UNIVERSIDAD TECNOLOGICA ISRAEL

NOMBRE:

Andrea Zhingri

ASIGNATURA:

Auditoria Informatica

TEMA:

Matriz de Riesgos "LITARGMODE"

CICLO:

Noveno de Sistemas

Pedido

Matriz de Riesgo

132635637.xls.ms_office

Datos del Cliente

Datos e Informacin

Nota de Pedido Cliente

Requisicion de Material

Detalle material de bodega

Detalles de informe de Produccion Clasificacin x x x x 3 12 9 3 3 9 6 3 3 9 12 12 12 12 12 6 12 6 12 9 12 3 3 9 6 3 3 9 12 12 12 12 12 6 12 6 12 9 12 9 9 4 4 12 8 4 4 12 16 16 16 16 16 8 16 8 16 12 16 3 3 9 6 3 3 9 12 12 12 12 12 6 12 6 12 9 12 3 4 3 3 3 9 9 3 3 3 3 9 9 6 6 3 3 3 3 9 9 12 12 12 12 12 12 12 12 12 12 6 6 12 12 6 6 12 12 9 9 12 12 x x x 3 9 3 3 1 3 1 9 3 6 2 3 1 3 1 9 3 4 12 4 12 4 12 4 12 4 12 6 2 4 12 6 2 Sismo 4 Polvo 12 9 3 4 12 Confidencial Privado(acceso controlado personal interno) Sensitivo y publico Magnitud de Dao: [1 = Insignificante 2 = Bajo 3 = Mediano 4 = Alto] Allanamiento (ilegal, legal) Persecucin (civil, fiscal, penal) Orden de secuestro / Detencin Sabotaje (ataque fsico y electrnico) Daos por vandalismo Extorsin Fraude / Estafa Robo / Hurto (fsico) Robo / Hurto de informacin electrnica Intrusin a Red interna Infiltracin Virus / Ejecucin no autorizado de programas Violacin a derechos de autor Incendio Inundacin / deslave Sucesos de origen fsico Actos originados por la criminalidad comn y motivacin poltica Falta de ventilacin Electromagnetismo

Detalle de produccion por modelo de calzado

Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]

1_Datos

Page 1

Sobrecarga elctrica 12 6 9 12 9 9 9 6 6 9 6 6 9 3 9 3 9 9 9 9 12 12 9 9 9 3 6 9 6 12 6 9 12 9 9 9 6 6 9 6 6 9 3 9 3 9 9 9 9 12 12 9 9 9 3 6 9 6 16 8 12 16 12 12 12 8 8 12 8 8 12 4 12 4 12 12 12 12 16 16 12 12 12 4 8 12 8 12 6 9 12 9 9 9 6 6 9 6 6 9 3 9 3 9 9 9 9 12 12 9 9 9 3 6 9 6 12 6 9 12 9 9 9 6 6 9 6 6 9 3 9 3 9 9 9 9 12 12 9 9 9 3 6 9 6 12 6 9 12 9 9 9 6 6 9 6 6 9 3 9 3 9 9 9 9 12 12 9 9 9 3 6 9 6 12 6 9 12 9 9 9 6 6 9 6 6 9 3 9 3 9 9 9 9 12 12 9 9 9 3 6 9 6

2 3 4 3 3 3 2 2 3 2 2 3 1 3 1 3 3 3 3 4 4 3 3 3 1 2 3 2

Falla de corriente (apagones) Falla de sistema / Dao disco duro Falta de induccin, capacitacin y sensibilizacin sobre riesgos Mal manejo de sistemas y herramientas Utilizacin de programas no autorizados / software 'pirateado' Falta de pruebas de software nuevo con datos productivos Perdida de datos Infeccin de sistemas a travs de unidades portables sin escaneo Manejo inadecuado de datos crticos (codificar, borrar, etc.) Unidades portables con informacin sin cifrado Transmisin no cifrada de datos crticos Manejo inadecuado de contraseas (inseguras, no cambiar, compartidas, BD centralizada) Compartir contraseas o permisos a terceros no autorizados Transmisin de contraseas por telfono Exposicin o extravo de equipo, unidades de almacenamiento, etc Sobrepasar autoridades Falta de definicin de perfil, privilegios y restricciones del personal Falta de mantenimiento fsico (proceso, repuestos e insumos) Falta de actualizacin de software (proceso y recursos) Fallas en permisos de usuarios (acceso a archivos) Acceso electrnico no autorizado a sistemas externos Acceso electrnico no autorizado a sistemas internos Red cableada expuesta para el acceso no autorizado Red inalmbrica expuesta al acceso no autorizado Dependencia a servicio tcnico externo Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos) Falta de mecanismos de verificacin de normas y reglas / Anlisis inadecuado de datos de control Ausencia de documentacin Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales

132635637.xls.ms_office

Vehculos Clasificacin x x x x 1 3 1 1 3 2 1 1 3 4 4 4 4 4 2 4 2 4 3 4 3 3 9 12 12 12 12 12 6 12 6 12 9 12 6 2 1 1 3 4 4 4 4 4 2 4 2 4 3 4 9 3 3 2 1 1 3 4 4 4 4 4 2 4 2 4 3 4 3 1 1 2 6 4 2 2 6 8 8 8 8 8 4 8 4 8 6 8 3 1 1 2 2 2 6 4 2 2 6 8 8 8 8 8 4 8 4 8 6 8 9 3 3 6 6 9 6 3 2 3 2 9 6 6 4 3 2 3 2 9 6 8 12 8 12 8 12 8 12 8 12 6 4 8 12 6 4 8 12 9 6 8 12 3 1 1 2 2 3 2 1 2 4 12 3 6 3 1 2 4 1 1 2 4 1 12 3 6 3 2 4 8 2 1 2 4 1 1 2 4 1 12 3 6 3 16 4 8 4 16 4 8 4 16 4 8 4 16 4 8 4 16 4 8 4 2 4 8 2 16 4 8 4 2 4 8 2 16 4 8 4 12 3 6 3 16 4 8 4 x x x x x Sismo Polvo Falta de ventilacin x x Acceso exclusivo Acceso ilimitado Sensitivo y publico Magnitud de Dao: [1 = Insignificante 2 = Bajo 3 = Mediano 4 = Alto] Allanamiento (ilegal, legal) Persecucin (civil, fiscal, penal) Orden de secuestro / Detencin Sabotaje (ataque fsico y electrnico) Daos por vandalismo Extorsin Fraude / Estafa Robo / Hurto (fsico) Robo / Hurto de informacin electrnica Intrusin a Red interna Infiltracin Virus / Ejecucin no autorizado de programas Violacin a derechos de autor Incendio Inundacin / deslave Sucesos de origen fsico Actos originados por la criminalidad comn y motivacin poltica Electromagnetismo

Impresoras

Matriz de Riesgo

Plan de Porduccion

Memorias porttiles

Nota de Pedido Cliente

Informe de produccion

Requisicion de Material

Nota de pedidoProveedor

Sistemas e Infraestructura

Registro de Despacho de Material

Sistema de telefona convencional

Edificio (Oficinas, Recepcin, Sala de espera, Sala de reunin, Bodega, etc.)

Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]

2_Sistemas

Page 2

12 4 2 3 4 3 3 3 2 2 3 2 2 3 1 3 1 3 3 3 3 4 4 3 3 3 1 2 3 2 6 9 12 9 9 9 6 6 9 6 6 9 3 9 3 9 9 9 9 12 12 9 9 9 3 6 9 6

12

16

4 2 3 4 3 3 3 2 2 3 2 2 3 1 3 1 3 3 3 3 4 4 3 3 3 1 2 3 2

4 2 3 4 3 3 3 2 2 3 2 2 3 1 3 1 3 3 3 3 4 4 3 3 3 1 2 3 2

8 4 6 8 6 6 6 4 4 6 4 4 6 2 6 2 6 6 6 6 8 8 6 6 6 2 4 6 4

8 4 6 8 6 6 6 4 4 6 4 4 6 2 6 2 6 6 6 6 8 8 6 6 6 2 4 6 4

8 6 9 12 9 9 9 6 6 9 6 6 9 3 9 3 9 9 9 9 12 12 9 9 9 3 6 9 6 4 6 8 6 6 6 4 4 6 4 4 6 2 6 2 6 6 6 6 8 8 6 6 6 2 4 6 4

4 2 3 4 3 3 3 2 2 3 2 2 3 1 3 1 3 3 3 3 4 4 3 3 3 1 2 3 2

8 4 6 8 6 6 6 4 4 6 4 4 6 2 6 2 6 6 6 6 8 8 6 6 6 2 4 6 4

4 8 12 16 12 12 12 8 8 12 8 8 12 4 12 4 12 12 12 12 16 16 12 12 12 4 8 12 8 2 3 4 3 3 3 2 2 3 2 2 3 1 3 1 3 3 3 3 4 4 3 3 3 1 2 3 2

Sobrecarga elctrica Falla de corriente (apagones) Falla de sistema / Dao disco duro Falta de induccin, capacitacin y sensibilizacin sobre riesgos Mal manejo de sistemas y herramientas Utilizacin de programas no autorizados / software 'pirateado' Falta de pruebas de software nuevo con datos productivos Perdida de datos Infeccin de sistemas a travs de unidades portables sin escaneo Manejo inadecuado de datos crticos (codificar, borrar, etc.) Unidades portables con informacin sin cifrado Transmisin no cifrada de datos crticos Manejo inadecuado de contraseas (inseguras, no cambiar, compartidas, BD centralizada) Compartir contraseas o permisos a terceros no autorizados Transmisin de contraseas por telfono Exposicin o extravo de equipo, unidades de almacenamiento, etc Sobrepasar autoridades Falta de definicin de perfil, privilegios y restricciones del personal Falta de mantenimiento fsico (proceso, repuestos e insumos) Falta de actualizacin de software (proceso y recursos) Fallas en permisos de usuarios (acceso a archivos) Acceso electrnico no autorizado a sistemas externos Acceso electrnico no autorizado a sistemas internos Red cableada expuesta para el acceso no autorizado Red inalmbrica expuesta al acceso no autorizado Dependencia a servicio tcnico externo Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos) Falta de mecanismos de verificacin de normas y reglas / Anlisis inadecuado de datos de control Ausencia de documentacin Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales

Personal

Bodeguero

Jefe de Ventas

Jefe de Compras

Matriz de Riesgo

132635637.xls.ms_office

Piloto / conductor

Jefe de Produccion

Programador de Produccion

Informtica / Soporte tcnico interno Clasificacin x x Imagen pblica de alto perfil, indispensable para funcionamiento institucional Perfil medio, experto en su rea x x x x x Perfil bajo, no indispensable para funcionamiento institucional Magnitud de Dao: [1 = Insignificante 2 = Bajo 3 = Mediano 4 = Alto] 3 12 9 3 3 9 6 3 3 9 12 12 12 12 12 6 12 6 12 9 12 1 3 2 1 1 3 4 4 4 4 4 2 4 2 4 3 4 1 3 3 9 6 3 3 9 12 12 12 12 12 6 12 6 12 9 12 3 9 9 3 4 3 4 12 9 6 8 3 4 3 4 12 9 12 16 12 16 12 16 12 16 12 16 6 8 12 16 6 8 12 16 12 9 12 16 1 3 3 4 2 3 6 9 3 Allanamiento (ilegal, legal) 2 3 1 Persecucin (civil, fiscal, penal) 2 3 1 Orden de secuestro / Detencin 6 9 3 Sabotaje (ataque fsico y electrnico) 4 6 2 Daos por vandalismo 2 3 1 Extorsin 2 3 1 Fraude / Estafa Actos originados por la criminalidad comn y motivacin poltica 6 9 3 Robo / Hurto (fsico) 12 8 4 Robo / Hurto de informacin electrnica 12 8 4 Intrusin a Red interna 12 8 4 Infiltracin 12 8 4 Virus / Ejecucin no autorizado de programas 12 8 4 Violacin a derechos de autor 4 6 2 Incendio 12 8 4 Inundacin / deslave Sucesos de origen fsico 4 6 2 Sismo 12 8 4 Polvo 6 9 3 Falta de ventilacin 12 8 4 Electromagnetismo

Servicio de limpieza de planta x 1 3 1 1 3 2 1 1 3 4 4 4 4 4 2 4 2 4 3 4

Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]

3_Personal

Page 3

12 4 2 3 4 3 3 3 2 2 3 2 2 3 1 3 1 3 3 3 3 4 4 3 3 3 1 2 3 2 6 9 12 9 9 9 6 6 9 6 6 9 3 9 3 9 9 9 9 12 12 9 9 9 3 6 9 6

12 4 2 3 4 3 3 3 2 2 3 2 2 3 1 3 1 3 3 3 3 4 4 3 3 3 1 2 3 2 6 9 12 9 9 9 6 6 9 6 6 9 3 9 3 9 9 9 9 12 12 9 9 9 3 6 9 6

Sobrecarga elctrica 12 6 9 12 9 9 9 6 6 9 6 6 9 3 9 3 9 9 9 9 12 12 9 9 9 3 6 9 6 16 8 12 16 12 12 12 8 8 12 8 8 12 4 12 4 12 12 12 12 16 16 12 12 12 4 8 12 8 12 4 6 8 6 6 6 4 4 6 4 4 6 2 6 2 6 6 6 6 8 8 6 6 6 2 4 6 4 6 9 12 9 9 9 6 6 9 6 6 9 3 9 3 9 9 9 9 12 12 9 9 9 3 6 9 6

2 3 4 3 3 3 2 2 3 2 2 3 1 3 1 3 3 3 3 4 4 3 3 3 1 2 3 2

Falla de corriente (apagones) Falla de sistema / Dao disco duro Falta de induccin, capacitacin y sensibilizacin sobre riesgos Mal manejo de sistemas y herramientas Utilizacin de programas no autorizados / software 'pirateado' Falta de pruebas de software nuevo con datos productivos Perdida de datos Infeccin de sistemas a travs de unidades portables sin escaneo Manejo inadecuado de datos crticos (codificar, borrar, etc.) Unidades portables con informacin sin cifrado Transmisin no cifrada de datos crticos Manejo inadecuado de contraseas (inseguras, no cambiar, compartidas, BD centralizada) Compartir contraseas o permisos a terceros no autorizados Transmisin de contraseas por telfono Exposicin o extravo de equipo, unidades de almacenamiento, etc Sobrepasar autoridades Falta de definicin de perfil, privilegios y restricciones del personal Falta de mantenimiento fsico (proceso, repuestos e insumos) Falta de actualizacin de software (proceso y recursos) Fallas en permisos de usuarios (acceso a archivos) Acceso electrnico no autorizado a sistemas externos Acceso electrnico no autorizado a sistemas internos Red cableada expuesta para el acceso no autorizado Red inalmbrica expuesta al acceso no autorizado Dependencia a servicio tcnico externo Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos) Falta de mecanismos de verificacin de normas y reglas / Anlisis inadecuado de datos de control Ausencia de documentacin Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales

132635637.xls.ms_office

Analisis_Promedio

Anlisis de Riesgo promedio

Probabilidad de Amenaza Criminalidad y Poltico Datos e Informacin Magnitud de Dao Sistemas e Infraestructura Personal
8.5

Sucesos de origen fsico

9.8

Negligencia y Institucional
8.3

3.7

4.3

3.6

4.5

5.2

4.4

Pgina 4

132635637.xls.ms_office

Analisis_Factores

Etiqueta X Y

Criminalidad y Poltico / Datos e Informacin 2.692307692 3.142857143

Criminalidad y Poltico / Sistemas e Infraestructura 2.692307692 2

Criminalidad y Poltico / Personal 2.692307692 2.5

Sucesos de origen fsico / Datos e Informacin 3.111111111 3.142857143

Sucesos de origen fsico / Sistemas e Infraestructura 3.111111111 2

Sucesos de origen fsico / Personal 3.111111111 2.5

Negligencia y Institucional / Datos e Informacin 2.653846154 3.142857143

Negligencia y Institucional / Sistemas e Infraestructura 2.653846154 2

Negligencia y Institucional / Personal 2.653846154 2.5

Anlisis de Factores de Riesgo

Criminalidad y Poltico / Datos e Informacin Criminalidad y Poltico / Sistemas e Infraestructura Criminalidad y Poltico / Personal

Magnitud de Dao

Sucesos de origen fsico / Datos e Informacin Sucesos de origen fsico / Sistemas e Infraestructura
Sucesos de origen fsico / Personal

Negligencia y Institucional / Datos e Informacin Negligencia y Institucional / Sistemas e Infraestructura Negligencia y Institucional / Personal Umbral Medio Riesgo Umbral Alto Riesgo

Probalidad de Amenaza

Pgina 5

Fuente Valoracin Ninguna Baja Mediana Alta Escala 1 2 3 4 Valor_min Valor_max 1 4 8 12 3 6 9 16 Lineas Umbral Medio Riesgo 7 y 7.0 6.4 5.8 5.4 5.0 4.7 4.4 4.0 3.9 3.7 3.5 3.3 3.2 3.0 2.9 2.8 2.7 2.6 2.5 2.4 2.3 2.3 2.2 2.1 2.1 2.0 1.9 1.9 1.8 1.8 1.8

x 1.0 1.1 1.2 1.3 1.4 1.5 1.6 1.8 1.8 1.9 2.0 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 3.0 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 4.0

Page 6

Fuente Umbral Alto Riesgo 10.5 y 10.5 9.5 8.8 8.1 7.5 7.0 6.6 6.0 5.8 5.5 5.3 5.0 4.8 4.6 4.4 4.2 4.0 3.9 3.8 3.6 3.5 3.4 3.3 3.2 3.1 3.0 2.9 2.8 2.8 2.7 2.6

Page 7