Analisis y evaluación de riesgos de las plataformas educativas

GRILLA DE EVALUACIÒN DE PLATAFORMAS EDUCATIVAS SISTEMA INTEGRADO DE GESTIÓN

Procedimiento de Ejecución Lista de verificación a la Ejecución de la formación

Versión: 02

Código: GFPI-F-025

ANÁLISIS Y EVALUACIÓN DE RIESGOS DE LAS PLATAFORAMAS EDUCATIVAS

Para este proceso tan importante dentro de la auditoría es necesario que ya se haya identificado inicialmente las vulnerabilidades y amenazas existentes en cada uno de los procesos evaluados, y que se hay definido los riesgos existentes a causa de esas debilidades.

Una vez se identifican los riesgos se procede a hacer un análisis y evaluación de los mismos, en el análisis hay que determinar como se esta presentando el riesgo, las causas posibles que lo originan, en que procesos se presentan y quien es el personal involucrado en cada uno de ellos.

Una vez analizados los riesgos se procede a hacer la evaluación teniendo en cuenta los criterios de frecuencia con que se presenta el riesgo en el tiempo (probabilidad) y el impacto que ellos pueden causar de llegar a concretarse (impacto). Para cada uno de estos criterios existen unas escalas de valoración de tipo cualitativo que pueden tener una lectura cuantitativa para poder determinar la probabilidad e impacto de estos riesgos.

Este proceso puede llevarse a cabo inicialmente para determinar una lista de riesgos iniciales general y proponer el objetivo de la auditoría de acuerdo a los resultados, si se observa que los problemas se originan en la infraestructura tecnológica entonces la auditoría deberá orientarse hacia el análisis de dicha infraestructura. Una vez iniciado el proceso de auditoría el proceso de análisis y evaluación de riesgos me permite evaluar cada uno de los dominios y procesos (CobIT) que se han seleccionado para la valoración de los riesgos en dicho proceso.

A continuación se muestra un ejemplo de aplicación de dicho proceso, inicialmente se presenta un listado de vulnerabilidades, amenazas y riesgos, posteriormente se presenta la matriz general que será usada para la medición de los riesgos donde se presentan las escalas de probabilidad e impacto y finalmente se hace la valoración con este ejemplo concreto.

VULNERABILIDADES: 1. No existencia de inventario de hardware y redes

2. No se hace mantenimiento preventivo solo se hace manteniemiento correctivo

3. Irregularidad en el servicio de internet por la ubicación de la empresa

4. Obsolescencia de tecnología de hardware de servidores, equipos y redes

5. Obsolescencia en el cableado estructurado



Versión: 02

Código: GFPI-F-025

AMENAZA: 1. Poca seguridad en el acceso físico al hardware

2. Equipos de cómputo que no soportan sistemas operativos

3. Existe peligro en la continuidad de los servicos en línea

4. No hay sistemas de vigilancia y monitoreo dentro de la empresa

5. No existe sistema de protección en caídas de energía para protección de equipos

6. No existen sistemas contra incendios

7. Posibles fallos en la conectividad de la red de datos e internet

RIESGOS: 1. No existe restricciones para el acceso a personal externo a los equipos de cómputo

2. Equipos con bajo rendimientopara las operaciones que se deben desarrollar 3. Daño en los equipos por caidas en el fluido eléctrico

4. Insatisfacción por parte de los usurios respecto al servicios internet 5. No se han levantado hojas de vida de los equipos existentes

6. La señal de los operadores de internet presenta fallas por la ubicación de la empresa

7. Se presentan problemas de conexión en la intranet y a internet 8. Se han presentado hurtos y robo de partes de los equipos de cómputo

9. No existen controles y responsables de los equipos de cómputo

MATRIZ DE PROBABILIDAD DE IMPACTO

Esta matriz fue creada para catalogar un riesgo y saber qué clase de daño puede causar un mal procedimiento en el proceso auditado. En la matriz existe la columna de probabilidad de ocurrencia donde se pondrá el valor del porcentaje de riesgo según su resultado. Luego se deberá determinar el impacto según la relevancia del proceso, esta clasificación será hecha por el equipo auditor basándose en el conocimiento de la

entidad y del proceso auditado. Una vez hechos estos procedimientos se podrá clasificar el riesgo para su mejor entendimiento en la matriz gráfica.

Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso

PROBABILIDAD Zona de Riesgo Zona de riesgo Zona de riesgo



Versión: 02

Código: GFPI-F-025

Alto

61-100%

Moderado Importante Inaceptable

Medio

31-60%

Zona de riesgo

Tolerable

Zona de riesgo

Moderado

Zona de riesgo

Importante

Bajo

0-30%

Zona de riesgo

Aceptable

Zona de riesgo

Tolerable

Zona de riesgo Moderado

Leve Moderado Catastrófico

IMPACTO

EVALUACIÓN DE RIESGOS

N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrófico

R1 No existe restricciones para el acceso a personal externo a los equipos de cómputo

X X

R2 Equipos con bajo rendimientopara las operaciones que se deben desarrollar

X X

R3 Daño en los equipos por caidas en el fluido eléctrico

X X

R4 Insatisfacción por parte de los usurios respecto al servicios internet

X X



Versión: 02

Código: GFPI-F-025

R5 No se han levantado hojas de vida de los equipos existentes

X X

R6 La señal de los operadores de internet presenta fallas por la ubicación de la empresa

X X

R7 Se presentan problemas de conexión en la intranet y a internet

X X

R8 Se han presentado hurtos y robo de partes de los equipos de cómputo

X X

R9 No existen controles y responsables de los equipos de cómputo

X X

MATRIZ DE RIESGOS

PROBABILIDAD

Alto

61-100%

R4, R7 R1

Medio

31-60%

R2, R5 R6

Bajo

0-30%

R3, R8 R9

Leve Moderado Catastrófico



Versión: 02

Código: GFPI-F-025

IMPACTO

En la matriz se oberva las escalas de la probabilidad de ocurrencia y el impacto que pueden causar en la organización de llegar a concretarse esos riesgos, a continuación se dará una breve interpretación de cada una de las escalas y su significado.

Escala de probabilidad:

Bajo: Cuando el riesgo se presenta esporádicamente 1 0 2 veces en el año

Medio: Cuando el riesgos se presenta cada mes

Alto: Cuando el riesgo se presenta todas las semanas

Fijense que lo importante es la unidad de tiempo en que se mide, en un sistema puede que se presenten errores todo los días o varias veces en una hora, por lo tanto la medición de be hacerse de acuerdo al proceso evaluado y a los riesgos que pueden presentarse, también hay que tener en cuenta si se está evaluado el área informática, sus activos de hardware, el personal o uno de los sistemas específicamente.

Escala de impacto:

Leve: Cuando el riesgo afecta a una sola persona o dependencia de la organización

Moderado: Cuando el riesgo afecta a un grupo de personas o a toda una dependencia

Catastrófico: Cuando se paraliza completamente la actividad en la organización

LISTAS DE CHEQUEO O CHECKLIST PARA ÁREAS DE CÓMPUTO LISTAS DE CHEQUEO

la listas de chequeo tiene como objetivo fundamental la verificación de la existencia de controles en cada uno de los procesos evaluados, para la construcción de las preguntas de la lista de chequeo es necesario conocer los objetivos de control en cada proceso, en esos objetivos de control están descritos los controles en cada proceso de acuerdo al estándar aplicado en la auditoría.

http://auditordesistemas.blogspot.com/2012/02/listas-de-chequeo-o-checklist-para.html



Versión: 02

Código: GFPI-F-025

Las listas de chequeo en general se usarán también para verificar el cumplimiento de una norma estándar que se debe evaluar en la auditoría, por ejemplo el cumplimiento de normas RETIE de instalaciones eléctricas o el cumplimiento de normas de cableado estructurado TIA/EIA, o cualquier otro estándar. Para el caso del estándar CobIT 4.1, la estructura de la norma se divide en 4 dominios, 32 procesos y 334 objetivos de control, donde cada dominio se divide en procesos y en cada proceso existen varios objetivos de control. En cada objetivo de control están descritos los controles generales que debería existir, por lo tanto las preguntas de la lsita de chequeo deben ser solamente de existencia de esos controles en el proceso evaluado. Las respuestas a esas preguntas de la lista de chequeo para cada proceso deben responderse marcando solemente la respuesta SI o NO o N/A (SI/NO/NA) o cumple totalemente, cumple parcialmente o no cumple (CT/CP/NC).

A continuación se presenta un modelo de formato para las listas de chequeo para los procesos del estándar CobIT:

Lista de chequeo Aulas de informática Institución Educativa R/PT

Cuestionario de Control LC1

Dominio Adquisición e Implementación

Proceso AI3: Adquirir y mantener la arquitectura tecnológica

Objetivo de Control Evaluación de Nuevo Hardware

Cuestionario

Pregunta SI NO N/A

¿Se cuenta con un inventario de todos los equipos que integran el centro de cómputo?

¿Con cuanta frecuencia se revisa el inventario?

¿Se posee de bitácoras de fallas detectadas en los equipos?

Características de la bitácora (señale las opciones).

¿La bitácora es llenada por personal especializado? ¿Señala fecha de detección de la falla? ¿Señala fecha de corrección de la falla y revisión de que el equipo

funcione correctamente? ¿Se poseen registros individuales de los equipos? ¿La bitácora hace referencia a hojas de servicio, en donde se

detalla la falla, y las causas que la originaron, así como las refacciones utilizadas?



Versión: 02

Código: GFPI-F-025

¿Se lleva un control de los equipos en garantía, para que a la finalización de ésta, se integren a algún programa de mantenimiento?

¿Se cuenta con servicio de mantenimiento para todos los equipos?

¿Con cuanta frecuencia se realiza mantenimiento a los equipos?

¿Se cuenta con procedimientos definidos para la adquisición de nuevos equipos?

¿Se tienen criterios de evaluación para determinar el rendimiento de los equipos a adquirir y así elegir el mejor?

Documentos probatorios presentados:

LISTA DE CHEQUEO 2



Dominio Adquisición e Implementación

Proceso AI3: Adquirir y mantener la arquitectura tecnológica

Objetivo de Control Mantenimiento Preventivo para Hardware

Cuestionario

Pregunta SI NO N/A

¿Se lleva un control de los equipos en garantía, para que a la finalización de ésta, se integren a algún programa de mantenimiento?

¿Se cuenta con servicio de mantenimiento para todos los equipos?

¿Con cuanta frecuencia se realiza mantenimiento a los equipos?

¿Se cuenta con procedimientos definidos para la adquisición de nuevos equipos?

¿Se tienen criterios de evaluación para determinar el rendimiento de los equipos a adquirir y así elegir el mejor?


lISTA DE CHEQUEO 3



Versión: 02

Código: GFPI-F-025

Aulas de informática Institución Educativa R/PT

Lista de chequeo LC3

Dominio Entrega de Servicios y Soportes

Proceso DS12: Administración de Instalaciones.

Objetivo de Control Escolta de Visitantes

Cuestionario

Pregunta SI NO N/A

¿Las instalaciones (aulas, cubículos y oficinas) fueron diseñadas o adaptadas específicamente para funcionar como un centro de cómputo?

¿Se tiene una distribución del espacio adecuada, de forma tal que facilite el trabajo y no existan distracciones?

¿Existe suficiente espacio dentro de las instalaciones de forma que permita una circulación fluida?

¿Existen lugares de acceso restringido?

¿Se cuenta con sistemas de seguridad para impedir el paso a lugares de acceso restringido?

¿Se cuenta con sistemas de emergencia como son detectores de humo, alarmas, u otro tipo de censores?

¿Existen señalizaciones adecuadas en las salidas de emergencia y se tienen establecidas rutas de evacuación?

¿Se tienen medios adecuados para extinción de fuego en el centro de cómputo?

¿Se cuenta con iluminación adecuada y con iluminación de emergencia en casos de contingencia?

¿Se tienen sistemas de seguridad para evitar que se sustraiga equipo de las instalaciones?

¿Se tiene un lugar asignado para papelería y utensilios de trabajo?

¿Son funcionales los muebles instalados dentro del centro de cómputo: cintoteca, Discoteca, archiveros, mesas de trabajo, etc?

¿Existen prohibiciones para fumar, consumir alimentos y bebidas?

¿Se cuenta con suficientes carteles en lugares visibles que recuerdan estas prohibiciones?

¿Con cuanta frecuencia se limpian las instalaciones?

¿Con cuanta frecuencia se limpian los ductos de aire y la cámara de



Versión: 02

Código: GFPI-F-025

aire que existe debajo del piso falso (si existe)?


lISTA DECHEQUEO 4




Proceso Protección contra Factores Ambientales

Objetivo de Control Controles Ambientales

Cuestionario

Pregunta SI NO N/A

¿El centro de cómputo tiene alguna sección con sistema de refrigeración?

¿Con cuanta frecuencia se revisan y calibran los controles ambientales?

¿Se tiene contrato de mantenimiento para los equipos que proporcionan el control ambiental?

¿Se tienen instalados y se limpian regularmente los filtros de aire?

¿Con cuanta frecuencia se limpian los filtros de aire?

¿Se tiene plan de contingencia en caso de que fallen los controles ambientales?


LISTA DE CHEQUEO 5




Proceso DS12 Administración de Instalaciones.

Objetivo de Control Suministro Ininterrumpido de Energía

Cuestionario

Pregunta SI NO N/A



Versión: 02

Código: GFPI-F-025

¿Se cuenta con instalación con tierra física para todos los equipos?

¿La instalación eléctrica se realizó específicamente para el centro de cómputo?

¿Se cuenta con otra Instalación dentro el centro de cómputo, diferente de la que alimenta a los equipos de cómputo?

¿La acometida llega a un tablero de distribución?

¿El tablero de distribución esta en la sala, visible y accesible?

¿El tablero considera espacio para futuras ampliaciones de hasta de un 30 % (Considerando que se dispone de espacio físico para la instalación de más equipos)?

¿La Instalación es independiente para el centro de cómputo?

¿La misma instalación con tierra física se ocupa en otras partes del edificio?

¿La iluminación está alimentada de la misma acometida que los equipos?

¿Las reactancias (balastros de las lámparas) están ubicadas dentro de la sala?

¿Los ventiladores y aire acondicionado están conectados en la misma instalación de los equipos a la planta de emergencia?

¿Los ventiladores y aire acondicionado están conectados en la misma instalación de los equipos a los no-brake?

¿Se cuenta con interruptores generales?

¿Se cuenta con interruptores de emergencia en serie al interruptor general?

¿Se cuenta con interruptores por secciones ó aulas?

¿Se tienen los interruptores rotulados adecuadamente?

¿Se tienen protecciones contra corto circuito?

¿Se tiene implementado algún tipo de equipo de energía auxiliar?

¿Se cuenta con Planta de emergencia?

¿Se tienen conectadas algunas lámparas del centro de cómputo a la planta de emergencia?

¿Qué porcentaje de lámparas: % están conectadas a la planta de emergencia (recomendable el 25 %)?




Versión: 02

Código: GFPI-F-025

LISTA DE CHEQUEO 6




Proceso Protección contra Factores Ambientales

Objetivo de Control Seguridad Física

Cuestionario

Pregunta SI NO N/A

¿Se tienen lugares de acceso restringido?

¿Se poseen mecanismos de seguridad para el acceso a estos lugares?

¿A este mecanismo de seguridad se le han detectado debilidades?

¿Tiene medidas implementadas ante la falla del sistema de seguridad?

¿Con cuanta frecuencia se actualizan las claves o credenciales de acceso?

¿Se tiene un registro de las personas que ingresan a las instalaciones?


Analisis y evaluación de riesgos de las plataformas educativas

Education

Transcript of Analisis y evaluación de riesgos de las plataformas educativas