Riesgo

El siguiente es un modelo general de una matriz de riesgos y controles para un sistema de informacin. El mismo no pretende
abarcar todas las situaciones, por lo cual cada organizacin o auditor debe ajustarla a sus necesidades.
D
a
t
o
s
Modificaciones no autorizadas (adicin,
eliminacin y modificacin)en :
- Listas de precios
- Salarios
- Saldos de inventarios
- Cuentas bancarias
- Informacin de clientes, proveedores y
empleados
Matriz de Riesgos y Controles para Sistemas de Informacin
Daos en los datos por accesos no
autorizados
S
i
s
t
e
m
a

O
p
e
r
a
t
i
v
o
Componente
A
p
l
i
c
a
c
i
o
n
e
s
Modificaciones en la parametrizacin no
autorizadas.
Debilidades en la segregacin de funciones.
Transacciones erradas
N
u
b
e
Prdida del control de los servidores
Prdida de la informacin
Ataques externos
Limitaciones en la operacin por falta de
conectividad.
D
a
t
o
s
Modificaciones no autorizadas (adicin,
eliminacin y modificacin)en :
- Listas de precios
- Salarios
- Saldos de inventarios
- Cuentas bancarias
- Informacin de clientes, proveedores y
empleados
Controles
Los accesos son autorizados por un nivel superior.
Los accesos otorgados son revisados peridicamente.
La asignacin de los accesos parte de la segregacin de
funciones.
Cada usuario tiene asignada una clave de composicin alfa
numrica y de mnimo 8 caracteres
Se pueden rastrear las operaciones realizadas por los usuarios
por medio de los logs
Se cuenta con una poltica de copias de seguridad y de
restauracin.
La informacin sensible se encuentra protegida de
modificaciones no autorizadas.
Se cumplen con los niveles de seguridad fsicos para los
servidores.
Asignacin de usuarios y claves personalizada
Segregacin de funciones entre los niveles que solicitan,
realizan, aprueban y monitorean los cambios.
Alertas para los niveles que autorizan los cambios cuando los
mismos se realizan.
Las modificaciones en las bases son realizadas por un rea
independiente a la que utiliza la informacin.
Los cambios en la base permiten tener la trazabilidad de quien
los realiza por medio de los logs.
Se tiene un nmero reducido de administradores.
Se cuenta con un diccionario de datos para la base,
identificando las relaciones internas que tiene y los accesos de
consulta o modificacin.
Controles Alternos
Se generan peridicamente reportes sobre los cambios en los
campos ms crticos, de tal forma que puedan ser verificados
los niveles de autorizacin para su realizacin.
Se realizan procesos de circularizacin con los proveedores y
clientes para validar los saldos registrados.
Se verifica que el nmero de pagos de nmina corresponda
con el nmero real de colaboradores por departamentos, es
decir que todos los pagos sean para colaboradores existentes.
El siguiente es un modelo general de una matriz de riesgos y controles para un sistema de informacin. El mismo no pretende
abarcar todas las situaciones, por lo cual cada organizacin o auditor debe ajustarla a sus necesidades.
Matriz de Riesgos y Controles para Sistemas de Informacin
Anlisis de variaciones de salarios y costos, para identificar
cambios inusuales.
Definicin y documentacin de la Poltica de Cambios
Segregacin de funciones entre el desarrollador, aprobador y
responsable de administrar en produccin
Aprobacin del usuario final de los cambios.
Asignacin usuarios y permisos, previo requerimiento y
aprobacin del Director y/o Responsable del rea que utiliza
la aplicacin.
Reportes peridicos de los cambios que se consideran crticos
en las aplicaciones, para validar su autorizacin por parte del
nivel aprobador de los cambios.
Validacin peridica de los cambios en permisos y asignacin
de usuarios por parte del nivel autorizador.
Bloqueo de usuarios retirados, previa comunicacin de
Gestin Humana.
Revisin peridica de la compatibilidad de los accesos
otorgados de acuerdo con el reporte de funciones de Gestin
Humana y el principio de segregacin de funciones.
Bloqueo de usuarios en vacaciones
Identificacin de los usuarios que realizan las transacciones,
por medio de los Logs.
Certificaciones externas sobre la calidad del servicio prestado.
Suscripcin de un acuerdo sobre privacidad con el proveedor.
Plan de contingencia para migrar a otro servidor
Plan de capacitaciones en seguridad, para los usuarios con
accesos ms vulnerables.
Cifrar las bases de datos ms sensibles, junto con controles de
monitoreo.
Limitar el acceso a los datos y/o solicitar mayores
autenticaciones, de acuerdo al dispositivo y al lugar desde
donde se ingresa.
Instalar en los dispositivos mviles parches que permitan
aislar los datos de la compaa de los personales.
Se realizan pruebas peridicas sobre la recuperacin de datos.