Actividad - Grupal 3 - Auditoria - Sistemas

INTRODUCCION
El presente trabajo se desarrolla siguiendo la Gua de Actividades del curso Auditoria de

Sistemas de la Escuela de Ciencias Bsicas, Tecnologa e Ingeniera ECBTI - Unidad 3
Auditoria Informtica; cuyo propsito es ejecutar acciones que permitan mitigar y
contra restar los hallazgos encontrados en la fase anterior, basados el tratamiento de
riesgos se determinaran cules de ellos tienes mayor criticidad y se plantearan
soluciones para corregirlos.
OBJETIVOS
Objetivo General
Ejecutar los planes de accin definidos en la fase anterior para la empresa Procesos &
Canje S.A mitigando las amenazas y riegos hallados.
Objetivos especficos
Aplicar el estndar CobIT en el diseo y estructura de la Auditoria Informtica en la
empresa Procesos & Canje S.A.
Aplicar los dominios y procesos del estndar CobIT
Ejecutar y dar solucin a los riesgos y amenazas detectados en la compaa de
acuerdo al tratamiento de riesgo definido para cada falla encontrada.
Presentar los resultados de la Auditoria Informtica para la empresa elegida,
formulando las recomendaciones y sugerencias para la mitigacin de riesgos.
Nivel
5
4
3
2
1
Rango
Catastrfic
o
Mayor
Moderado
Menor
Insignifican
te
Los pasos a seguir en el tratamiento de los riesgos sern

los que se describen a continuacin:
Identificacin // Matriz cuadro de vulnerabilidades

Anlisis // Matriz probabilidad e impacto
Evaluacin // Matriz valoracin de riesgo - Leve- Moderado Catastrfico
(JHONATHAN VELANDIA) VALORACION DE RIESGOS

NIVEL
RANGO
RIESGO
CATASTROFI
CO
R5
CATASTROFI
CO
R3
CATASTROFI
CO
R2
MODERADO
R1
MENOR
R4
DESCRIPCION
Ataques de intromisin
e ingeniera social , robo
o eliminacin de
informacin, no hay
sistema de deteccin de
intrusos.
Dao en equipos,
indisponibilidad en el
sistema y prdida de
informacin.
Prdida, modificacin,
robo de informacin.
No existe proceso de
revisin de contrasea.
Perdida de informacin,
debida a dao de las
cintas de Backus.
CUADRO DE VULNERABILIDAES-AMENAZAS RISGOS CATEGORIA
Vulnerabilidad
Amenazas
Riesgo
Categora
COBIT # 1
Descripcin del
proceso
Proceso
Planear y
Organizar
Descripcin
Probabilidad
Baj Medi Alt
a
a
a
X
No existen contraseas de acceso a

los equipos
R8 Falta de conocimiento de los
usuarios en el manejo de
herramientas computacionalesControl
y en de
el manejo de los acceso.
sistemasCambio,
informticos
existentes, nomodificacin
se han
No existen
o
realizado
capacitaciones
a robo
los de
contraseas
de
para concientizarlos
sobre
R4 usuariosacceso
a los
informacin
de
la seguridad
de los datos. los archivos en
equipos
la computadora
R9 Acceso no contralado a Internet,
no se tienen grupos de acceso ni
restricciones
a
sitios
potencialmente
No secuentapeligrosos.
con
cambio de los
control fsico de
documentos
verificacin de
fsicos
documentos
R6
(cheques,
de intromisin e
R1 Ataques
formularios
de y robo o
ingeniera social
pensiones).
0
eliminacin
de informacin
R8
Falta
de Errores de
Falta de Sistema Deteccin de
conocimiento
de usuario, dao
Intrusiones
los
el manejo
accidental
hayusuarios
firewall enpara
de de
R11 No manejo
de
equipos
acceso de envi de informacin dey
herramientas
interfaces
desde fuera de laaplicaciones,
Red de
computacionales
y uso indebido de
la compaa, desde Internet.
enseel manejo
los sistemas
de
cuenta de
conlos equipos
de
R1 No sistemas
de
Contingencias de para sus informacin
sistemas
informticos
la
compaa
2
de informacin principales (DRP)
existentes, noy se continuidad
R1 Disponibilidad
han
inmediata
de realizado
sus sistemas en lo
3
quecapacitaciones
se refiere a fallas ade hardware,
los contar
usuarios
al no
con para
redundancia en
susconcientizarlos
equipos.
la seguridad
existe
directriz para el X
R1 No sobre
de los datos.
adecuado
manejo de dispositivos
Acceso
no Ingeniera
5 R9 de almacenamiento
contralado
a social y uso
Internet, no se indebido de los
tienen grupos de sistemas
de
acceso
ni informacin.
restricciones
a
sitios
potencialmente
peligrosos.
R10
No hay
Los usuarios
segmentacin
finales pueden
adecuada de la red
ver en su red los
servidores de
aplicaciones y
Bases de Datos
R4
R11
No hay firewall
para manejo de
acceso de envi de
informacin de
interfaces desde
fuera de la Red de
la compaa, desde
Internet.
Acceso
indebido a la
Red de la
compaa
externamente a
travs de Pertas
traseras
asequibles,
Lev
e
Impacto
Moderad
Catastrfico
o
X
Corromper datos,
archivos y hasta el
S.O.
Definir la arquitectura de la
informacin
Seguridad
lgica
PO2
Manipulacin
fsica por parte de
todos los
funcionarios.
Seguridad
fsica
N/A
X
El personal no
cuenta con las
actitudes y
aptitudes
requeridas para
hacer uso de la
informacin por
medio de los
sistemas de
informacin,
X
perdida de
informacin,
retraso en los
procesos.
Establecer un modelo de datos

empresarial que incluya un
esquema de clasificacin de
informacin que garantice la
integridad y consistencia de todos
los datos.
N/A
X
Administrar los Recursos
Humanos
X
X
Manejo y
control de
personal
PO7
X y entrenamiento
La contratacin
del personal, la motivacin por
medio de planes de carrera claros,
la asignacin de los roles que
X
correspondan a las habilidades, el
establecimiento de procesos de
revisin definidos, la creacin de
X
descripcin de puestos y el
aseguramiento de la conciencia de
la
dependencia
sobre
los
individuos.
X
Dao
en
los
equipos,
indisponibilidad
de algn sistema,
perdida
de
informacin por
causa de virus
Acceso indebido a
la informacin,
prdida y robo de
informacin
confidencial.
Acceso indebido a
la informacin,
prdida y robo de
informacin
confidencial.
Seguridad
Red
Seguridad
Red
PO2
PO2
PO2
Seguridad
Red
informacin
los datos
informacin
los datos
informacin
MATRIZ CLASIFICACION DE RIESGO

LEVE
MODERADO
ALTO
R10-R11-R12
MEDIO
BAJO
R4-R9
R15
Riesgo
Controlarlo
R8
Falta de conocimiento de los usuarios en el manejo de

herramientas computacionales y en el manejo de los
sistemas informticos existentes, no se han realizado
capacitaciones a los usuarios para concientizarlos sobre la
seguridad de los datos.
Acceso no contralado a Internet, no se tienen grupos de
acceso ni restricciones a sitios potencialmente peligrosos.
Controlarlo
Ataques de intromisin e ingeniera social y robo o

eliminacin de informacin Falta de Sistema Deteccin de
Intrusiones
No hay firewall para manejo de acceso de envi de
informacin de interfaces desde fuera de la Red de la
compaa, desde Internet.
No se cuenta con equipos de Contingencias de para sus
sistemas de informacin principales (DRP)
Transferirlo
Disponibilidad y continuidad inmediata de sus sistemas en lo

que se refiere a fallas de hardware, al no contar con
redundancia en sus equipos.
No existe directriz para el adecuado manejo de dispositivos
de almacenamiento
Aceptarlo
R11
R12
R13
R15
RIESG
O
R9
Tratamiento
No existen contraseas de acceso a los equipos
R10
R8
Descripcin Riesgo
R8-R13
R4
R9
R4
CATASTROFICO
RIESGOS o
HALLAZGOS
ENCONTRADO
S
No existen contraseas de
acceso a los equipos
Falta de conocimiento de
los usuarios en el manejo
de
herramientas
computacionales y en el
manejo de los sistemas
informticos existentes, no
se
han
realizado
capacitaciones
a
los
usuarios
para
concientizarlos sobre la
Acceso no contralado a
Internet, no se tienen
grupos de acceso ni
restricciones
a
sitios
TIPO DE
CONTROL
CORRECTIVO
Controlarlo
Transferirlo
Transferirlo
Controlarlo
SOLUCIONES O CONTROLES
Controlar el acceso a travs del servidor de directorio

activo
Dictar charlas y capacitacin a los usuarios acerca del

uso correcto de la informacin y los medios seguros
para su trasmisin.
PREVENTIVO
Controlar el acceso a internet o a aquellas pginas no

autorizadas por la organizacin.
CORRECTIVO
R15
potencialmente peligrosos.
No existe directriz para el
adecuado
manejo
de
dispositivos
de
almacenamiento
CORRECTIVO
Establecer polticas de seguridad y controles que

permitan sustraer informacin a travs de medios
magnticos, solo a personal autorizado.
(NESTOR AUGUSTO TOCANCIPA) VALORACION DE RIESGOS

PROBABILIDAD
RIESGOS/VALORACION
IMPACTO
L
Seguridad Lgica
R1
R2
R3
R4
No
existe
proceso
de
revisin
de
contraseas
Modificacin no autorizada de informacin o
retrasos en la operacin, por actualizaciones
no
aprobadas
y/o
desarrolladas
debidamente
Ataques de intromisin e ingeniera social y
robo o eliminacin de informacin Falta de
Sistema Deteccin de Intrusiones
Corromper datos, archivos y hasta el S.O.
Software
R5
Perdida, modificacin y robo de informacin
Seguridad fsica
R6
Manipulacin fsica por parte de todos los

funcionarios.
Manejo y control de personal

R7
R8
Dao en los equipos, indisponibilidad de

algn sistema, perdida de informacin
El personal no cuenta con las actitudes y
aptitudes requeridas para hacer uso de la
informacin por medio de los sistemas de
informacin, perdida de informacin, retraso
en los procesos.
X
X
Seguridad de red
R9
R10
R11

algn sistema, perdida de informacin por
causa de virus
Acceso indebido a la informacin, prdida y
robo de informacin confidencial.
Acceso indebido a la informacin, prdida y
robo de informacin confidencial.
Hardware
R12
R13
R14
R15
Perdida de informacin y clientes

Perdida de informacin y Dinero por el
retraso en el procesamiento de informacin
Perdida de informacin, debida a dao de las
cintas de back-up.
Alteracin o prdida de la informacin
registrada en base de datos o equipos
PROBABILIDAD
A: Alta
M: Media
B: Baja
IMPACTO
L: Leve
M: Moderado
C: Catastrfico
MATRIZ CLASIFICACION DE RIESGO

LEVE
ALTO
MEDIO
BAJO
ID.
Riesgo
R1
R3
R5
R7
R8
R9
R13
R14
R9
MODERADO
CATASTROFICO
R14
R3
R1, R5, R13,
R7
R8
Descripcin Riesgo
Tratamiento Riesgo
No existe proceso de revisin de contraseas

Ataques de intromisin e ingeniera social y
robo o eliminacin de informacin Falta de
Sistema Deteccin de Intrusiones
Perdida, modificacin y robo de informacin
algn sistema, perdida de informacin
El personal no cuenta con las actitudes y
aptitudes requeridas para hacer uso de la
informacin por medio de los sistemas de
informacin, perdida de informacin, retraso
en los procesos.
algn sistema, perdida de informacin por
causa de virus
Perdida de informacin y dinero por el retraso
en el procesamiento de informacin
Perdida de informacin, debida a dao de las
cintas de back-up.
Controlarlo
Transferirlo
Controlarlo
Controlarlo
Controlarlo
Aceptarlo
Aceptarlo
Transferirlo
RIESGOS o
HALLAZGOS
ENCONTRADOS
TIPO DE
CONTROL
CORRECTIV
O
y PREVENTIV
O
revisin de contraseas
Perdida, modificacin
robo de informacin
Dao en los equipos,

indisponibilidad de algn
sistema,
perdida
de
informacin
DETECTIVO,
PREVENTIV
O
El personal no cuenta con

las actitudes y aptitudes
requeridas para hacer uso
de la informacin por
medio de los sistemas de
informacin, perdida de
informacin, retraso en los
procesos.
DETECTIVO,
PREVENTIV
O
Controlar el acceso a travs de
algoritmos de control y bloqueo.
Elaborar
polticas
de
administracin y organizacin de
la informacin, en coordinacin
con el Ingeniero Jefe del rea y
con asesora de personal experto
en el manejo de servidores y
seguridad.
Seguimiento
que
permita
identificar la situaciones problema
y estudio de las soluciones que
minimicen la ocurrencia
Establecer
un
plan
de
capacitacin enfocado en las
falencias detectadas, para lo cual
se hace necesario la identificacin
de las reas temticas a reforzar.
REF
HALLAZGO
001
PROCESO AUDITADO
RESPONSABLE
DS7 Educar y entrenar a los usuarios y DS12 Administracin del

ambiente fsico
PGINA
1
DE
Nstor Tocancip Guevara

CobIT
MATERIAL DE SOPORTE
DS7 Educar y Entrenar a los Usuarios: se requiere identificar las necesidades de entrenamiento de
los usuarios, definir y ejecutar la estrategia de entrenamiento y medir sus resultados.
DS12 Administracin del Ambiente Fsico: definicin de los requerimientos fsicos del centro de
datos, seleccin y diseo de proceso para monitorear factores ambientales y administrar el acceso
fsico.
DOMINIO
Entrenar y dar soporte DS.
PROCESO
DS7 Educar y entrenar a los

usuarios y DS12
Administracin del ambiente
fsico
DESCRIPCIN:
No existe un programa de capacitacin preestablecido

Se evidencian problemas de ventilacin y contaminacin acstica por lo reducido del rea
No hay control para el acceso al centro de cmputo, excepto su ubicacin dentro del edificio, el aviso con el nombre
de Centro de Cmputo y la puerta de acceso
En el pasillo anexo al rea de computo se mantienen archivos y cajas que obstaculizan circulacin
Se evidencia falta de planeacin en aspectos formativos, as como en la distribucin de los espacios requeridos para el
adecuado funcionamiento del Centro de Cmputo. Es necesario tomar medidas para restringir el acceso al Centro de
Cmputo, a personal no autorizado y as evitar los riesgos descritos; se requiere mejorar la disposicin de archivo, evitando la
aglomeracin de cajas en puestos de trabajo y pasillos.
REF_PT:
-
Lista de chequeo F-CHK 01

Formato de cuestionario
Formato de entrevista
CONSECUENCIAS:
-
Al no existir un programa de capacitacin se pierde la oportunidad de manejo y control sobre atribuciones,

responsabilidades, obligaciones y competencias del personal, facilitando evadirlas.
La deficiencia en las condiciones ambientales del rea disminuye la capacidad de tolerancia y aumenta el
estrs entre los trabajadores, propiciando un clima tenso y restringiendo la creatividad para la solucin de las
distintas situaciones.
El control de acceso al rea y mejoras en la ventilacin del espacio de trabajo favoreceran los ndices de
productividad y potenciaran las capacidades del grupo de trabajo.
Al no dar cumplimiento a los planes y programas de manejo de archivo se incumple con la norma y se
deteriora el ambiente laboral, promoviendo una actitud laxa ante las evidentes fallas de manejo documental
RIESGO:
R3 Retraso en los procesos
Probabilidad de ocurrencia=50%
Impacto segn relevancia del proceso=Medio
R4 Dao en los equipos
Impacto segn relevancia del proceso=Medio
R1-El personal no cuenta con la aptitud y actitud requerida, para hacer uso de la informacin por medio de los sistemas de
informacin
Impacto segn relevancia del proceso=Bajo
RECOMENDACIONES:
Desarrollar un plan de capacitacin a bajo coste que permita atender los hallazgos y minimizar los riesgos.
Presupuestas a mediano plazo la ampliacin del Centro de cmputo o en su defecto realizar las inversiones
necesarias para mejorar las condiciones ambientales, especialmente en lo relacionado con el sistema de ventilacin
del rea.
Implementas medidas de control de acceso al rea, las cuales pueden darse a bajo costo y en el corto plazo.
Exigir el cumplimiento de los procesos en Gestin Documental, descritos en las polticas inherentes al tema.
(FABIO LEON) VALORACIN DE RIESGOS

PROBABILIDAD
RIESGOS/VALORACION
IMPACTO
L
Hardware
R12
R13
R14
R15
R9
R10
R11
R6
R5
No se cuenta con equipos de Contingencias de

X
para sus sistemas de informacin principales
(DRP
Disponibilidad y continuidad inmediata de sus
sistemas en lo que se refiere a fallas de hardware,
al no contar con redundancia en sus equipos.
Control inadecuado de cintas de Backus, no se
sacan externamente las cintas, solo se almacenan
internamente y solo en una copia sin duplicidad
No existe directriz para el adecuado manejo de
dispositivos de almacenamiento
Redes
Acceso no contralado a Internet, no se tienen
grupos de acceso ni restricciones a sitios
No hay segmentacin adecuada de la red
No hay firewall para manejo de acceso de envi
X
de informacin de interfaces desde fuera de la
Red de la compaa, desde Internet.
Seguridad fsica
No se cuenta con control fsico de verificacin de
documentos (cheques, formularios de pensiones).
Servidores y estaciones de trabajo sin
actualizaciones de seguridad en los sistemas
operativos
X
X
X
X
X
X
R1
R3
R4
R2
R7
R8
No existe directivas de contraseas para las

cuentas de usuario
Falta de controles en la seguridad del sistema
X
informtico (sobre usuarios, perfiles, permisos)
Documentacin
- La visin de la empresa no tiene una fecha lmite
para su cumplimiento, y est ya se alcanz.
Personal del rea
Acceso no controlado al centro de computo
Falta de conocimiento de los usuarios en el
manejo de herramientas computacionales y en el
manejo de los sistemas informticos existentes, no
se han realizado capacitaciones a los usuarios
para concientizarlos sobre la seguridad de los
datos.
PROBABILIDAD
A: Alta
M: Media
B: Baja
X
X
X
X
X
X
X
X
X
X
IMPACTO
L: Leve
M: Moderado
C: Catastrfico
Tabla No.4 Matriz de Clasificacin de riesgo

LEVE
MODERADO
ALTO
MEDIO
BAJO
CATASTROFICO
R3,R11,R12
R2
R1,R4,R5,R7,R9,R10
R14,R15
R6,R8,R13
Tabla No.5 Tratamiento de los riesgos

ID. Riesgo
R1
R2
R3
R4
R5
R6
Descripcin Riesgo
No existe directivas de contraseas para las cuentas de
usuario
No existen en algunos equipos el sistema operativo
licenciado.
Falta de controles en la seguridad del sistema informtico
(sobre usuarios, perfiles, permisos)
Servidores y estaciones de trabajo sin actualizaciones de
seguridad en los sistemas operativos
No se cuenta con control fsico de verificacin de
Tratamiento Riesgo
Transferirlo
Aceptarlo
Controlarlo
Transferirlo
Transferirlo
Controlarlo
R7
R8
R9
R10
R11
R12
R13
R14
R15
documentos (cheques, formularios de pensiones).

Acceso no controlado al centro de computo
Falta de conocimiento de los usuarios en el manejo de
herramientas computacionales y en el manejo de los
sistemas informticos existentes, no se han realizado
capacitaciones a los usuarios para concientizarlos sobre la
Acceso no contralado a Internet, no se tienen grupos de
acceso ni restricciones a sitios potencialmente peligrosos.
No hay segmentacin adecuada de la red
No hay firewall para manejo de acceso de envi de
informacin de interfaces desde fuera de la Red de la
No se cuenta con equipos de Contingencias de para sus
sistemas de informacin principales (DRP)
Disponibilidad y continuidad inmediata de sus sistemas en
lo que se refiere a fallas de hardware, al no contar con
Control inadecuado de cintas de Backus, no se sacan
externamente las cintas, solo se almacenan internamente
y solo en una copia sin duplicidad.
No existe directriz para el adecuado manejo de
dispositivos de almacenamiento
Transferirlo
Controlarlo
Transferirlo
Transferirlo
Controlarlo
Controlarlo
Controlarlo
Aceptarlo
Aceptarlo
Tabla No.6 Tipo de control y soluciones

RIESGOS O HALLAZGOS
ENCONTRADOS
Falta de controles en la
seguridad
del
sistema
informtico (sobre usuarios,
perfiles, permisos)
TIPO DE
CONTROL
PREVENTIVO/
CORRECTIVO
No se cuenta con control

fsico de verificacin de
documentos
(cheques,
formularios de pensiones).
Falta de conocimiento de los
usuarios en el manejo de
herramientas
informticos existentes, no se
han realizado capacitaciones
a
los
usuarios
para
concientizarlos
sobre
la
No hay firewall para manejo
de acceso de envi de
CORRECTIVO
Elaborar polticas de administracin y
organizacin de la informacin, lo cual se
podra realizar a travs de la contratacin de un
ingeniero de sistemas con experiencia en
manejo de servidores y seguridad para la
realizacin de esta labor.
Control en el manejo de la informacin
analizando el alcance que debe tener cada
empleado para poder cumplir con el desarrollo
de sus labores.
CORRECTIVO
Capacitar al personal de la organizacin sobre

la forma de utilizar y optimizar los recursos. Si
no existe la persona indicada en la empresa
para dar la asesora, se podra contratar con
una entidad externa.
DETECTIVO
Almacenar la informacin de la empresa de

manera automtica a travs de la programacin
informacin de interfaces
desde fuera de la Red de la
No se cuenta con equipos de
Contingencias de para sus
sistemas
de
informacin
principales (DRP)
Disponibilidad y continuidad
inmediata de sus sistemas en
lo que se refiere a fallas de
hardware, al no contar con
de copias en un servidor de respaldo.
PREVENTIVO
Elaborar y capacitar al personal sobre planes

de contingencia con el fin de estar preparados
en el momento de un eventual siniestro.
CORRECTIVO
Actualizacin del manual de funciones por parte

de los empleados de la organizacin.
Tabla No.7 Hallazgos

REF
HALLAZGO 1
HHDN_O1
PROCESO AUDITADO
Funcionamiento del acceso y seguridad a la red

de datos
RESPONSABLE
Fabio Andrs Len
MATERIAL DE SOPORTE
COBIT
DOMINIO
Planear
(PO)
Organizar
PROCESO
PGINA
1
DE
Definir
un
plan
estratgico de TI
(PO1)
DESCRIPCIN:
No existe un grupo encargado de evaluar y estudiar el desempeo de la red de datos en su

acceso y seguridad
No existen polticas ni procedimientos relacionados con la conformacin adecuada de la
arquitectura y del aspecto fsico de la red de datos.
Esto es debido a la falta del manual de funciones donde se especifique el personal a cargo de la red
de datos ni los procedimientos que se realizaran por parte de los funcionarios.
REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Al no existir un grupo encargado de evaluar y estudiar los aspectos de seguridad y acceso

de la red de datos se pierde informacin relacionado con la empresa, libertad para filtrarse
material reservado
Al no existir polticas ni procedimientos relacionados con la conformacin de la arquitectura y
del aspecto fsico de la red de datos se pierde la opcin de ajustar a las condiciones
adecuadas que necesita la entidad los servicios de red de datos.
RIESGO:
100
Probabilidad de ocurrencia:
Impacto segn relevancia del proceso: Alto
RECOMENDACIONES:
Conformar un grupo determinado de funcionarios que evalen y estudien los niveles de

seguridad y acceso de la red de datos, para con ello tomen decisiones oportunas y
adecuadas en la eventualidad presentarse fallas
Elaborar e implementar polticas y procedimientos relacionados con la conformacin de la
arquitectura y del acceso a la red de datos para ajustar los servicios de red a las
necesidades propias que necesite la entidad.
CONCLUSIONES
COBIT es un modelo o herramienta de buenas prcticas para ser utilizado en los

procesos de auditora de cualquier organizacin, por medio de l se pueden gestionar
las tecnologas de la informacin de una compaa, basados en sus objetivos y
procesos podemos aplicar las diferentes herramientas que sirven de base, para levantar
la informacin de los procesos a auditar, en el desarrollo de esta actividad se definieron
Matrices con los hallazgos para cada proceso Cobit, matriz de riesgos y planes de
accin para el proceso de Auditoria en la compaa Procesos & Canje.
DS4 Garantizar la Continuidad del Servicio (DS4.2 Planes de continuidad

de TI:, DS4.5 Pruebas del plan de continuidad de TI y DS4.9 )
VULNERABILIDADES ENCONTRADAS
RICARDO RODRIGUEZ SUAREZ
N
Vulnerabilidad
Amenazas
No existe directivas de
contraseas para las
cuentas de usuario
Accesos no autorizados
Riesgo
revisin de
contraseas
Modificacin no
autorizada de
informacin, o
Separacin de ambientes
Perdida de informacin,
retrasos en la
de las aplicaciones, test,
segregacin de
operacin, por
desarrollo y produccin
funciones indebida
actualizaciones no
probadas y/o
desarrolladas
debidamente.
Ataques de
intromisin e
Capacidad para
Falta de controles en la
ingeniera social y
modificar, cambiar o
seguridad del sistema
robo o eliminacin
eliminar la
informtico (sobre usuarios,
de informacin Falta
configuracin del S.O y
perfiles, permisos)
de Sistema
Aplicaciones
Deteccin de
Intrusiones
Control de acceso.
Cambio, modificacin o
Corromper datos,
No existen contraseas de
robo de informacin de
archivos y hasta el
acceso a los equipos
los archivos en la
S.O.
computadora
Servidores y estaciones de
Mal funcionamiento de
Perdida,
trabajo sin actualizaciones
los equipos y errores de modificacin y robo
de seguridad en los
procesamiento.
de informacin
sistemas operativos
No se cuenta con control
Manipulacin fsica
fsico de verificacin de
cambio de los
por parte de todos
documentos (cheques,
documentos fsicos
los funcionarios.
formularios de pensiones).
Ingreso no autorizado Dao en los equipos,
de personal al centro
indisponibilidad de
Acceso no controlado al
de cmputo. Acceso
algn sistema,
centro de computo
fsico a los recursos del
perdida de
sistema
informacin
Categora
Seguridad
lgica
Seguridad
lgica
Seguridad
lgica
Seguridad
lgica
Software
Seguridad
fsica
Manejo y
control de
personal
1
0
1
1
1
2
1
3
1
4
1
5
El personal no
cuenta con las
actitudes y aptitudes
Errores de usuario,
requeridas para
dao accidental de
hacer uso de la
equipos y aplicaciones,
informacin por
uso indebido de los
medio de los
sistemas de
sistemas de
informacin de la
informacin, perdida
compaa
de informacin,
retraso en los
procesos.
Dao en los equipos,
Acceso no contralado a
Ingeniera social y uso
indisponibilidad de
Internet, no se tienen
indebido de los
algn sistema,
grupos de acceso ni
sistemas de
perdida de
restricciones a sitios
informacin.
informacin por
causa de virus
Los usuarios finales
Acceso indebido a la
pueden ver en su red
informacin, prdida
No hay segmentacin
los servidores de
y robo de
adecuada de la red
aplicaciones y Bases de
informacin
Datos
confidencial.
Red de la compaa
No hay firewall para manejo
desde fuera de la red
de acceso de envi de
informacin, prdida
corporativa. Pertas
informacin de interfaces
y robo de
traseras asequibles,
desde fuera de la Red de la
informacin
fallas en la instalacin
confidencial.
de accesorios de
comunicacin
No tener continuidad
No contar con equipos de
de la operacin, ante
Perdida de
Contingencias de para sus
desastres naturales o
informacin y
sistemas de informacin
eventualidades locales
clientes
principales (DRP)
de orden pblico.
Disponibilidad y continuidad
Cadas de servidores,
Perdida de
inmediata de sus sistemas
donde la recuperacin informacin y Dinero
en lo que se refiere a fallas
lleve ms de 4 horas o
por el retraso en el
de hardware, al no contar
pasen das antes de
procesamiento de
con redundancia en sus
recuperarse.
informacin
equipos.
Control inadecuado de
cintas de backups, no se
Perdida de
sacan externamente las
No poder restaurar
informacin, debida
cintas, solo se almacenan
informacin
a dao de las cintas
internamente y solo en una
de backups.
copia sin duplicidad.
No existe directriz para el
Introduccin de
Alteracin o prdida
adecuado manejo de
informacin falsa, virus,
de la informacin
dispositivos de
troyanos, informacin
registrada en base
almacenamiento
corrupta
de datos o equipos
Falta de conocimiento de
los usuarios en el manejo
de herramientas
informticos existentes, no
se han realizado
capacitaciones a los
usuarios para
concientizarlos sobre la
Manejo y
control de
personal
Seguridad
Red
Seguridad
Red
Seguridad
Red
Hardware
Hardware
Hardware
Hardware
Dentro de las vulnerabilidades y riesgos encontrados, para aplicar el anlisis y

estudio de los controles COBIT seleccionados se trabajara sobre las siguientes
vulnerabilidades:
ANALISIS Y EVALUACIN DE RIESGOS
R1
R2
R3
R4
R5
R6
R7
Descripcin
No contar con planes de

continuidad del negocio.
No
contar
con
documentacin de planes
de
continuidad
del
negocio.
No tener implementado
un
DRP
(Disaster
Recovery Plan)
No contar con inventario
de hardware y software
de equipos crticos
No Contar con contratos
de Soporte de hardware y
Soporte de aplicaciones
crticas del negocio.
No
capacitar
a
los
usuarios en los planes de
No contar con sistemas
de
redundancia
de
hardware de equipos
crticos.
Probabilidad
Baja Media Alta
Lev
e
X
X
Impacto
Moderad
Crtico
o
X
X
X
X
X
X
X
X
RESULTADO MATRIZ DE RIESGOS PARA CONTINUIDAD DE LA OPERACIN
Menor impacto o probabilidad de ocurrencia

Probabilidad y ocurrencia media
Alta probabilidad de ocurrencia
Descripcin
Probabilidad
Baja Media Alta
Lev
e
Impacto
Moderad
Crtico
o
R1
R2
R3
R4
R5
R6
R7
R8
No
contar
con
redundancia de hardware
en los equipos que alojan
las aplicaciones crticas
del negocio.
No contar con contratos
de soporte de hardware y
software de los equipos
que
alojan
las
aplicaciones crticas.
refresh tecnolgico de los
equipos que alojan las
aplicaciones.
de hardware y software
de equipos crticos
No contar son sistemas
de monitoreo de los
No tener procedimientos
debidamente
documentados de que
hacer en caso de fallas de
hardware y software de
los equipos que alojan las
No contar con SLA
adecuados de soporte de
hardware y software de
los equipos que alojan las
mantenimiento correctivo
y preventivo de los
aplicaciones crticas
X
X
RESULTADO MATRIZ DE RIESGOS PARA DISPONIBILIDAD DE CONTINUIDAD INMEDIATA
Menor impacto o probabilidad de ocurrencia

Probabilidad y ocurrencia media
Alta probabilidad de ocurrencia
R1
R2
R3
R4
R5
Descripcin
No contar con proveedor

de almacenamiento de
cintas de backps externo
No contar con contratos
de
transporte
y
almacenamiento de cintas
de backups externas.
adecuado de medios de
backup.
No contar con control de
planillas de envo y
recepcin de cintas desde
y hacia el proveedor
externo.
No
contar
con
los
sistemas de monitoreo de
log de envo de cintas
Probabilidad
Baja Media Alta
Lev
e
X
X
X
X
Impacto
Moderad
Crtico
o
X
X
X
X
haca
el
proveedor
externo
de
almacenamiento.
No tener procedimientos
debidamente
documentados de envo y
recepcin de cintas hacia
y desde el proveedor de
almacenamiento externo.
No contar con SLA
adecuados de envo y
recepcin de cintas con el
proveedor
de
No tener la capacitacin
adecuada para el manejo
y control de envo de
cintas haca el proveedor
de
almacenamiento
externo.
R6
R7
R8
PROBABILIDAD
RESULTADO MATRIZ DE RIESGOS PARA ENVO EXTERNO DE CINTAS DE BACKUP
Alto
61-100%
Medio
31-60%
Bajo
0-30%
R1
R3
R2,R5,R7,R8
R6
R4
Leve
IMPACTO
Moderado
Crtico
VALORACION DE RIESGOS
DRP y Backups (Almacenamiento Externo)
Continuidad de La operacin, en la parte de DRP El Jefe de Sistemas:
PROBABILIDAD
RIESGOS/VALORACION
IMPACTO
L
Documentacin
R1
R2
R3
R4
No contar con planes de continuidad del

negocio
No contar con documentacin de planes de
No tener implementado un DRP (Disaster
Recovery Plan)
No Contar con contratos de Soporte de
hardware y Soporte de aplicaciones crticas
del negocio.
X
X
Capacitacin del personal

R5
No capacitar a los usuarios en los planes de
Hardware
R6
R7
No contar con sistemas de redundancia de

hardware de equipos crticos.
No contar con inventario de hardware y
software de equipos crticos
PROBABILIDAD
A: Alta
M: Media
B: Baja
X
X
IMPACTO
L: Leve
M: Moderado
C: Catastrfico
Tabla 2 Matriz de Clasificacin de riesgo

LEVE
ALTO
MEDIO
BAJO
MODERADO
CATASTROFICO
R1
R3-R4
R2-R6
R7
R5
TRATAMIENTO DEL RIESGO

ID.
Riesgo
R1
R2
R3
R4
Descripcin Riesgo
Tratamiento Riesgo
No contar con planes de continuidad del

negocio
No contar con documentacin de planes de
No tener implementado un DRP (Disaster
Recovery Plan)
No Contar con contratos de Soporte de
hardware y Soporte de aplicaciones crticas
CONTROLARLO
CONTROLARLO
TRASFERIRLO
CONTROLARLO
R5
R6
R7
del negocio.
No contar con sistemas de redundancia de
hardware de equipos crticos.
ACEPTARLO
CONTROLARLO
ACEPTARLO
CONTROLES PROPUESTOS
RIESGOS o
HALLAZGOS
ENCONTRADOS
continuidad del negocio
TIPO DE
CONTROL
CORRECTIVO
Elaborar con
el negocio y las
diferentes reas involucradas, una
poltica para la implementacin de los
planes de continuidad del negocio,
donde se evidencia los pasos y
personas responsables de activar
esos planes.
Elaborar la documentacin necesaria,
mediante
el
levantamiento
de
informacin
con
las
reas
involucradas, donde se evidencia
claramente, los planes del DRP y su
puesta en marcha, estos documentos
deben estar en formato electrnico y
debidamente
autorizado
por
la
gerencia de tecnologa.
Elaborar una poltica de SLA con
contratos
de
Soporte
con
los
proveedores de hardware de las
aplicaciones del negocio, apoyas con
el rea legal de la compaa, estos
contratos deben estar avalados por la
direccin de tecnologa y financiera,
se deben guardar los contratos en
formato electrnico y tener control de
su vencimiento para la renovacin.
Adquirir
en
corto
tiempo
la
infraestructura necesaria, para la
implementacin de la redundancia de
los equipos de cmputo, de las
aplicaciones crticas del negocio y su
correspondiente puesta a punto, se
debe validar peridicamente su
correcto funcionamiento.
No
contar
con
documentacin de planes
de
continuidad
del
negocio.
PREVENTIVO
No Contar con contratos

de Soporte de hardware y
Soporte de aplicaciones
crticas del negocio.
CORRECTIVO
No contar con sistemas de

redundancia de hardware
de equipos crticos.
CORRECTIVO
Disponibilidad de continuidad inmediata, redundancia de Equipos Principales,
Coordinador de Sistemas:
PROBABILIDAD
RIESGOS/VALORACION
IMPACTO
L
Documentacin
R1
R2
R3
R4
No contar con planes de refresh tecnolgico

de los equipos que alojan las aplicaciones.
No contar son sistemas de monitoreo de los
equipos que alojan las aplicaciones crticas.
No tener procedimientos debidamente
documentados de que hacer en caso de fallas
de hardware y software de los equipos que
alojan las aplicaciones crticas.
X
X

R5

Hardware
R6
No contar con planes de mantenimiento

correctivo y preventivo de los equipos que
alojan las aplicaciones crticas

LEVE
MODERADO
ALTO
CATASTROFICO
R3
MEDIO
BAJO
R2 R4 R5
R1 R6

ID.
Descripcin Riesgo
Tratamiento Riesgo
Riesgo
R1
R2
R3
R4
R5
R6
No contar con planes de refresh tecnolgico

de los equipos que alojan las aplicaciones.
No contar son sistemas de monitoreo de los
equipos que alojan las aplicaciones crticas.
No
tener
procedimientos
debidamente
documentados de que hacer en caso de fallas
de hardware y software de los equipos que
alojan las aplicaciones crticas.
continuidad del negocio
No contar con planes de mantenimiento
correctivo y preventivo de los equipos que
alojan las aplicaciones crticas
CONTROLARLO
ACEPTARLO
CONTROLADO
ACEPTARLO
ACEPTARLO
TRASFERIRLO
RIESGOS o
HALLAZGOS
ENCONTRADOS
No contar son sistemas de
monitoreo de los equipos
que alojan las aplicaciones
crticas.
TIPO DE
CONTROL
CORRECTIVO
Implementar,
los
sistemas
de
hardware y software necesarios, para
el monitoreo de los equipos que
alojen las aplicaciones crticas del
negocio, implementando las alarmas
necesarias, que permitan prevenir
posibles fallas o reaccionar a tiempo
para que la operacin no se detenga
o se detenga lo menos posible
mientras se soluciona los problemas
reportados por las alarmas.
Elaborar desde la gerencias de
tecnologa una poltica de renovacin
tecnolgica de los equipos de
cmputo, que estn involucrados con
las aplicaciones crticas del negocio y
su posterior implementacin en el
corto tiempo, se debe evidenciar con
los contratos o facturas de los
proveedores, adicional se debe tener
un
inventario
de
obsolescencia
tecnolgica de esos equipos.
Elaborar
una
poltica
de
mantenimiento
preventivo
y
correctivo de los equipos que alojan

refresh tecnolgico de los
aplicaciones.
PREVENTIVO

mantenimiento correctivo y
preventivo de los equipos
PREVENTIVO
las aplicaciones crticas del negocio,

llevando un cronograma que se
acuerda con los dueos de las
aplicaciones
y
el
negocio,
se
evidencia con los contractos que se
realicen con terceros y las planillas de
ejecucin del mantenimiento.
que alojan las aplicaciones

crticas
Envo externo de cintas de backup, Coordiandor de Sistemas.
PROBABILIDAD
RIESGOS/VALORACION
IMPACTO
L
Documentacin
R1
R2
R3
R4
R5
No contar con proveedor de almacenamiento

de cintas de backps externo
No contar con contratos de transporte y
almacenamiento de cintas de backups
externas.
No contar con inventario adecuado de medios
de backup.
No contar con control de planillas de envo y
recepcin de cintas desde y hacia el
proveedor externo.
No tener procedimientos debidamente
documentados de envo y recepcin de cintas
hacia
y
desde
el
proveedor
de
X
X
X
X
X
X

R6
R7
No contar con los sistemas de monitoreo de

log de envo de cintas haca el proveedor
externo de almacenamiento..
No tener la capacitacin adecuada para el
manejo y control de envo de cintas haca el
proveedor de almacenamiento externo
Niveles de Servicio
R8
No contar con SLA adecuados de envo y

recepcin de cintas con el proveedor de
.

LEVE
MODERADO
ALTO
R4
R1
MEDIO
R3-R5
R2-R6-R7-R8
CATASTROFICO
BAJO
ID.
Riesgo
R1
R2
R3
R4
R5
R6
R7
R8
Descripcin Riesgo
Tratamiento Riesgo
No contar con proveedor de almacenamiento

de cintas de backps externo
No contar con contratos de transporte y
almacenamiento de cintas de backups
externas.
No contar con inventario adecuado de medios
de backup.
No contar con control de planillas de envo y
recepcin de cintas desde y hacia el proveedor
externo.
No
tener
procedimientos
debidamente
documentados de envo y recepcin de cintas
hacia
y
desde
el
proveedor
de
No contar con los sistemas de monitoreo de
log de envo de cintas haca el proveedor
externo de almacenamiento.
No tener la capacitacin adecuada para el
manejo y control de envo de cintas haca el
proveedor de almacenamiento externo
No contar con SLA adecuados de envo y
recepcin de cintas con el proveedor de
TRASFERIRLO
CONTROLARLO
ACEPTARLO
CONTROLARLO
ACEPTARLO
CONTROLARLO
CONTROLARLO
RIESGOS o
HALLAZGOS
TIPO DE
CONTROL
ENCONTRADOS
No contar con proveedor
de almacenamiento de
cintas de backps externo
PREVENTIVO
No contar con contratos de

transporte
y
almacenamiento de cintas
de backups externas
CORRECTIVO
No contar con control de

planillas de envo y
recepcin de cintas desde
y hacia el proveedor
externo.
PREVENTIVO
No contar con los sistemas

de monitoreo de log de
envo de cintas haca el
proveedor
externo
de
almacenamiento.
CORRECTIVO
No tener la capacitacin
adecuada para el manejo y
control de envo de cintas
haca el proveedor de
almacenamiento externo
PREVENTIVO
No
contar
con
SLA CORRECTIVO
adecuados de envo y
recepcin de cintas con el
proveedor
de
Elaborar
una
poltica
de
almacenamiento externo de cintras
de
backups,
documentando
los
procedimientos de manera clara y los
responsable, se debe evidenciar con
la
aprobacin
del
director
de
tecnologa y su almacenamiento en
medio electrnico.
Tener un contrato de transporte y
almacenamiento de medios con un
proveedor externos apoyados con la
direccin
de
tecnologa
y
el
departamento
legal,
se
debe
evidenciar con la copia en electrnico
del contrato y el control de su
vencimiento.
Elaborar procedimiento de control de
envo de planillas haca el proveedor
externo, se debe evidenciar con un
kardex y almacenamiento de las
planillas el cual se deber cruzar vs el
inventario
del
proveedor
de
almacenamiento ecterno.
Implementar en el software de
backup, el log que permita llevar un
control electrnico adecuado del
envo y recepcin de las cintas, se
debe
evidenciar
con
el
almacenamiento de los log por Mes.
Elaborar
los
procedimientos
adecuados para el manejo y control
de envo de las cintas al proveedor
externo, esto se debe evidenciar con
una certificacin que deber ser
expedida para los usuarios que
tengan a su cargo este proceso.
Definir en conjunto entre la gerencia
de tecnologa, los adecuados niveles
de servicio para el trasnporte y envo
de medios, esto debe ser evidente en
otro s al contrato principal con el
proveedor externo.
REFERENCIAS
Falcon, . (2006). Auditora y las Normas de Auditora Generalmente Aceptadas.

(Spanish).
Contabilidad
Negocios,
1(2),
16-20.
Extrado
de
http://datateca.unad.edu.co/contenidos/90168/U1_NORMAS_DE_AUDITORIA.pdf
Modulo
Auditoria
de
sistemashttp://datateca.unad.edu.co/contenidos/90168/ASPECTOS_GENERALES_DE_
AUDITORIA_GGGG.pdf
lvarez, M., & Rivera, Z. (2006). La auditora como proceso de control: concepto y
tipologa.
(Spanish).
Ciencias
De
La
Informacin,
37(2/3),
59.http://datateca.unad.edu.co/contenidos/90168/U1_Concepto_auditoria.pdf
53-

Actividad - Grupal 3 - Auditoria - Sistemas

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Actividad - Grupal 3 - Auditoria - Sistemas

Uploaded by

Copyright:

Available Formats

INTRODUCCION

El presente trabajo se desarrolla siguiendo la Gua de Actividades del curso Auditoria de

Los pasos a seguir en el tratamiento de los riesgos sern

Identificacin // Matriz cuadro de vulnerabilidades

(JHONATHAN VELANDIA) VALORACION DE RIESGOS

CUADRO DE VULNERABILIDAES-AMENAZAS RISGOS CATEGORIA

No existen contraseas de acceso a

Establecer un modelo de datos

MATRIZ CLASIFICACION DE RIESGO

Falta de conocimiento de los usuarios en el manejo de

Ataques de intromisin e ingeniera social y robo o

Disponibilidad y continuidad inmediata de sus sistemas en lo

No existen contraseas de acceso a los equipos

Controlar el acceso a travs del servidor de directorio

Dictar charlas y capacitacin a los usuarios acerca del

Controlar el acceso a internet o a aquellas pginas no

Establecer polticas de seguridad y controles que

(NESTOR AUGUSTO TOCANCIPA) VALORACION DE RIESGOS

Perdida, modificacin y robo de informacin

Manipulacin fsica por parte de todos los

Manejo y control de personal

Dao en los equipos, indisponibilidad de

Dao en los equipos, indisponibilidad de

Perdida de informacin y clientes

MATRIZ CLASIFICACION DE RIESGO

R1, R5, R13,

No existe proceso de revisin de contraseas

Dao en los equipos,

El personal no cuenta con

DS7 Educar y entrenar a los usuarios y DS12 Administracin del

Nstor Tocancip Guevara

Entrenar y dar soporte DS.

DS7 Educar y entrenar a los

No existe un programa de capacitacin preestablecido

Lista de chequeo F-CHK 01

Al no existir un programa de capacitacin se pierde la oportunidad de manejo y control sobre atribuciones,

(FABIO LEON) VALORACIN DE RIESGOS

No se cuenta con equipos de Contingencias de

No existe directivas de contraseas para las

Tabla No.4 Matriz de Clasificacin de riesgo

Tabla No.5 Tratamiento de los riesgos

documentos (cheques, formularios de pensiones).

Tabla No.6 Tipo de control y soluciones

No se cuenta con control

Capacitar al personal de la organizacin sobre

Almacenar la informacin de la empresa de

de copias en un servidor de respaldo.

Elaborar y capacitar al personal sobre planes

Actualizacin del manual de funciones por parte

Tabla No.7 Hallazgos

Funcionamiento del acceso y seguridad a la red

Fabio Andrs Len

No existe un grupo encargado de evaluar y estudiar el desempeo de la red de datos en su

Al no existir un grupo encargado de evaluar y estudiar los aspectos de seguridad y acceso

Impacto segn relevancia del proceso: Alto

Conformar un grupo determinado de funcionarios que evalen y estudien los niveles de

COBIT es un modelo o herramienta de buenas prcticas para ser utilizado en los

DS4 Garantizar la Continuidad del Servicio (DS4.2 Planes de continuidad

Dentro de las vulnerabilidades y riesgos encontrados, para aplicar el anlisis y

ANALISIS Y EVALUACIN DE RIESGOS

No contar con planes de

RESULTADO MATRIZ DE RIESGOS PARA CONTINUIDAD DE LA OPERACIN

Menor impacto o probabilidad de ocurrencia