Scribd
Cargar
152 vistas7 páginas

2.1 Matriz Riesgo ISO-270052022

La empresa GTH, que ofrece servicios de talento humano, implementó un ERP en 2022, pero durante una auditoría se identificaron riesgos altos de acceso no autorizado en su módulo de Gestión Humana. Se encontró que empleados de otras áreas tenían acceso al módulo y que existían cuentas activas de extrabajadores, además de la falta de registros de auditoría. Se propone un plan de tratamiento de riesgos que incluye asignar roles, deshabilitar cuentas de extrabajadores, restringir accesos y activar registros de auditoría.

Cargado por

Castro Yomar
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
152 vistas7 páginas

2.1 Matriz Riesgo ISO-270052022

La empresa GTH, que ofrece servicios de talento humano, implementó un ERP en 2022, pero durante una auditoría se identificaron riesgos altos de acceso no autorizado en su módulo de Gestión Humana. Se encontró que empleados de otras áreas tenían acceso al módulo y que existían cuentas activas de extrabajadores, además de la falta de registros de auditoría. Se propone un plan de tratamiento de riesgos que incluye asignar roles, deshabilitar cuentas de extrabajadores, restringir accesos y activar registros de auditoría.

Cargado por

Castro Yomar
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

Actividad de aprendizaje

ISO 27005:2022

Caso planteado

La empresa GTH es una empresa que presta servicios en talento humano a nivel nacional a empresas de diferentes tamaños y
sectores, incluyendo servicios de selección y contratación, nómina y outsourcing. En el año 2022 GTH implementó un nuevo
ERP a través del cual ha logrado integrar en un mismo sistema de información los procesos de Gestión Humana, Compras,
Contabilidad y Tesorería.

Durante auditoría realizada al SGSI de esta empresa, el equipo de auditoría solicitó los resultados de la evaluación de riesgos
en seguridad de la información, encontrando que para el activo de información ERP en mención, módulo Gestión Humana, el
riesgo inherente de acceso no autorizado al módulo de Gestión Humana fue valorado en “Muy alto” con una probabilidad de
ocurrencia de 4 y un impacto de 4, y el riesgo residual es “Bajo”, con una probabilidad de ocurrencia de 1 (poco probable) y
con un impacto de 2, ambas valoraciones en una escala de 4 x 4.

Fue solicitado al líder los criterios (probabilidad e impacto) utilizados para la evaluación de riesgos, al cual respondió que la
evaluación se había realizado teniendo en cuenta unas tablas tomadas de un curso de riesgos al cual había asistido en la
Universidad. El auditor, solicitó al líder de Gestión Humana la lista de controles de la declaración de aplicabilidad (según Anexo
A de la norma ISO 27001:2022) seleccionados para mitigar la probabilidad de ocurrencia y el impacto, sin embargo, el líder
manifestó no tener una lista de controles porque estos estaban incorporados en el ERP y ningún otro control era necesario.

El auditor realizó algunas pruebas de acceso al módulo de Gestión Humana en compañía de empleados de diferentes áreas,
encontrando que empleados de los procesos de Compras y Contabilidad tenían acceso al módulo y con la posibilidad de
realizar cambios sobre los datos, además con permisos para descargar información. También se evidenció la existencia de dos
usuarios activos (colaboradores) en el módulo de Gestión Humana que en ese momento tenían más de un año de haber sido
despedidos de la empresa.

Por último, solicitó al área de Infraestructura Tecnológica un log de auditoría del ERP para revisar las operaciones realizadas
en el último mes en el módulo de Gestión Humana, encontrando como respuesta que desde la implementación del ERP no se
ha tenido log de auditoría debido a que con anterioridad ningún auditor lo había solicitado.
Actividad de aprendizaje
ISO 27005:2022

Escala de probabilidad de ocurrencia


No. Probabilidad Descripción
Cualitativa
1 Es difícil que ocurra.
Raro

2 La amenaza existe, pero no es normal o común, según las


Poco probable condiciones y el ambiente interno y externo de la organización.
Puede convertirse en problema en situaciones específicas.

3 Puede ocurrir en cualquier momento. La amenaza existe y


Posible hace parte de la realidad diaria, pero no se ha identificado
como tal.

4 Es factible que se presente el hecho dadas las condiciones del


Probable
ambiente interno y externo de la organización.

Escala de Valoración de Impactos (consecuencias)


No. Nivel de Descripción
Impacto
1 Insignificante Las consecuencias presentan pérdidas mínimas

2 Menor Se presentan pérdidas bajas pero su tratamiento y control es


rápido y focalizado

3 Moderado Se presentan pérdidas medias, su tratamiento es intensivo y


focalizado

4 Mayor Sus consecuencias presentan perjuicios extensivos con


pérdidas altas

Valoración del Riesgo (Probabilidad x impacto)


Actividad de aprendizaje
ISO 27005:2022
Valoración Color Descripción
Nulo Situación adecuada para la organización.
Moderado Los controles son adecuados, sin embargo, existen algunas debilidades.
Alto Se deben adoptar acciones inmediatas para minimizar el riesgo de forma rápida y efectiva.

Mapa de Riesgo inherente:

P
4 R1-R2
R
Actividad de aprendizaje
ISO 27005:2022
3 R4

2 R3
O
B
A
1
B
I
1 2 3 4

IMPACTO

Identificación y valoración de controles existentes


Determine los controles existentes
Para la valoración de los controles existentes, utilizar la siguiente tabla:

Calificación %
Valoración Descripción
Cualitativa Eficiencia

Sin control 0 El control no existe. 0


Inaceptable 1 El control existe y no se aplica. 25
Deficiente 2 El control existe, se aplica, pero no siempre es eficiente. 50
Bueno 3 El control existe, pero no se aplica siempre. 51 – 75
Excelente 4 El control existe, es eficiente y siempre lo aplican. 76 – 100

Escala de Evaluación y efecto sobre la probabilidad y el Impacto:

● 0 – 50%: No disminuyen probabilidad ni impacto

● 51% – 75%: Disminuyen una (1) casilla en la Probabilidad o en el impacto

● 76% - 100%: Disminuyen dos (2) casillas en la Probabilidad o en el impacto.

Mapa de riesgo residual:

P
4 R4 R1
R
Actividad de aprendizaje
ISO 27005:2022
3

2 R3 R2
O
B
A
1
B
I
1 2 3 4

IMPACTO

Matriz de Riesgos:
Actividad de aprendizaje
ISO 27005:2022
Evaluación de riesgos de seguridad de la información – Proceso Gestión Humana

Activo de Riesgo Nivel de Riesgo Nivel de


Vulnerabilidades Amenazas Riesgo P I Controles Efectividad % P I
información Inherente Riesgo Residual Riesgo

ERP Mod. Falta de Mod. de R1. Acceso no 4 4 16 Alto P 50% 4 4 16 Alto


Gestión asignación información
Humana autorizado al
de roles, Usuarios no
monitoreo autorizaos módulo de

gestión humana

ERP Mod. Cuentas de Uso R2. Cuentas 4 4 16 Alto C 85% 2 4 8 Alto


Gestión usuario activas de indebido de activas
Humana excolaboradores credenciales pertenecientes
no deshabilitadas. a
extrabajadores.
ERP Mod. Acceso indebido Ingreso sin R3. Acceso no 2 4 8 Alto C 70% 2 2 4 Moderado
Gestión de empleados del autorización permitido
Humana área de Compras desde otras
y Contabilidad. áreas
organizacionale
s (Compras y
Contabilidad).

ERP Mod. Falta de registros Área de R4. Ausencia del 3 3 9 Alto P 90% 4 2 8 Alto
Gestión de auditoría para infraestruct log para
Humana seguimiento. ura presentar a la
tecnología auditoria
no se
encuentra al
día con la
información
.

Plan de tratamiento de Riesgos

En este caso se debe identificar el tipo de tratamiento a determinar, esto es:


Actividad de aprendizaje
ISO 27005:2022
● Aceptar

● Reducir*

● Retener*

● Transferir*

* Deberá determinar el plan de tratamiento teniendo en cuenta la siguiente información:

Actividades de Tratamiento Responsable de Tratamiento Fecha Propuesta de implementación


R1. Asignar roles definidos a cada Administrador de la empresa GTH 31-07-2025
usuario del módulo de Gestión
Humana.
Realizar monitoreo periódico y
remover accesos de usuarios
inactivos o no autorizados.
R2. Deshabilitar cuentas de Administrador de la empresa GTH 20-08-2025
extrabajadores inmediatamente tras
su salida.
Realizar auditorías mensuales de
cuentas activas.
R3. Restringir el acceso al módulo Administrador de la empresa GTH 8-08-2025
únicamente al personal del área de
Gestión Humana.
Aplicar controles de acceso basados
en roles.
R4. Activar el registro de logs de Administrador de la empresa GTH 20-07-2025
auditoría en el sistema ERP.
Verificar periódicamente que la
información esté siendo almacenada
y revisada adecuadamente.

También podría gustarte