ANALISIS Y EVALUACIÓN DE RIESGOS-informática

ANALISIS Y EVALUACIÓN DE RIESGOS
ANÁLISIS Y EVALUACIÓN DE RIESGOS
Para este proceso tan importante dentro de la auditoría es necesario que ya se haya
identificado inicialmente las vulnerabilidades y amenazas existentes en cada uno de los
procesos evaluados, y que se hay definido los riesgos existentes a causa de esas
debilidades.
Una vez se identifican los riesgos se procede a hacer un análisis y evaluación de los
mismos, en el análisis hay que determinar cómo se está presentando el riesgo, las
causas posibles que lo originan, en que procesos se presentan y quien es el personal
involucrado en cada uno de ellos.
Una vez analizados los riesgos se procede a hacer la evaluación teniendo en cuenta los
criterios de frecuencia con que se presenta el riesgo en el tiempo (probabilidad) y el
impacto que ellos pueden causar de llegar a concretarse (impacto). Para cada uno de
estos criterios existen unas escalas de valoración de tipo cualitativo que pueden tener
una lectura cuantitativa para poder determinar la probabilidad e impacto de estos riesgos.
Este proceso puede llevarse a cabo inicialmente para determinar una lista de riesgos
iniciales general y proponer el objetivo de la auditoría de acuerdo a los resultados, si se
observa que los problemas se originan en la infraestructura tecnológica entonces la
auditoría deberá orientarse hacia el análisis de dicha infraestructura. Una vez iniciado el
proceso de auditoría el proceso de análisis y evaluación de riesgos me permite evaluar
cada uno de los dominios y procesos (CobIT) que se han seleccionado para la valoración
de los riesgos en dicho proceso.
A continuación, se muestra un ejemplo de aplicación de dicho proceso, inicialmente se

presenta un listado de vulnerabilidades, amenazas y riesgos, posteriormente se presenta
la matriz general que será usada para la medición de los riesgos donde se presentan las
escalas de probabilidad e impacto y finalmente se hace la valoración con este ejemplo
concreto.
VULNERABILIDADES:
1. No existencia de inventario de hardware y redes
2. No se hace mantenimiento preventivo solo se hace mantenimiento correctivo
3. Irregularidad en el servicio de internet por la ubicación de la empresa
4. Obsolescencia de tecnología de hardware de servidores, equipos y redes
5. Obsolescencia en el cableado estructurado
AMENAZA:
1. Poca seguridad en el acceso físico al hardware
2. Equipos de cómputo que no soportan sistemas operativos
3. Existe peligro en la continuidad de los servicios en línea
4. No hay sistemas de vigilancia y monitoreo dentro de la empresa
5. No existe sistema de protección en caídas de energía para protección de equipos
6. No existen sistemas contra incendios
7. Posibles fallos en la conectividad de la red de datos e internet
RIESGOS:
1. No existe restricciones para el acceso a personal externo a los equipos de cómputo

2. Equipos con bajo rendimiento para las operaciones que se deben desarrollar
3. Daño en los equipos por caídas en el fluido eléctrico
4. Insatisfacción por parte de los usuarios respecto al servicios internet
5. No se han levantado hojas de vida de los equipos existentes
6. La señal de los operadores de internet presenta fallas por la ubicación de la empresa
7. Se presentan problemas de conexión en la intranet y a internet
8. Se han presentado hurtos y robo de partes de los equipos de cómputo
9. No existen controles y responsables de los equipos de cómputo
10. no existen protocolos de seguridad
MATRIZ DE PROBABILIDAD DE IMPACTO
Esta matriz fue creada para catalogar un riesgo y saber qué clase de daño puede causar un mal
procedimiento en el proceso auditado. En la matriz existe la columna de probabilidad de ocurrencia
donde se pondrá el valor del porcentaje de riesgo según su resultado. Luego se deberá determinar el
impacto según la relevancia del proceso, esta clasificación será hecha por el equipo auditor
basándose en el conocimiento de la entidad y del proceso auditado. Una vez hechos estos
procedimientos se podrá clasificar el riesgo para su mejor entendimiento en la matriz
gráfica.
Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso
PROBABILIDAD Zona de Zona de Zona de riesgo

Alto Riesgo riesgo Inaceptable
61- Moderado Importante
100%
Medio Zona de Zona de Zona de riesgo
31-60% riesgo riesgo Importante
Tolerable Moderado
Bajo Zona de Zona de Zona de riesgo
0-30% riesgo riesgo Moderado
Aceptable Tolerable
Leve Moderado Catastrófico
IMPACTO
EVALUACIÓN DE RIESGOS
N° Descripción Probabilidad Impacto Controles

Baja Media Alta Leve Moderado Catastrófico
R1 No existe X X 1.
restricciones para el 2.
acceso a personal 3.
externo a los equipos 4.
de cómputo,
R2 Equipos con bajo X X
rendimiento para las
operaciones que se
deben desarrollar
R3 Daño en los equipos X X
por caídas en el
fluido eléctrico
R4 Insatisfacción por X X
parte de los usuarios
respecto al servicios
internet
R5 No se han levantado X X
hojas de vida de los
equipos existentes
R6 La señal de los X X
operadores de
internet presenta
fallas por la
ubicación de la
empresa
R7 Se presentan X X
problemas de
conexión en la
intranet y a internet
R8 Se han presentado X X
hurtos y robo de
partes de los equipos
de cómputo
R9 No existen controles X X
y responsables de
los equipos de
cómputo
MATRIZ DE RIESGOS
PROBABILIDAD R4, R7 R1
Alto
61-100%
Medio R2, R5 R6
31-60%
Bajo R3, R8 R9
0-30%
Leve Moderado Catastrófico
IMPACTO
En la matriz se observa las escalas de la probabilidad de ocurrencia y el impacto que

pueden causar en la organización de llegar a concretarse esos riesgos, a continuación,
se dará una breve interpretación de cada una de las escalas y su significado.
Escala de probabilidad:
Bajo: Cuando el riesgo se presenta esporádicamente 1 o 2 veces en el año

Medio: Cuando el riesgo se presenta cada mes
Alto: Cuando el riesgo se presenta todas las semanas
Fíjense que lo importante es la unidad de tiempo en que se mide, en un sistema puede

que se presenten errores todo los días o varias veces en una hora, por lo tanto la
medición de be hacerse de acuerdo al proceso evaluado y a los riesgos que pueden
presentarse, también hay que tener en cuenta si se está evaluado el área informática,
sus activos de hardware, el personal o uno de los sistemas específicamente.
Escala de impacto:
Leve: Cuando el riesgo afecta a una sola persona o dependencia de la organización

Moderado: Cuando el riesgo afecta a un grupo de personas o a toda una dependencia
Catastrófico: Cuando se paraliza completamente la actividad en la organización

ANALISIS Y EVALUACIÓN DE RIESGOS-informática

Cargado por

Copyright:

Formatos disponibles

ANALISIS Y EVALUACIÓN DE RIESGOS-informática

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ANALISIS Y EVALUACIÓN DE RIESGOS-informática

Cargado por

Copyright:

Formatos disponibles

ANALISIS Y EVALUACIÓN DE RIESGOS

ANÁLISIS Y EVALUACIÓN DE RIESGOS

A continuación, se muestra un ejemplo de aplicación de dicho proceso, inicialmente se

1. No existe restricciones para el acceso a personal externo a los equipos de cómputo

MATRIZ DE PROBABILIDAD DE IMPACTO

Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso

PROBABILIDAD Zona de Zona de Zona de riesgo

N° Descripción Probabilidad Impacto Controles

En la matriz se observa las escalas de la probabilidad de ocurrencia y el impacto que

Bajo: Cuando el riesgo se presenta esporádicamente 1 o 2 veces en el año

Fíjense que lo importante es la unidad de tiempo en que se mide, en un sistema puede

Leve: Cuando el riesgo afecta a una sola persona o dependencia de la organización

También podría gustarte