacto directo con el cliente para prestar un mejor servicio

aquel puesto que tiene a su mando personal que trabajar para ellos para cubrir los requerimientos necesarios de ese area, no esta en contacto

n el cliente, si no de actividades internas de la compañía para su funcionamiento. Requiere de un minimo esfuerzo a comparacion de los demas
 Interesado Interes poder

Cliente 9 9

*Cliente Mesa de accionistas 5 8

Presidente 5 7

Gerencia de la calidad 4 5

Control interno y auditoria 4 8

Vicepresidencia administrativa 2 6

Contabilidad 6 6

RRHH 2 2

Facturación 3 6

Cartera 3 4

9 10 Gestoria Martinez Perez y Asociados 1 10

Limpieza Miraflores 1 10

alto Gerencia Comercial 4 6

 Mercadeo 4 6

Fidelización 4 6

Ventas 4 6

Mesa de Ayuda 4 6

Gerencia de atención al cliente 2 7

VP Tecnología y operaciones 6 6

Gerencia de Tecnología 4 8

Reparación Informatica S.A. 2 10

Straus Alter Comercial, S.A. 2 10

 Justificacion Poder

El cliente tiene la autoridad y poder para definir los parametros que tendra que cumplir el producto desarrollado pero no tiene l
interferir directamente en el desarrollo del producto, adicionalmente una vez entregado el equipo al no haber contrato no tiene
exigencias.

La mesa de accionistas tiene gran poder a la hora de tomar deciciones y realizar cambios en la empresa pero a la hora de la re
producto no tienen ninguna participación.

El presidente tiene gran poder a la hora de tomar deciciones pero tiene que responder directamente a la mesa de accionistas a
la hora de la realizacion del producto no tienen ninguna participación por lo que no tiene control.

La gerencia de calidad tiene gran poder ya que ellos son los encargados de establecer los requisitos aplicados a los productos
supervisan su cumplimiento por lo que estan muy involucrados en el proceso, adicionalmente responden directamente al presi

Tiene un poder de 8 pues son un departamento encargado de velar por el cumplimiento de control interno, no tiene poder total
encuentra reportando al presidente

Tiene a su cargo el departamento de atención al cliente el cual se encuentra en contacto directo con el cliente, responde al pre
cual no tiene poder total

Al encargarse de registrar los hechos económicos de la empresa tienen poder sobre los mismos a la hora de poder modificarlo

Realiza procesos relacionados con RRHH pero no tiene influencia directa sobre la infraestructura y seguridad

Al encargarse de registrar los hechos económicos de la empresa tienen poder sobre los mismos a la hora de poder modificarlo

La información de registros enviada a contabilidad se envia por correo electrónico regular sin ningún tipo de cifrado

Al no estar regulada por algún contrato tiene total libertad a la hora de actuar.

Esta prestando un servicio de limpieza a la compañia, acceso a todas las areas de la compañia y no esta limitada por un contr

Coordina actividades relacionadas con el manejo de clientes.

Tiene contacto directo con el cliente, pero no tiene poder a la hora de tomas de decisiones.

Tiene contacto directo con el cliente, pero no tiene poder a la hora de tomas de decisiones.

Tiene contacto directo con el cliente, pero no tiene poder a la hora de tomas de decisiones.

Tiene contacto directo con el cliente en relación a la atención de requerimientos y está limitado por un contrato válido.

Se encarga de gestionar la prestación de servicios para los requerimientos de los clientes a traves de terceros

Se encarga de gestionar la prestación de servicios para los requerimientos de los clientes a traves de terceros

Tiene la responsabilidad de garantizar la protección de la infraestructura tecnologica de la compañia

Al recibir el equipo y no existir un contrato entre Reparacion Informatica e Informatica Aplicada, Reparacion informatica tiene to
el manejo y tratamiento de los equipos

Al recibir el equipo y no existir un contrato entre Reparacion Informatica e Informatica Aplicada, Reparacion informatica tiene to
el manejo y tratamiento de los equipos
 Justificacion interes

El cliente desea y exige que el producto entregado cumpla con los estándares de calidad.

No estan exigiendo al presidente que realice sus funciones de manera adecuada en la celebración de contratos con terceros

No se demuestra el interes puesto que contratos con terceros que desarrollan funciones para la compañia se efectuaron solo
de forma verbal y no existe evidencia escrita.

No se evidencia establecimiento de seguridad de la información en relación a los productos

Tiene un interes de 5 pues esta area se encarga de velar por el cumplimiento de control interno pero se evidencian fallas en el
mismo tales como la inexistencia de contratos

No hay medidas o regulaciones en cuanto a terceros contratados para garantizar la seguridad de la infraestuctura, la

La información de registros enviada a contabilidad se envia por correo electrónico regular sin ningún tipo de cifrado

Las hojas de vida recibidas estan archivadas pero no se menciona contar con mecanismos de seguridad para evitar que
personas no idoneas tengan acceso a ellas

La información de registros enviada a contabilidad se envia por correo electrónico regular sin ningún tipo de cifrado

La información de registros enviada a contabilidad se envia por correo electrónico regular sin ningún tipo de cifrado.

La información es enviada mediante correo electrónico si ser cifrada. Además, no está regulada por algún contrato.

No solicita la existencia de un contrato fisico que garantice la relación contractual cliente/proveedor y no le exige a sus
empleados tener conocimientos en el area.
No se evidencia control sobre una cuenta de correo con dominio de la empresa manejada por un tercero sobre el cual no se
brinda informacion sobre la existencia o no de contratación
Tiene mayor interés debido a que buscan estudiar las necesidades de sus clientes para resolverlas mediante un producto.

Tiene mayor interés debido a que su función es conseguir la lealtad del cliente.

Al tener contacto directo con los clientes tiene mayor cercanía y conocimiento de las necesidades de los mismos.

Al tener contacto directo con los clientes y cumple con la normativa de protección y seguridad de datos.

Se evidencia que no hay un correcto manejo en los servicios contratados para la atención de requerimientos de clientes a
traves de terceros
Se evidencia que no hay un correcto manejo en los servicios contratados para la atención de requerimientos de clientes a
traves de terceros
Las medidas de seguridad implementadas para la protección de la infraestructura no son suficientes, adicionalmente el hecho
de que las oficinas esten en una planta baja expone a un riesgo alto la infraestructura en caso de inundaciones

No se menciona existencia alguna de contrato que garantice un adecuado manejo de los requerimientos asignados

No se menciona existencia alguna de contrato que garantice un adecuado manejo de los requerimientos asignados
 Vulnerabilidad

Adminisitración de cuenta de correo por parte de un

tercero sobre el cual no existe contrato

Envio de información a proveedores de servicios contables

a traves de correo electronico sin ningun tipo de
mecanismo de protección

Protección de la infraestructura tecnologica la cual se

encuentra ubicada en la planta baja de una zona
residencial

Cuando entran los visitantes, los mismos son anunciados y

se dejan ingresar después de la respectiva autorización sin
darles un medio para diferenciarlos con los empleados.

para que los usuarios puedan acceder al sistema deben

introducir un login compuesto por la primera letra del
nombre y el primer apellido y un password compuesto por
mayúsculas, minúsculas y números, con una longitud
mínima de 8 caracteres que caducar a los 120 días. Este
password no requiere el uso de caracteres especiales.

la documentación en papel con datos de carácter personal

de los clientes, potenciales o no, se encuentran en una
sala independiente a la que se accede mediante el uso de
una llave, de la que sólo tienen copias la Vicepresidencia
Administrativa y la Dirección, y acceden todas las
personas de las áreas.

falta de control en las politicas de los activos de

informacion

falta de contratos con terceros prestadores de servicios

autopsi
 Amenaza

Uso de información indebido por parte de terceros

Uso de información indebido por parte de terceros

Daño a la infrestructura tecnologica de la compañia

Falta de control de accesos físicos

Vulnerabilidades en contraseñas y métodos de inicio de

sesión,

Falta de control de accesos físicos

 Control

15.2.1 Supervisión y revisión de los servicios prestados

por terceros *contratacion 10.1.1 contratacion
9.1.2 Control de acceso a las redes y servicios asociados

15.2.1 Supervisión y revisión de los servicios prestados

por terceros
10.1.1 Control de acceso a las redes y servicios asociados

11.1.4 Amenazas externas y ambientales

11.1.2 Controles físicos de entrada:

9.4.3 Gestión de contraseñas de usuario

10.1.2 Gestión de claves

11.1.2 Controles físicos de entrada:

 Disponibilidad

Disponibilidad, pues la cuenta es administrada por un

tercero

Disponibilidad, una vez generado el envio de la

información contable de la empresa al no estar cifrado este
puede ser consultado por personal ajeno y de igual forma
podría ser interceptado y modificado

Disponbilidad, ante fuertes lluvias o posibles catastrofes al

estar ubicada la infraestructura tecnologica en una planta
baja esta puede resultar afectada.

Integridad ya que la documentacion esta en papel y puede

ser extraida con facilidad.

La disponibilidadse puede ver afectada debido a la poca

seguridad que poseen los usuarios los cuales tienen
acceso a informacion sensible.

La disponibilidadse se puede ver afectada debido a la

ignorancia de los procesos de control de acceso
provocando un acceso a informacion sensible al alcance
de todos los empleados a su ves se ve afectada su
integridad ya que la documentacion esta en papel y puede
ser extraida con facilidad.
 Integridad

Integridad, pues la cuenta es administrada por un tercero

Integridad, una vez generado el envio de la información

contable de la empresa al no estar cifrado este puede ser
consultado por personal ajeno y de igual forma podría ser
interceptado y modificado y ser victima de un ataque de un
hombre en el medio.

Cumple

Integridad ya que la documentacion esta en papel y puede

ser modificada con facilidad.

La integridad se puede ver afectada debido a la poca

seguridad que poseen los usuarios los cuales tienen acceso
a informacion sensible.

La integridad se puede ver afectada debido a la ignorancia

de los procesos de control de acceso provocando un acceso
a informacion sensible al alcance de todos los empleados a
su ves se ve afectada su integridad ya que la
documentacion esta en papel y puede ser extraida con
facilidad.
 Confidencialidad

Confidencialidad, pues la cuenta es administrada por un

tercero

Confidencialidad, una vez generado el envio de la

información contable de la empresa al no estar cifrado
este puede ser consultado por personal ajeno y de igual
forma podría ser interceptado y modificado

Cumple

La confidencialidad se puede ver afectada debido a la

ignorancia de los procesos de control de acceso
provocando un acceso a informacion sensible al alcance
de todos los empleados.

La confidencialidad se puede ver afectada debido a la

poca seguridad que poseen los usuarios los cuales tienen
acceso a informacion sensible.

La confidencialidad se puede ver afectada debido a la

ignorancia de los procesos de control de acceso
provocando un acceso a informacion sensible al alcance
de todos los empleados a su ves se ve afectada su
integridad ya que la documentacion esta en papel y puede
ser extraida con facilidad.