INFORME DE SEGURIDAD

INFORMÁTICA

“Modelo de gestión de riesgos

aplicando la metodología
OCTAVE en la FINANCIERA
CONFIANZA S.A.A.”

• Chacaliaza Salazar, César JeanPierre

• Condori Sucasaca, Edwin David
• Cueva Chambilla, Christian Manuel
• Garcia Iquise, Alexandra Luciana
• Herencia Vicente, Juan Victor
Joseph
• Linares Rojas, Catherine Jasmine
Seguridad
Informática
En el presente trabajo se presenta y se desarrolla un modelo de gestión
de riesgos, aplicando los ocho pasos de la metodología OCTAVE en el
sector financiero y económico, tomando como ejemplo la FINANCIERA
CONFIANZA S.A.A. ubicada en la Av. San Martín #788.
￮ Capítulo I: Seguridad informática
￮ Capítulo II: Datos generales de la empresa
￮ Capítulo III: Plan de Seguridad Informática
￮ Capítulo IV: Modelo de análisis y gestión de riesgo
￮ Capítulo V: Conclusiones y recomendaciones finales

2
 Seguridad
Informática
CAPITULO I
Objetivos
General Específicos
Evaluar la seguridad Evaluar
de información de la ￮ el entorno
FINANCIERA
CONFIANZA S.A.A. a ￮ el hardware
través de la ￮ el software
metodología OCTAVE
￮ la seguridad
Allegro
de la FINANCIERA CONFIANZA
S.A.A.

4
Alcance
Constatar las acciones tomadas
para mantener disponible y en buen
funcionamiento la seguridad de
información dentro de la Financiera
Confianza S.A.A., evaluando a través de la
metodología OCTAVE

5
Grupo de trabajo
El grupo de Trabajo para la realización de
la evaluación está conformado por:

6
 Datos
generales de
la empresa
CAPITULO II
Conocimiento inicial
￮ Microfinanzas Confianza S.A.A. es una
entidad dirigida en la línea de
microfinanzas, lleva en el sector
alrededor de los 20 años, y es parte de
la Fundación Microfinanzas BBVA.

8
9
 Levantamiento de
información
Recepcion
Primera

4 salas de juntas
planta

Data center
archivador

servicio al Auditoría,
cliente,
Segunda

Mesa de dinero
planta

Contabilidad,
Tesorería
Área de Gerencia
sistemas,
Área jurídica,
10
 Ubicación

our office

11
Dominios de la
norma iso 27000
￮ Dominio 5: Políticas de seguridad de la Información.
￮ Dominio 6: Organización de la seguridad de la
información.
￮ Dominio 7: Seguridad de los Recursos Humanos.
￮ Dominio 8: Gestión de recursos.
￮ Dominio 9: Gestión de acceso de usuario.
￮ Dominio 10: Criptografía.
￮ Dominio 11: Seguridad física y ambiental.
￮ Dominio 12: Seguridad Operacional.
￮ Dominio 13: Seguridad de las Comunicaciones.
￮ Dominio 15: Relaciones con los proveedores.
￮ Dominio 16: Gestión de Incidentes de Seguridad de la
Información.
￮ Dominio 17: Aspectos de Seguridad de la Información
de la gestión de la continuidad del negocio.
12
￮ Dominio 18: Cumplimiento.
 Plan de
Seguridad
Informática
CAPITULO III
 Cronograma de trabajo

INICIO:
Mes de
noviembre

FIN:
Mes de
diciembre

14
Planificación
del proyecto
de auditoría

1 2 3

15
 QUIEN
AUDITA

Tipo de
auditoría
CUAND QUIEN
EN FUNCIÓN
O SE SE
AUDITA
DE…
AUDITA
￮ Auditoría Interna
￮ Auditoría de un proceso
￮ Auditoría parcial
￮ Auditoría programada
SU
ALCAN
CE
16
Recolección de
información
para auditoría

1 2 3 4 5

17
Estructura de la
auditoría

• Evaluación de la infraestructura.
• Evaluación del entorno.
• Evaluación del Recurso Humano.
• Evaluación del Hardware.
• Evaluación del Software.
• Evaluación de la Seguridad.
• Evaluación del Control de activos fijos.

18
Desarrollo de
la auditoría
CAPITULO IV
Desarrollo del perfil
de los activos
￮ Intranet
￮ PSE
￮ Base de datos AcciónBack
￮ Correo electrónico
￮ Centro de negocios
￮ AcciónBack
￮ Documentos
￮ Digitalizador
￮ Inveracción
￮ Directorio activo
￮ Control de acceso
￮ Cableado
￮ Red eléctrica
￮ Servidor de aplicaciones
￮ Servidor de producción
￮ Servidor de pruebas
20
Actividades

￮ Actividad 1 : Capturar información de

fondo

￮ Actividad 2 : Definir el activo de

información

￮ Actividad 3 : Identificar al propietario

del activo

21
Actividades

￮ Actividad 4 : Identificar Contenedores

￮ Actividad 5 : Identificar los requisitos
de seguridad

￮ Actividad 6 : Determinar la
Valoración del Activo de Información

22
23
24
 Identificación las áreas
de preocupación
La identificación de áreas de preocupación inicia con la
elaboración de los perfiles de riesgos de los activos de
información, el cual contiene un componente
denominado amenaza a través de una ecuación de
riesgo.

25
Por medio de una lluvia de ideas se realiza un
análisis sobre las posibles condiciones o
situaciones que se pueden representar y
poner en peligro los activos de información
de la organización, "estos escenarios en el
mundo real se denominan área de
preocupación y se pueden representar en
amenazas y causar resultado indeseables
para la compañía

26
Activos de información
￮ Intranet
￮ Plataforma de recaudo
￮ sistema de documentación de clientes
￮ centro de negocios
￮ base de datos
￮ correo electrónico
￮ sistema de administración inmobiliaria

27
Activos de información
￮ Exposición de los activos de información, acceso no autorizado a los
sistemas informáticos.
￮ Interrupción en el servicio de energía eléctrica
￮ Problemas de conectividad en la red interna de la organización
￮ Desactualización de los sistemas
￮ Alta rotación de Personal
￮ etc...

28
29
30
31
Identificación de
riesgo
En el Paso 6 se capturan las consecuencias para
una organización si se realiza una amenaza,
completando la imagen de riesgo. Una amenaza
puede tener múltiples impactos potenciales en una
organización. Por ejemplo, la interrupción del
sistema de comercio electrónico de una
organización puede afectar la reputación de la
organización con sus clientes, así como su posición
financiera.

32
33
Tabla de consecuencias
de la Intranet

34
Evaluación de la
infraestructura

35
Dentro de este aspecto corresponde evaluar todo lo relacionado con la
infraestructura, es decir: lo tangible como paredes, piso, techo e instalaciones
eléctricas, su correspondientes mantenimiento y remodelaciones de la misma.

Alcance Referencia legal

Evaluar el buen Evaluar
funcionamiento y ￮ la infraestructura
seguridad del
Laboratorio de la ￮ los mobiliarios
Escuela Profesional ￮ el entorno
de Economía Agraria.
￮ el hardware
￮ el software
￮ la seguridad
￮ Los recursos humanos
del laboratorio de la E.P. de
Economía Agraria. 36
Evaluación del
entorno
Informe de auditoría

37
 Evaluación de
mobiliario y equipo
Informe de auditoría

38
 Evaluación de
recurso humano
Informe de auditoría

39
Evaluación de
hardware
Informe de auditoría

40
Evaluación de
software
Informe de auditoría

41
Evaluación de la
seguridad
Informe de auditoría

42
Evaluación de gestión
administrativa
Informe de auditoría

43
 Debilidades
detectadas y
recomendaciones
finales
CAPITULO V
Opinión
favorable
Yellow Blue Red
Is the color of Is the colour of Is the color of
gold, butter and the clear sky and blood, danger
ripe lemons. the deep sea. and courage.

Yellow Blue Red

Is the color of Is the colour of Is the color of
gold, butter and the clear sky and blood, danger
ripe lemons. the deep sea. and courage.

45
Opinión
desfavorable
￮ Here you have a list of items
￮ And some text
￮ But remember not to overload your
slides with content

Your audience will listen to you or read the

content, but won’t do both.

46
4.1.3. Identificar los
contenedores de los
activos informáticos
•Está enfocado en identificar los contenedores de los activos
informáticos.

•"Un contenedor es el lugar donde estos activos son

guardados, procesados y transportados". Pueden estar tanto
dentro o fuera de la organización, pero todo aquello que los
amenace, incide directamente sobre ellos.

47
￮La metodología OCTAVE define así este concepto:
￮“Un contenedor de información es cualquier lugar donde la
información ‘vive’; es decir, allí donde la información es
procesada, almacenada o transportada”. (Azucena H., Susana
O.,2011)

48
Para el desarrollo de este modelo se tienen en cuenta los contenedores más
utilizados por la compañía, realizando una pequeña descripción e indicando
el directamente responsable sobre el contenedor.

49
50
51
52
4.1.5. Identificaciòn
de Riesgos
Se capturan las consecuencias para una organización si se realiza
una amenaza, completando la imagen de riesgo. Una amenaza
puede tener múltiples impactos potenciales en una organización.
Por ejemplo, la interrupción del sistema de comercio electrónico
de una organización puede afectar la reputación de la
organización con sus clientes, así como su posición financiera.

53
 Hoja de trabajo Metodología Octave Allegro

Consecuencias de los activos de información

Exposición de los activos de información, acceso no autorizado a los sistemas

informáticos
Desconocimiento en el manejo de los sistemas informáticos

Exposición de los activos de información, acceso no autorizado a la infraestructura

física

Problemas de conectividad en la red interna de la organización

Interrupción en el servicio de internet

Falla en los componentes de hardware de los equipos

Desactualización de los sistema

Fallo o defecto de Software

Interrupción en el servicio de energía eléctrica

Alta Rotación de Personal

Desastres Naturales
54
Tabla de consecuencias de la Intranet

Hoja de trabajo Metodología Octave Allegro

Consecuencias de los activos de información

Exposición de los activos de información, acceso no autorizado a los sistemas

informáticos: El personal de sistemas deberán ejecutar el backup de la intranet para
regresar al estado anterior a la exposición

Desconocimiento en el manejo de los sistemas informáticos: El usuario presenta

inconvenientes para realizar consultas en la intranet y para ingresar a las aplicaciones
Exposición de los activos de información, acceso no autorizado a la infraestructura
física: El área de sistemas no pueden ingresar a la intranet debido a la interrupción del
servicio

Problemas de conectividad en la red interna de la organización: La intranet estará fuera

de servicio mientras se restablece el servicio de red interna, las operaciones de la finanza
presentarían retrasos

Interrupción en el servicio de internet: La intranet estará fuera de servicio mientras se

restablece el servicio de red, las operaciones de la finanza presentarían retrasos
55
 Tabla de consecuencias de la Intranet

Falla en los componentes de hardware de los equipos: Los usuarios presentarían retrasos
en las operaciones de la finanza afectando a una o más áreas

Desactualización de los sistemas: La interfaz de la intranet puede presentar fallas

mostrando dificultad en las descargas de los procedimientos o en el acceso a las
aplicaciones

Fallo o defecto de Software: El personal de la finanza deja de laboral parciamente si falla

o existe incompatibilidad en el servidor dedicado de la intranet

Interrupción en el servicio de energía eléctrica: La intranet estará fuera de servicio

mientras se restablece el servicio de energía

Alta Rotación de Personal: Los usuarios tendrían problemas para acceder a la intranet y
al contenido

Desastres Naturales: La intranet estaría fuera de servicio mientras se presenta el

fenómeno natural, retrasando las operaciones de la finanzas

56
4.1.6. Anàlisis de
Riesgos
En este paso se mide cualitativamente el grado en que la organización se ve
afectada por una amenaza mediante el cálculo de una puntuación para cada
riesgo de cada activo de información

La información del puntaje se utiliza para determinar qué riesgos se necesita

mitigar inmediatamente y para dar prioridad a las acciones de mitigación
para el resto de los riesgos en el paso ocho de la metodología OCTAVE
Allegro
57
exposición de los activos de información, acceso no autorizado a los sistemas informáticos del
activo intranet

Área de Área de Ranking Valor del Score

preocupación impacto impacto

Exposición Consumidor 5 Medio(2) 10

financiero
de
activos de
Reputación 4 Medio(2) 8
información, Legal 3 Medio(2) 6
acceso no
autorizado a Productividad 2 Bajo(1) 2
los
Seguridad 1 Bajo(1) 1
sistemas /Salud
informáticos.

Total: 27

58
 Desconocimiento en el manejo de los sistemas informáticos

Hoja de trabajo Metodología Octave Allegro

Área de Área de impacto Ranking Valor del Score

preocupación impacto

Desconocimie Consumidor 5 Medio(2) 5

nto financiero

en
Reputación 4 Medio(2) 4

Legal 3 Medio(2) 3
el manejo
de Productividad 2 Bajo(1) 2

los Seguridad /Salud 1 Bajo(1) 1

sistemas
informáticos.
59
.
riesgos exposición de los activos de información, acceso no autorizado a la
infraestructura física.

Hoja de trabajo Metodología Octave Allegro

Área de Área de Ranking Valor del Score

preocupación impacto impacto

Exposición de Consumidor 5 Bajo(1) 5

los financiero
activos de
información, Reputación 4 Bajo(1) 4
acceso no Legal 3 Bajo(1) 3
autorizado
a la Productividad 2 Medio(2) 4

infraestructura Seguridad 1 Bajo(1) 1

física. /Salud

Total: 17

60
Riesgos Problemas de conectividad en la red interna de la organización.

Hoja de trabajo Metodología Octave Allegro

Área de Área de Ranking Valor del Score

preocupación impacto impacto

Consumidor 5 Bajo(1) 5
financiero
Problemas de
conectividad Reputación 4 Bajo(1) 4
en la red Legal 3 Bajo(1) 3
interna de la
organización. Productividad 2 Medio(2) 4

Seguridad 1 Bajo(1) 1
/Salud

Total: 17

61
Riesgos Interrupción en el servicio de internet

Hoja de trabajo Metodología Octave Allegro

Área de Área de impacto Ranking Valor del Score

preocupación impacto

Consumidor financiero 5 Bajo(1) 5

Interrupción Reputación 4 Bajo(1) 4

en el Legal 3 Alto(3) 3
servicio de Productividad 2 Bajo(1) 6
internet

Seguridad /Salud 1 Bajo(1) 1

Total: 19
62
riesgos Falla en los componentes de hardware de los equipos.

Hoja de trabajo Metodología Octave Allegro

Área de Área de Ranking Valor del Score

preocupación impacto impacto

Consumidor 5 Bajo(1) 5
financiero
Falla
Reputación 4 Bajo(1) 4
en los Legal 3 Bajo(1) 3
componentes
de hardware Productividad 2 Medio(2) 4
de los
equipos. Seguridad 1 Bajo(1) 1
/Salud

Total: 17
63
Riesgos Desactualización de los sistemas

Hoja de trabajo Metodología Octave Allegro

Área de Área de Ranking Valor del Score

preocupación impacto impacto

Consumidor 5 Bajo(1) 5
financiero
Desactualización
de Reputación 4 Bajo(1) 4
los sistemas Legal 3 Bajo(1) 3

Productivid 2 Bajo(1) 2
ad

Seguridad 1 Bajo(1) 1
/Salud

Total: 15

64
 Puntaje para determinar riesgos Fallo o defecto de Software

Hoja de trabajo Metodología Octave Allegro

Área de Área de impacto Ranking Valor del Score

preocupación impacto

Consumidor 5 Bajo(1) 5
financiero
Fallo o
defecto de Reputación 4 Bajo(1) 4
Software Legal 3 Bajo(1) 3

Productividad 2 Medio(2) 4

Seguridad /Salud 1 Bajo(1) 1

Total: 17

65
riesgos Interrupción en el servicio de energía eléctrica.

Hoja de trabajo Metodología Octave Allegro

Área de Área de Ranking Valor del Score

preocupación impacto impacto

Consumidor 5 Bajo(1) 5
financiero
Interrupción en el
servicio de Reputación 4 Bajo(1) 4
energía eléctrica. Legal 3 Bajo(1) 3

Productivid 2 Alto(3) 6
ad

Seguridad 1 Bajo(1) 1
/Salud

Total: 19

66
riesgos Alta Rotación de Personal

Hoja de trabajo Metodología Octave Allegro

Área de Área de impacto Ranking Valor del Score

preocupación impacto

Consumidor 5 Bajo(1) 5
financiero
Alta Rotación de
Personal Reputación 4 Bajo(1) 4

Legal 3 Bajo(1) 3

Productividad 2 Medio(2) 4

Seguridad /Salud 1 Bajo(1) 1

Total: 17

67
Puntaje para determinar Desastres Naturales

Hoja de trabajo Metodología Octave Allegro

Área de Área de impacto Ranking Valor del Score

preocupación impacto

Consumidor 5 Bajo(1) 5
financiero
Desastres
Naturales Reputación 4 Bajo(1) 4

Legal 3 Bajo(1) 3

Productividad 2 Alto(3) 6

Seguridad /Salud 1 Medio(2) 2

Total: 20

68
Tabla resumen

Hoja de trabajo Metodología Octave Allegro

Área de preocupación Impacto Puntaje

Exposición de los activos de información, acceso no Medio 27
autorizado a los sistemas informáticos

Desconocimiento en el manejo de los sistemas informáticos. Bajo 15

Exposición de los activos de información, acceso no Bajo 17
autorizado a la infraestructura física.

Problemas de conectividad en la red interna de la Bajo 17

organización.

Interrupción en el servicio de internet Bajo 19

69
Falla en los componentes de hardware de los Bajo 17
equipos

Desactualización de los sistemas Bajo 15

Fallo o defecto de Software Bajo 17

Interrupción en el servicio de energía eléctrica. Bajo 19

Alta Rotación de Personal Bajo 17

Desastres Naturales Bajo 20

70
ENFOQUE DE
MITIGACIÓN
En OCTAVE Allegro se puede hacer uso de la
matriz de riesgo relativo, un elemento que
permite visualizar los riesgos a tratar con base
en la probabilidad y el puntaje de riesgo. Se
categorizan grupos de escenarios de amenazas
para su tratamiento con base en estos
resultados, como se muestra en la siguiente
imagen. Los riesgos que pertenecen al grupo 1
deberían ser tratados con mayor prioridad:
71
 Matriz de riesgos relativos

Probabilidad Puntaje de riesgo

30 A 45 16 A 29 0 A 15

Alta Grupo 1 Grupo 2 Grupo 2

Media Grupo 2 Grupo 2 Grupo 3

Baja Grupo 3 Grupo 3 Grupo 4

72
 Grupo Enfoque de Mitigación

Grupo 1 Mitigar
Grupo 2 Mitigar o transferir
Grupo 3 Transferir o aceptar
Grupo 4 Aceptar

73
Nombre del activo: Intranet

Área de preocupación: Exposición de los activos de información, acceso no

autorizado a los sistemas informáticos.

Puntaje de Probabilidad Categoría: Grupo Acción: Mitigar o

Riesgo Subjetiva: Media 2 transferir
Relativo: 27

Control:
• Solo los empleados de la compañía pueden acceder a la intranet
• Cada uno de los empleados deben tener una usuario y contraseña
• La contraseña de acceso a la intranet debe contener letras mayúsculas,
minúsculas, números y caracteres especiales.
• Se debe cambiar la clave de las aplicaciones cada 30 a 45 días.
• Solo el ingeniero de infraestructura y el gerente de tecnología deben tener
conocimiento para realizar modificaciones sobre la intranet
• Los empleados que no pertenezcan al área de tecnología solo deben tener
acceso de consulta a la intranet.

74
Área de preocupación: Desconocimiento en el manejo de los sistemas
informáticos.

Puntaje de Probabilidad Categoria: Accion:

riesgo relativo: Subjetiva: Media Grupo3 Transferir o
15 aceptar

Control
• Se deben realizar un instructivo para el uso adecuado de la intranet.
• Se deben realizar capacitaciones trimestrales o bimestrales sobre el uso
adecuado de la intranet.

Área de preocupación: Exposición de los activos de información, acceso no

autorizado a la infraestructura física.

Puntaje de Probabilidad Categoría: Acción:

Riesgo Subjetiva: Bajo Grupo3 Transferir o
Relativo: 17 Aceptar

Control:
• Tener un canal de contingencia con otro proveedor, que permita continuar con
la operación de la compañía.

75
Área de preocupación: Interrupción en el servicio de internet

Puntaje de Probabilidad Categoría: Acción:

Riesgo Subjetiva: Bajo Grupo3 Transferir o
Relativo: 19 Aceptar

•Tener un canal de contingencia con otro proveedor, que permita

continuar con la operación de la compañía
Área de preocupación: Falla en los componentes de hardware de los equipos

Puntaje de Probabilidad Categoría: Acción:

Riesgo Subjetiva: Bajo Grupo3 Transferir o
Relativo: 17 Aceptar

Control:
• Capacitar al personal para el uso adecuado de los equipos.
• Realizar mantenimientos preventivos de los equipos.
• Verificar la ventilación de los equipos.
• Adquirir repuestos compatibles con los equipos y con proveedores de confianza
• Verificar el voltaje de la tomas de corriente

76
Área de preocupación: Desactualización de los sistemas

Puntaje de Probabilidad Categoría: Acción:

Riesgo Subjetiva: Bajo Grupo 4 Transferir o
Relativo: 15 Aceptar

Control:
• Instalar actualizaciones en los equipos y servidores de la compañía.
• Se deben desinstalar los programas que no sean de uso corporativo.
• Se debe adquirir software licenciado.

Área de preocupación: Fallo o defecto de Software

Puntaje de Probabilidad Categoría: Acción:

Riesgo Subjetiva: Bajo Grupo 3 Transferir o
Relativo: 17 Aceptar

Control:
• Instalar antivirus en cada uno de los equipos y los servidores de la compañía
• Desinstalar los programas que no sean necesarios para la correcta
funcionalidad de la intranet
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta de
la intranet
• Instalar las actualizaciones y parches de seguridad
77
Área de preocupación: Interrupción en el servicio de energía eléctrica.

Puntaje de Probabilidad Categoría: Acción:

Riesgo Subjetiva: Bajo Grupo 3 Transferir o
Relativo: 19 Aceptar

Control:
• Adquirir o rentar una planta que permita restablecer el servicio de energía
temporalmente sin afectar las operaciones de la compañía.
• Adquirir o rentar otra oficina en el cual se pueda trasladar parte del personal
para continuar con las operaciones de la compañía.
Adquirir un generador electrico.

Área de preocupación: Alta Rotación de Personal

Puntaje de Probabilidad Categoría: Acción:

Riesgo Subjetiva: Bajo Grupo 3 Transferir o
Relativo: 17 Aceptar

Control:
• Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascenso
• Bonificaciones por cumplimiento de metas.
•• Mejorar ambiente
Capacitar laboral
constantemente al personal

78
Área de preocupación: Desastres Naturales

Puntaje de Probabilidad Categoría: Acción:

Riesgo Subjetiva: Bajo Grupo 3 Transferir o
Relativo: 20 Aceptar

• Adecuar un servidor dedicado que permite tener copias de seguridad de la

intranet en otra ciudad, asegurando la continuidad de la operación
• Cada área debe tener un equipo contra incendios ubicado adecuadamente
tales como extinguidores, señalización.
• Los materiales de alta tensión o combustibles deben ser almacenados en una
zona segura a una distancia prudencial

79
Mitigación de riesgo según el activo Plataforma de recaudo
Nombre del Plataforma de recaudo
activo:

Área de preocupación: Exposición de los activos de información, acceso no autorizado a

los sistemas informáticos.

Puntaje de Probabilidad Categoría: Acción: Transferir

Riesgo Relativo: Subjetiva: Bajo Grupo 3 o Aceptar
22

•Control
Solo los clientes pueden acceder a la plataforma de recaudo.
• Los clientes deben ingresar a la plataforma con el número de identificación y la
contraseña.
• El sistema solicita el cambio de contraseña cada 30 a 45 días.

Área de preocupación: Desconocimiento en el manejo de los sistemas informáticos.

Puntaje de Probabilidad Categoría: Acción: Transferir

Riesgo Relativo: Subjetiva:Medo Grupo 2 o Aceptar
22

• Se debe realizar un instructivo que permita al cliente ingresar y realizar operaciones en

la plataforma de recaudo.
• Se debe realizar capacitación al personal de servicio al cliente y administradores de
negocios sobre la plataforma de recaudo.

80
Área de preocupación: Exposición de los activos de información,
acceso no autorizado a la infraestructura física.
Puntaje de Riesgo Probabilidad Subjetiva: Categoría: Acción: Transferir o
Relativo: 22 Bajo Grupo 3 Aceptar

Control:
• Solo el gerente de infraestructura y el gerente de tecnología, pueden realizar modificaciones sobre la
plataforma
• Solo el gerente de infraestructura y el gerente de tecnología, pueden acceder a la administrador de la
plataforma de recaudo con un usuario y contraseña

Área de preocupación: Interrupción en el servicio de internet

Puntaje de Riesgo Probabilidad Subjetiva: Categoría: Acción: Transferir o

Relativo: 33 Medio Grupo 2 Aceptar

Control:
• Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de plataforma
de recaudo.

Área de preocupación: Falla en los componentes de hardware de los equipos

Puntaje de Riesgo Probabilidad Subjetiva: Categoría: Acción: Transferir o

Relativo: 22 Bajo Grupo 3 Aceptar

Control:
• Realizar mantenimientos preventivos de los equipos.
• Verificar la ventilación de los equipos.
• Adquirir repuestos compatibles con los equipos y con proveedores de confianza

81
Área de preocupación: Desactualización de los sistemas

Puntaje de Riesgo Probabilidad Subjetiva: Categoría: Acción: Transferir o

Relativo: 22 Bajo Grupo 3 Aceptar

Control:
• Instalar actualizaciones en los equipos y servidores de la compañía.
• Se debe adquirir software licenciado.
•Se deben desinstalar los programas que no sean de uso corporativo.

Área de preocupación: Fallo o defecto de Software

Puntaje de Riesgo Probabilidad Subjetiva: Categoría: Acción: Transferir o

Relativo: 22 Bajo Grupo 3 Aceptar

Control:
•Instalar las actualizaciones y parches de seguridad
•Instalar antivirus en el servidor en donde se aloja la plataforma de recaudo.

Área de preocupación: Interrupción en el servicio de energía eléctrica.

Puntaje de Riesgo Probabilidad Subjetiva: Categoría: Acción: Transferir o

Relativo: 29 Medio Grupo 2 Aceptar

Control:
• Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las operaciones de la
compañía.

82
 Área de preocupación: Alta Rotación de Personal

Puntaje de Riesgo Probabilidad Categoría: Acción: Transferir o

Relativo: 17 Subjetiva: Bajo Grupo 3 Aceptar

Control:
•Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascens
• Bonificaciones por cumplimiento de metas.
• Mejorar ambiente laboral
•Capacitar constantemente al personal

Área de preocupación: Desastres Naturales

Puntaje de Riesgo Probabilidad Categoría: Acción: Mitigar

Relativo: 37 Subjetiva: Alto Grupo 1

Control:
• Adecuar un servidor dedicado que permite tener copias de seguridad de la plataforma de recaudo
en otra ciudad, asegurando la continuidad de la operación.
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como
extinguidores, señalización
• Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una
distancia prudencial.

83
Gracias!
Alguna consulta?

«El auditor mantiene cerrada la boca: abre

los oídos»
- Pascal Quignard

84