Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Ejemplo de Formato Matriz de Riesgos Auditoría TI Práctica-1

    Hochgeladen von

    Claudia
    154 Ansichten9 Seiten
    La matriz de riesgos por auditoría de tecnología de información de la Empresa XYZ, S.A. identifica riesgos en áreas como la organización del centro de TI, seguridad de la información, y procedimientos de auditoría. Algunos riesgos clave incluyen la falta de una estrategia de uso de redes sociales, acceso no autorizado a la red inalámbrica, y posible fuga de información a través de dispositivos móviles. La matriz también describe posibles respuestas a los riesgos.

    Originalbeschreibung:

    ejemplo de matriz de riegos ti

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    XLSX, PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden
    La matriz de riesgos por auditoría de tecnología de información de la Empresa XYZ, S.A. identifica riesgos en áreas como la organización del centro de TI, seguridad de la información, y procedimientos de auditoría. Algunos riesgos clave incluyen la falta de una estrategia de uso de redes sociales, acceso no autorizado a la red inalámbrica, y posible fuga de información a través de dispositivos móviles. La matriz también describe posibles respuestas a los riesgos.

    Copyright:

    © All Rights Reserved
    Als XLSX, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    154 Ansichten9 Seiten

    Ejemplo de Formato Matriz de Riesgos Auditoría TI Práctica-1

    Hochgeladen von

    Claudia
    La matriz de riesgos por auditoría de tecnología de información de la Empresa XYZ, S.A. identifica riesgos en áreas como la organización del centro de TI, seguridad de la información, y procedimientos de auditoría. Algunos riesgos clave incluyen la falta de una estrategia de uso de redes sociales, acceso no autorizado a la red inalámbrica, y posible fuga de información a través de dispositivos móviles. La matriz también describe posibles respuestas a los riesgos.

    Copyright:

    © All Rights Reserved
    Als XLSX, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 9

    Empresa XYZ, S.A.

    Matriz de riesgos por auditoria de tecnologa de informacin


    Por el perodo del al

    MATRIZ DE
    rea:
    Fecha de elaboracin: 19 de febrero del 2017

    No. rea Establecimiento de objetivos

    1 Organizacin del centro

    1.1 Organizacin del centro Contar con poltica de uso en redes sociales

    Realizar gestin de riesgos de TI de acuerdo a un


    1.2 Organizacin del centro
    modelo definido

    1.3 Organizacin del centro Recuperacin de infraestructura de TI

    1.4 Organizacin del centro Marco regulatorio de gobierno de TI

    1.5 Organizacin del centro Mantener Inventarios de activos TI

    1.6 Organizacin del centro Presupuesto para operaciones de TI

    1.7 Organizacin del centro Contratos, polizas de seguros

    1.8 Organizacin del centro Infraestructura fsicade TI

    1.9 Organizacin del centro Outsourcing por estructura de TI

    1.10 Organizacin del centro Manuales de funciones por personal de TI


    1.11 Organizacin del centro Acceso a Redes

    1.12 Organizacin del centro Planifiacin de Objetivos

    Decisiones institucionales por parte de los encargados


    1.13 Organizacin del centro
    de TI

    1.14 Organizacin del centro Alto voltaje Electrico

    1.15 Organizacin del centro


    1.16 Organizacin del centro
    1.17 Organizacin del centro
    1.18 Organizacin del centro
    1.19 Organizacin del centro
    1.20 Organizacin del centro

    3 Seguridad de la informacin

    Evitar fuga de informacin por medio de unidades


    3.1 Seguridad de la informacin
    mviles

    3.2 Seguridad de la informacin No mantener computadores con virus o malware

    Autorizacin de acceso privilegiado (el llamado "sper


    usuario") en los sistemas de aplicacin, bases de
    3.3 Seguridad de la informacin
    datos, software de red y comunicacin y software de
    sistemas.

    3.4 Seguridad de la informacin Mantener Control de trabajo fuera de horario

    Mantener una politica sobre solicitudes y uso de


    3.5 Seguridad de la informacin
    informacin.

    3.6 Seguridad de la informacin Mantener controles de informacin en la nube

    Mantener acceso restringido a puertos de hardware en


    3.7 Seguridad de la informacin
    la compaa.

    3.8 Seguridad de la informacin Controlar reproduccin de informacin


    3.9 Seguridad de la informacin Acceso a servidor de la compaa

    3.10 Seguridad de la informacin Realizar copias de seguridad

    3.11 Seguridad de la informacin Uso del Internet libre proporcionado por la entidad.

    3.12 Seguridad de la informacin restriccin para el uso de carpetas compartidas

    Desbloqueo y cambio de contraseas via remota o


    3.13 Seguridad de la informacin
    telefonica.

    3.14 Seguridad de la informacin Uso de Firma Digital

    3.15 Seguridad de la informacin Dominios no autorizados

    3.16 Seguridad de la informacin Capacitaciones constantes

    3.17 Seguridad de la informacin


    3.18 Seguridad de la informacin
    3.19 Seguridad de la informacin
    3.20 Seguridad de la informacin
    MATRIZ DE RIESGOS
    Realizado Por:
    Revisado Por: vmsipac

    Identificacin del riesgo Respuesta al riesgo

    La compaa podra no contar con una estrategia


    formal que defina el uso de redes sociales.

    Inadecuada gestin de los activos de tecnologa de


    informacin en la compaa.

    La compaa podra no garantizar la recuperacin


    de la infraestructura de TI ante posibles
    eventualidades fsicas, o siniestros naturales.

    La compaa podra no contar con personal


    especifico para gestionar las actividades de TI.

    Posible prdida o extravio de activos (software,


    hardware, etc), al no contar con un inventario de los
    mismo.

    La administracin podra no contar con un


    presupuesto de personal destinado a los analistas
    funcionales y programadores revisado y autorizado
    por el gerente financiero y administrativo.

    La compaa podra no contar con polizas de seguros


    por los activos de TI

    La infraestructura de TI (cables, lugares fsicos,


    etc.) podra no estar instaladas adecuadamente,
    segn el uso respectivo.

    La compaa podra no contar con servicios externos


    que benefician la eficiencia del manejo de activos
    de TI.

    La compaa podra no contar con manuales en


    donde se identifiquen las actividades a realizar por
    el personal del departamento de TI.
    Red inalambrica expuesta al acceso no aturizado

    Evitar usuarios no autorizados y fuga de


    informacin.

    Negligencia u omisin por parte de los encargados de


    TI

    Falta de Planta electrica y/o mantenimiento a la


    misma.

    La compaa podra perder informacin por medio


    de recepcin de correos en telfonos mviles, o
    trablets, etc.

    La compaa podra no cotnar con un antivirus en


    cada computador.

    La administracin podra no limitar al personal


    apropiado el uso del acceso privilegiado (el llamado
    "sper usuario") en los sistemas de aplicacin, bases
    de datos, software de red y comunicacin y software
    de sistemas.

    Personal podra hacer uso de sistemas o


    computadores fuera del horario de trabajo normal
    para fuga de informacin.

    La compa podra no contar con un manual sobre


    el proceso de solicitud de informacin a usuarios
    internos y externos.

    La informacin en la nube podra no estar disponible


    solamente por la compaa y el gestor del servicio y
    podra afectar la integridad y confidencialidad.

    La compaa podra tener acceso libre a los puertos


    USB u otros en el hardware utlizado por el personal.

    La compaa podra no mantener una bitacora de las


    reproducciones de informacin que realiza el
    personal.
    El servidor de la compaa se encuentra con acceso
    restringido por medio de una clave autorizada al
    personal correpondiente.

    La compaa podra no contar con una poltica de


    realizacin de copias de seguridad periodicamente.

    Contaminacin de equipos de la red por uso de


    Restretriccin de paginas fuera del uso labroal
    paginas no autorizadas o anomalas.

    Contaminacin masiva de informacin y mal uso de


    restriccin de uso de carpetas compartidas.
    informacin.

    Posible robo de identidad para mal uso de Realizar preguntas clave y personales para
    informacin. desbloqueo y cambio de contrasea via telefnica.

    Uso inapropiado de las firmas digitales para


    autorizaciones.

    Ingreso a base de datos para el compartimiento de


    informacin va correo

    Falta de induccin, capacitacin y sensibilizacin


    sobre riesgos al personal de TI
    Procedimiento de auditora Referencia
    Intentar ingresar a una pagina o direccin con
    restriccin de uso o acceso.

    Evaluar en la red equpos o IP con carpetas


    compartidas.

    Realizar una prueba simulando un cambio de


    contrasea de un usuario inexistente.

    Das könnte Ihnen auch gefallen