Este proceso puede llevarse a cabo inicialmente para determinar una lista de
riesgos iniciales general y proponer el objetivo de la auditoría de acuerdo a los
resultados, si se observa que los problemas se originan en la infraestructura
tecnológica entonces la auditoría deberá orientarse hacia el análisis de dicha
infraestructura. Una vez iniciado el proceso de auditoría el proceso de análisis y
evaluación de riesgos me permite evaluar cada uno de los dominios y procesos
(CobIT) que se han seleccionado para la valoración de los riesgos en dicho
proceso.
VULNERABILIDADES:
1. No existencia de inventario de hardware y redes
2. No se hace mantenimiento preventivo solo se hace manteniemiento
correctivo
3. Irregularidad en el servicio de internet por la ubicación de la empresa
4. Obsolescencia de tecnología de hardware de servidores, equipos y redes
5. Obsolescencia en el cableado estructurado
AMENAZA:
1. Poca seguridad en el acceso físico al hardware
2. Equipos de cómputo que no soportan sistemas operativos
3. Existe peligro en la continuidad de los servicos en línea
4. No hay sistemas de vigilancia y monitoreo dentro de la empresa
5. No existe sistema de protección en caídas de energía para protección de
equipos
6. No existen sistemas contra incendios
7. Posibles fallos en la conectividad de la red de datos e internet
RIESGOS:
1. No existe restricciones para el acceso a personal externo a los equipos de
cómputo
2. Equipos con bajo rendimientopara las operaciones que se deben desarrollar
3. Daño en los equipos por caidas en el fluido eléctrico
4. Insatisfacción por parte de los usurios respecto al servicios internet
5. No se han levantado hojas de vida de los equipos existentes
6. La señal de los operadores de internet presenta fallas por la ubicación de la
empresa
7. Se presentan problemas de conexión en la intranet y a internet
8. Se han presentado hurtos y robo de partes de los equipos de cómputo
9. No existen controles y responsables de los equipos de cómputo
Esta matriz fue creada para catalogar un riesgo y saber qué clase de daño
puede causar un mal procedimiento en el proceso auditado. En la matriz existe
la columna de probabilidad de ocurrencia donde se pondrá el valor del
porcentaje de riesgo según su resultado. Luego se deberá determinar el
impacto según la relevancia del proceso, esta clasificación será hecha por el
equipo auditor basándose en el conocimiento de la entidad y del proceso
auditado. Una vez hechos estos procedimientos se podrá clasificar el riesgo
para su mejor entendimiento en la matriz gráfica.
IMPACTO
EVALUACIÓN DE RIESGOS
MATRIZ DE RIESGOS
PROBABILIDAD R4, R7 R1
Alto
61-100%
Medio R2, R5 R6
31-60%
Bajo R3, R8 R9
0-30%
Leve Moderado Catastrófico
IMPACTO
Escala de probabilidad:
Escala de impacto:
Leve: Cuando el riesgo afecta a una sola persona o dependencia de la
organización
Moderado: Cuando el riesgo afecta a un grupo de personas o a toda una
dependencia
Catastrófico: Cuando se paraliza completamente la actividad en la
organización