1. Los Activos que presentan mayor importancia son los siguientes:
- Servidor de Aplicaciones
- Servidor de Correo
- Router de Comunicaciones
- Edificio
- Centro de Datos
- Datos de los Clientes
- Usuarios de Operaciones
- Cajeros
- Usuarios y Contraseñas
- Consultores Externos
Usted deberá en primera instancia clasificarlos en que categoría de RECURSOS DE TECNOLOGIA DE LA INFORMACION deben estar.
Los recursos de TI identificados en COBIT se
pueden definir como sigue:
Las
aplicaciones incluyen tanto sistemas de usuario
automatizados como procedimientos manuales que procesan información.
La información son los datos en todas
sus formas de entrada, procesados y generados por los sistemas de información,
en cualquier forma en que son utilizados
por el negocio.
La infraestructura es la tecnología y
las instalaciones (hardware, sistemas operativos, sistemas de administración de
base de datos, redes, multimedia, etc.,
así como el sitio donde se encuentran y el ambiente que los soporta) que
permiten el procesamiento de las aplicaciones.
Las personas son el personal requerido para planear, organizar, adquirir,
implementar, entregar, soportar, monitorear y evaluar los sistemas y los
servicios de información. Estas pueden ser internas, por outsourcing o
contratadas, de acuerdo a como se requieran.
Al finalizar este paso deberá poner en el archivo excel adjunto en color azul oscuro todos los recursos ordenados por grupos de activos.
2. La matriz ejemplo se encuentra en este enlace
http://www.mediafire.com/?u27eqhvt87wv0j1
Se dejaron algunos ejemplos en el excel que pueden borralos ustedes.
Por cada activo deberá buscar en la tabla siguiente, cual riesgo le afecta (Aspecto de TI). Lo debe poner en la columna Descripción de Riesgos del excel.
Tabla 2. Tipos
de evento de riesgo con los aspectos de tecnología relacionados
|
|
Tipo de Evento
|
Aspecto de TI
|
Fraude Interno
|
·
Manipulación deliberada de
programas
·
Uso no autorizado de funciones para
modificación de programas
·
Manipulación deliberada de las
instrucciones del sistema
·
Manipulación deliberada del hardware
·
Cambios deliberados a los sistemas
y aplicaciones por medio de accesos internos no autorizados
·
Uso indebido de software no
autorizado o sin licencia
·
Evasión interna de los privilegios
de acceso
|
Fraude Externo
|
·
Cambios deliberados a los sistemas
y aplicaciones mediante accesos externos no autorizados
·
Obtención de acceso por parte de
intrusos hacia documentos físicos o electrónicos
·
Evasión externa de privilegios de
acceso
·
Intercepción de los canales de
comunicación
·
Contraseñas comprometidas
·
Virus
|
Contratación y lugar de trabajo
|
·
Uso indebido de los recursos de
tecnología de información
·
Carecer de responsabilidad hacia la
seguridad informática
|
Clientes, productos y servicios
|
·
Divulgación de información
sensitiva hacia terceros por parte de los empleados
·
Administración de proveedores
|
Daño a activos físicos
|
·
Daños intencionales o accidentales
a la infraestructura física de tecnología de información
|
Interrupción del negocio y fallas en los sistemas
|
·
Mal funcionamiento de hardware o
software
·
Fallas en las comunicaciones
·
Sabotaje de los empleados
·
Pérdida de personal clave de
tecnología
·
Destrucción de archivos de datos o
software
·
Robo de software o información
sensitiva
·
Virus computacionales
·
Fallas en los respaldos de
información
·
Ataques para negar el servicio
·
Errores en la configuración
|
Administración de procesos, ejecución y entrega
|
·
Errores en la manipulación de datos
electrónicos
·
Estaciones de trabajo sin atención
·
Errores al realizar cambios
·
Entradas de datos incompletas a las
transacciones del sistema
·
Errores de entrada o salida de
datos
·
Errores de programación o de
pruebas
·
Errores de operación
·
Errores de procesamiento manual
|
3. Usted deberá sacar la Probabilidad de Ocurrencia y el impacto de cada uno de los riesgos encontrados según su criterio, ver la pestaña tablas para una explicación de cada valor.
4. En la columna Descripción del Control , usted podrá sugerir un control que conozca, no se preocupe si no conoce alguno para Mitigar,Evitar , Transferir o Asumir siga con el siguiente hasta concluir.
Una vez hecho usted conocerá el Riesgo Inherente a cada activo de información, lo cual es la práctica deseada, los controles se verán a lo largo de la clase de Auditoría en Sistemas de Información I y II.
De los riesgos que le resulten más altos deberá hacer un resumen ejecutivo de lo que usted observa, no más de una página.
La fecha de presentación de este trabajo es el Lunes 30 de Septiembre ya sea via correo electónico (alfonso.alfonso@unah.edu.hn) o en papel.
Cualquier duda me la hacen saber.
No hay comentarios:
Publicar un comentario
Has tus comentarios