Colaborativo Auditoria de Sistemas

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

Auditoria de sistemas - 90168
Fase 3 ejecucin: Hallazgos de la auditoria, Tratamiento de riesgos,

Controles
Vctor Julio Martnez Barrios
William Mario Villa Castro
Enrique David Pinto Peralta
Grupo colaborativo: 90168_6
Tutor
Yolima Esther Mercado Palencia
Auditoria de sistemas
2017
Fase 3|Trabajo colaborativo III

Contenido
Introduccin...............................................................................................................3
Objetivos....................................................................................................................4
Objetivo general.....................................................................................................4
Objetivos especficos.............................................................................................4
1 Cuadro de tratamiento de riesgos del proceso: DS7 Educar y Entrenar a los

Usuarios.....................................................................................................................5
2 Hallazgos del proceso: DS7 Educar y Entrenar a los Usuarios.........................7
3 Cuadro de controles propuestos del proceso: DS7 Educar y Entrenar a los

Usuarios...................................................................................................................10
4. Tabla de hallazgos proceso: DS5 Garantizar la Seguridad de los

Sistemas...18
5. Tabla de Tratamiento de Riesgos

27
6. Tabla de Controles de Riesgos ...

28
Conclusiones...........................................................................................................30
Referencias bibliogrficas........................................................................................31
Anexo1 Cuestionario de Control: C1.......................................................................32
Anexo 2 Cuestionario de Control C2 ...

34
Anexo 3 Entrevista 36

Introduccin
El presente informe se entrega como evidencia del desarrollo del tercer trabajo
colaborativo del curso de auditora de sistemas en la universidad nacional abierta
y a distancia UNAD.
En el mismo se abordan las temticas que conforman la unidad didctica 3 del

curso aplicndolos en el proceso de auditora que se ha venido llevando a cabo
durante el desarrollo de los trabajos colaborativos previos.
Para cada uno de los procesos del estndar COBIT que se han venido trabajando,
se presenta el cuadro de tratamiento de los riesgos encontrados, as como los
hallazgos y los controles propuestos para dichos riesgos.

Objetivos
Objetivo general
Aplicar los conceptos abordados en la unidad 3 del curso de auditora de

sistemas, en el proceso de auditora que se ha venido llevando a cabo en la
empresa Softcaribbean S.A.
Objetivos especficos
Analizar la matriz de riesgos de cada proceso del estndar COBIT

abordado, para generar su cuadro de tratamiento de riesgos.
Disear el cuadro de hallazgos para cada uno de los procesos del
estndar COBIT abordados.
Determinar los controles propuestos para cada uno de los riesgos
encontrados en los procesos del estndar COBIT abordados.

1 Cuadro de tratamiento de riesgos del proceso: DS7

Educar y Entrenar a los Usuarios
Antes que nada, debemos recordar la matriz de riesgos detectados para el

proceso DS7 Educar y Entrenar a los Usuarios:
Probabilidad Impacto
N Descripcin
B M A L M C
No se capacita al personal en temas relacionados con la
R1 X X
seguridad informtica
Falta de capacitacin y sensibilizacin del personal del
R2 X X
rea de sistemas
No existe un control sobre los insumos y recursos
informticos que la empresa compra, lo cual permite que
R3 estos sean utilizados para tareas diferentes a las X X
previstas, haciendo que stos se acaben de una manera
ms rpida
Los empleados no usan VPN para conectarse a la red de
R4 X X
la empresa
Uso indebido del correo electrnico para el envo de
R5 informacin a personal externo o para el registro en foros X X
y redes sociales.
Algunos de los empleados conectan dispositivos
personales no seguros a la red de la empresa lo que
R6 X X
puede generar huecos de seguridad dando cabida a la
entrada de piratas cibernticos

Alto
61- R1, R5 R4
100%
PROBABILIDAD
Medio
R3 R2 R6
31-60%
Bajo
0-30%
Leve Moderado Catastrfico
IMPACTO
N Descripcin Riesgo Tratamiento Riesgo

No se capacita al personal en temas relacionados con la
R1 Transferir
seguridad informtica
Falta de capacitacin y sensibilizacin del personal del rea
R2 Controlarlo
de sistemas
No existe un control sobre los insumos y recursos
informticos que la empresa compra, lo cual permite que
R3 Aceptarlo
estos sean utilizados para tareas diferentes a las previstas,
haciendo que stos se acaben de una manera ms rpida
Los empleados no usan VPN para conectarse a la red de la
R4 Controlarlo
empresa
Uso indebido del correo electrnico para el envo de
R5 informacin a personal externo o para el registro en foros y Controlarlo
redes sociales.
Algunos de los empleados conectan dispositivos personales
no seguros a la red de la empresa lo que puede generar
R6 Controlarlo
huecos de seguridad dando cabida a la entrada de piratas
cibernticos
2 Hallazgos del proceso: DS7 Educar y Entrenar a los

Usuarios

REF
HALLAZGO 1 HHDN_0
1
PROCESO Capacitacin a empleados acerca del PGINA

AUDITADO uso seguro de las herramientas TIC. 1 DE 1
RESPONSABLE Vctor Julio Martnez Barrios
MATERIAL DE
COBIT
SOPORTE
DOMINI ENTREGAR Y DAR PROCES DS7: Educar y Entrenar
O SOPORTE O a los Usuarios
DESCRIPCIN:
Se encuentra que la empresa no cuenta con un plan de capacitaciones

enfocadas en ayudarle a sus empleados a reconocer los
comportamientos seguros e inseguros cuando hacen uso de las
herramientas informticas tanto de la empresa como externas.
Se detecta que los empleados no usan VPN para acceder desde redes
diferentes a la interna, a repositorios que contienen informacin privada
de la empresa y sus clientes.
REF_PT:
Cuestionario de control: C1 (Anexo 1)
CONSECUENCIAS:

La falta de capacitacin de los empleados en temas relacionados con

los comportamientos seguros e inseguros respecto al uso de las
herramientas TIC, puede ocasionar serios problemas de seguridad para
la empresa, ya que se corre el riesgo de que los empleados sean
vctimas de un sinnmero de amenazas externas a las que diariamente
estn expuestos, que buscan la obtencin ilegal de informacin
confidencial, tanto de las personas como de las empresas para las que
laboran.
Al no garantizarse la seguridad en las conexiones de los empleados a
travs del uso de VPN, se abre una puerta a personas
malintencionadas para que tengan acceso a informacin de la empresa
y sus clientes, poniendo en alto riesgo el desarrollo de las actividades
de la compaa.
RIESGO:
Probabilidad de ocurrencia: 100%
Impacto segn relevancia del proceso: Alto.
RECOMENDACIONES:
Implementar un programa de capacitacin para los empleados de la

empresa, en el que se busque mantenerlos conscientes de los riesgos a
los que estn expuestos cuando hacen uso de las herramientas TIC y
ayudarlos a reconocerlos para evitar posibles afectaciones a nivel
personal y/o profesional, aminorando as el riesgo de prdida o
divulgacin de informacin de ellos y de la empresa.
Implementar el uso de VPN para asegurar las conexiones de los
empleados a los repositorios de informacin de la empresa, cuando no
estn conectados a la red interna.

3 Cuadro de controles propuestos del proceso: DS7

Educar y Entrenar a los Usuarios
Riesgos o hallazgos
Tipo de control Soluciones o controles
encontrados
Falta de capacitacin y PREVENTIVO Construir un plan de capacitaciones peridicas
sensibilizacin del para el personal de sistemas en las que se
personal del rea de actualicen los conocimientos de los mismos.

Capacitar al personal de sistemas en el

manejo adecuado de las herramientas que se
usan en la empresa. Si no se cuenta en la
sistemas CORRECTIVO
empresa con el personal idneo para esta
capacitacin puede contratarse un tercero que
lo haga.
Los empleados no
Implementar el uso de una VPN en todas las
usan VPN para
CORRECTIVO conexiones de los empleados de la empresa a
conectarse a la red de
los repositorios de informacin de la misma.
la empresa
Exponer a los empleados los riesgos a los que
se exponen y exponen a la empresa, al utilizar
PREVENTIVO
la cuenta de correo electrnico empresarial
para tratar asuntos diferentes a los laborales.
Instalacin de herramienta de software de
Uso indebido del correo
anlisis de contenido de correo electrnico que
electrnico para el
DETECTIVO permita el monitoreo en tiempo real del uso
envo de informacin a
dado a el correo electrnico empresarial por
personal externo o para
parte de los empleados.
el registro en foros y Tomar acciones disciplinarias sobre los
redes sociales empleados que usen la cuenta de correo
empresarial para tratar temas diferentes a los
CORRECTIVO
laborales. En caso de detectarse que se ha
comprometido la cuenta de correo del
empleado deshabilitar la misma.
Algunos de los
empleados conectan
dispositivos personales
no seguros a la red de Ejercer controles de seguridad para la
la empresa lo que PREVENTIVO conexin de dispositivos no permitidos a la red
puede generar huecos de la empresa.
de seguridad dando
cabida a la entrada de
piratas cibernticos

Aporte: William Mario Villa Castro
Anlisis y evaluacin de riesgos:

Probabilidad Impacto
N Descripcin
Baja Media Alta Leve Moderado Catastrfico
Falta de un plan
R1 x x
Escuelaestratgico
de Ciencias Bsicas, Tecnologa e Ingeniera
Falta de conocimiento
de la importancia de
R2 x x
un plan estratgico
de TI
Falta de un plan de
desarrollos de
R3 X X
aplicaciones para
toma de decisiones
Falta de un manual
de aplicaciones
donde se registre el
R4 x X
uso y la confiabilidad
de los datos de la
empresa.
Falta de un plan para
R5 la adquisicin de X x
recurso tecnolgicos
falta de personal
especializado para
R6 dar asesoras sobre x x
las tecnologas
Falta de un modelo
R7 de informacin X x
empresarial.
Falta de un plan de
R8 x x
infraestructura de TI.
Falta de unos
R9 estndares X X
Tecnolgicos.
Falta de un monitoreo
R10 de las evoluciones x X
Tecnolgicas.
Falta de herramientas
R11 para la clasificacin x X
TI.
Falta de definicin de Fase 3|Trabajo colaborativo III
R12 responsabilidades y X X
Alto
R5 R1, R12
PROBABILID
61-100%
Medio
R3 R2,R4,R6,R9,r10,R11 R13
31-60%
Bajo
R7,R8
0-30%

AD
IMPACTO
Tabla Hallazgos
REF
HALLAZGO 1
HHDN_0
1
PROCESO PGINA
P01 Definir un Plan Estratgico de TI.
AUDITADO 1 DE 1
RESPONSABLE William Mario Villa Castro
MATERIAL DE
COBIT
SOPORTE
P01 Definir un
Planear y
DOMINIO PROCESO Plan Estratgico
Organizar
de TI.
DESCRIPCIN:

Falta de un plan estratgico: La empresa no cuenta con un diseo de una

planeacin estratgica de TI es necesaria para gestionar y dirigir todos los
recursos de TI en lnea con la estrategia y prioridades del negocio.
Falta de definicin de responsabilidades y roles del personal: La
empresa no cuenta con las jerarquas definidas, sin asignacin de
responsabilidades del personal.
REF_PT: Cuestionario de control: C1 (Anexo 1)
CONSECUENCIAS: No se lleva a cabo una buena planeacin estratgica de

TI, existiendo una falta de negligencia por parte de la gerencia y del personal
encargado de TI, carencia de control sobre la efectividad y eficiencia de los
componentes TI, no cuenta con planes definidos ni planes de contingencia
para cualquier eventualidad.
No se establece con claridad los roles y responsabilidades del personal para el

buen desarrollo y la buena funcionabilidad de la infraestructura tecnolgica.
RIESGO: El porcentaje de riesgo hallado fue alto estando entre un 61% y un

100%, mostrando un impacto catastrfico para la empresa.
RECOMENDACIONES: Debemos hacer una relacin de las metas y los

objetivos con la TI, disear y construir un plan estratgico de TI, construir un
planes tcticos de TI, contratacin de personas idneas en el tema de las TI.

La planeacin estratgica de TI es un proceso documentado, el cual se debe

tener en cuenta para el cumplimiento de los objetivos y las metas definidas por
la empresa.
CUESTIONARIO DE CONTROL
P01 Definir un Plan
DOMINIO Planear y Organizar PROCESO
Estratgico de TI.
OBJETIVO DE CONTROL PO1.1 Administracin del Valor de TI
CONFORME
N ASPECTO EVALUADO SI NO OBSERVACIN
Cuentan con un plan
1 estratgico de TI la X
empresa?
Conoce la necesidad
la empresa de contar
2 X
con un plan estratgico
de TI?
P02. Definir la
DOMINIO Planear y Organizar PROCESO Arquitectura de la
Informacin.
OBJETIVO DE PO2.1 Modelo de Arquitectura de Informacin
CONTROL Empresarial
Se mantiene un
desarrollo de
3 aplicaciones para la x
toma de decisiones de
la empresa?

Existe algn manual

de aplicaciones o
actividades donde se
4 x
registre el uso y la
confiabilidad de los
datos de la empresa?
Cuentan con una base
5 x
de datos la empresa?
Cuentan con un
inventario de todos los
6 x
componentes de la
infraestructura de TI?
Existe un plan para la
7 adquisicin de recurso x
tecnolgico?
PROCESO P03. Determinar la
DOMINIO Planear y Organizar
Direccin Tecnolgica.
OBJETIVO DE
PO3.1 Planeacin de la Direccin Tecnolgica
CONTROL
Cuenta la empresa
con asesoras de
8 personal especializado x
con respecto a las
tecnologas?

4. TABLA DE HALLAZGOS PROCESO: DS5 GARANTIZAR LA SEGURIDAD DE

LOS SISTEMAS
TABLA HALLAZGO 1
REF
HALLAZGO 1
HHDN_O1
PROCESO Planes para la recuperacin de PGINA

AUDITADO informacin. 1 DE 1
RESPONSABLE Enrique David Pinto Peralta
MATERIAL DE
COBIT
SOPORTE
DS5 Garantizar la
DOMINIO Entregar y Dar Soporte PROCESO Seguridad de los
Sistemas
DESCRIPCIN:
No se cuenta con un plan de recuperacin de informacin, en caso que

se produzca prdida parcial o total de la misma.
No se realiza de manera organizada ni peridica las copias de
seguridad o backup de la informacin de la empresa.
No existe una persona encargada de realizar y custodiar las copias de

seguridad o backup de la informacin de la empresa.

REF_PT:
CUESTIONARIO DE CONTROL C2 (ANEXO 2)
CONSECUENCIAS:
Al no existir un plan de recuperacin de informacin, en el momento que

se produzca una prdida parcial o total de la misma, esa informacin no
podr recuperarse, lo cual puede incluso llevar a la desaparicin de la
empresa.
Al no realizar de manera peridica ni organizada las copias de

seguridad de la empresa, cualquier informacin que pueda llegar a
borrarse est en riesgo de no volver a ser recuperada.
Al no existir una persona encargada de realizar y custodiar las copias

de seguridad en la empresa, existe un alto porcentaje que estas nunca
se realicen o se hagan de manera muy espordica, lo cual hace
vulnerable de una perdida en cualquier momento a la informacin de la
empresa.
RIESGO:
Probabilidad de ocurrencia: 100

Impacto segn relevancia del proceso: Alto
RECOMENDACIONES:
Elaborar un plan de acciones a realizar en caso que se produzca una

prdida parcial o total de la informacin de la empresa.
Elaborar un cronograma para la realizacin de las copias de seguridad
o backup de la informacin de la empresa, de manera que permita tener
siempre presente la importancia de su realizacin diaria.
Asignarle a una persona la responsabilidad de la realizacin y custodia

de las copias de seguridad de la informacin de la empresa, de manera

que no existan pretextos para la no realizacin de las mismas.
TABLA HALLAZGO 2
REF
HALLAZGO 2
HHDN_O2
Nivel de Capacitacin del personal PGINA

PROCESO encargado de Mantenimiento del
AUDITADO cableado estructurado y de la Red en 1 DE 1
General.
MATERIAL DE
COBIT
SOPORTE
DS5 Garantizar la
Sistemas
DESCRIPCIN:
No existe personal capacitado para la realizacin de los mantenimientos

del cableado estructurado de la red y de los equipos que la componen.
No existe un plan de capacitacin para el personal tcnico encargado
del mantenimiento de los equipos y cableado estructurado que integran
la red de la empresa, de manera que se garantice su adecuado
funcionamiento.
REF_PT:

CONSECUENCIAS:
Al no contar con personal adecuadamente capacitado para la

realizacin de los mantenimientos de los equipos y del cableado
estructurado de la red se puede producir una reduccin en los niveles
de seguridad de la red de la empresa, exponiendo de esta manera toda
la informacin confidencial de la misma a personas inescrupulosas que
pretendan acceder a dicha informacin, as como a softwares
maliciosos que puedan llegar a ocasionar prdida parcial o total de
dicha informacin. Adems, si los mantenimientos no se realizan de
manera correcta, se puede producir una disminucin en los niveles de
productividad de los empleados, motivado por errores de conexin que
no permiten ingresar o vuelven ms lentos los sistemas manejados en
la empresa.
Al no existir un plan de capacitacin para el personal encargado del

mantenimiento de los equipos y cableado estructurado de la red de la
empresa, siempre va a existir un desconocimiento en dicho personal
que puede llevarlo en cualquier momento a cometer errores durante la
realizacin de dichos mantenimientos que pueden poner en riesgo la
informacin y actividades de la empresa.
RIESGO:

RECOMENDACIONES:
Contratar personal capacitado que se encargue de la realizacin de los

mantenimientos de los equipos y el cableado que conforman la red de la
empresa, de manera que se garantice la seguridad de la misma.
Elaborar un plan de capacitaciones peridicas al personal encargado

del mantenimiento del cableado y los equipos que integran la red de la

empresa, de manera que siempre se garantice la realizacin de estos
mantenimientos de manera adecuada.
TABLA HALLAZGO 3
REF
HALLAZGO 3
HHDN_O3
PROCESO Control en la Compra de los Softwares PGINA

AUDITADO Antivirus. 1 DE 1
MATERIAL DE
COBIT
SOPORTE
DS5 Garantizar la
Sistemas
DESCRIPCIN:
No existen informes previos que recomienden y avalen la compra de los

antivirus que se han adquirido hasta el momento en la empresa.
No se tienen identificadas las necesidades de seguridad de la

informacin de la empresa, de manera que con base en estas
necesidades se pueda determinar cul es el antivirus indicado para
comprar.

REF_PT:
ENTREVISTA (ANEXO 3)
CONSECUENCIAS:
Al no existir informes previos que recomienden y avalen la compra de

un determinado Antivirus, se terminaran utilizando otros criterios, para
comprar los antivirus, tales como precio, facilidad de descarga, facilidad
de instalacin, entre otros, lo cual hace que la informacin de la
empresa este permanentemente en riesgo, dado que lo ms probable
es que los antivirus adquiridos no cumplan con los requisitos mnimos
de seguridad de la informacin.
Al no tener identificadas las necesidades de seguridad de la informacin

de la empresa, los antivirus que se compren no van a brindar los niveles
de seguridad requeridos por la empresa, razn por la cual la
informacin de la misma va a estar todo el tiempo vulnerable a la accin
de personas y softwares maliciosos.
RIESGO:

RECOMENDACIONES:
Elaborar un informe cada vez que se requiera adquirir un software

Antivirus, con el fin de determinar, de acuerdo a sus caractersticas y a
las necesidades de seguridad de la informacin de la empresa, cual es
el ms indicado para comprar.
Elaborar un estudio que permita identificar claramente cules son las

necesidades de seguridad de la informacin de la empresa, de manera
que establezca que informacin requiere mayor grado de seguridad y
cual menor seguridad. Adems, el estudio debe permitir identificar
cuales equipos de cmputo manejan la informacin que requiere mayor
seguridad y cul es la manera de transportar dicha informacin, ya sea

a travs de la red, de una intranet o de dispositivos tales memorias usb

o cds; todo lo anterior, con el objetivo de determinar cul es el antivirus
ms idneo para salvaguardar la informacin de la empresa.
ANLISIS Y EVALUACIN DE RIESGOS

TABLA DE VALORACIN DE LOS RIESGOS
N Descripcin Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrfico
R1 Falta de control de X X
cuentas de usuario
R2 Falta de control en X X
los permisos y
privilegios de cada
una de las cuentas
de usuario de la
empresa.
R3 Falta de revisin de X X
la gestin de las
cuentas de usuario
existentes
R4 Falta de revisin X X
peridica de los
equipos de cmputo
para detectar algn
software malicioso
R5 Falta de control en X X
la compra de los
Antivirus instalados
R6 No existe registro X X
de los softwares
maliciosos
encontrados
R7 No existe control de X X
los dispositivos de
almacenamiento
(usb, cd, discos).
R8 Falta de controles X X
de acceso a la
informacin
R9 No existe un firewall X X
activo

R1 No existe un Control X X
0 y monitoreo en el
acceso a Internet
R11 Mantenimiento del X X
cableado
estructurado por
parte de personal
poco capacitado
R1 Ausencia de planes X X
2 para recuperacin
de informacin
R1 No se garantiza la X X
3 seguridad en las
conexiones
R1 Desconocimiento en X X
4 seguridad
informtica de los
empleados
MATRIZ DE RIESGOS

R6 R5, R11, R14 R8, R12

Alto
61-100%
Medio R3 R1, R9 R13
PROBABILIDAD
31-60%
Bajo R2 R4, R7, R10

0-30%
IMPACTO
Menor impacto o probabilidad de ocurrencia
Probabilidad y ocurrencia media
Alta probabilidad de ocurrencia
5. TABLA DE TRATAMIENTO DE RIESGOS
ID. Descripcin Riesgo Tratamiento Riesgo

Riesgo

R1 Falta de control de cuentas de usuario Controlarlo

R2 Falta de control en los permisos y Controlarlo
privilegios de cada una de las cuentas de
usuario de la empresa.
R3 Falta de revisin de la gestin de las Aceptarlo
cuentas de usuario existentes
R4 Falta de revisin peridica de los equipos Controlarlo
de cmputo para detectar algn software
malicioso
R5 Falta de control en la compra de los Controlarlo
Antivirus instalados
R6 No existe registro de los softwares Controlarlo
maliciosos encontrados
R7 No existe control de los dispositivos de Controlarlo
almacenamiento (usb, cd, discos).
R8 Falta de controles de acceso a la Controlarlo
informacin
R9 No existe un firewall activo Eliminarlo
R10 No existe un Control y monitoreo en el Controlarlo
acceso a Internet
R11 Mantenimiento del cableado estructurado Transferirlo
por parte de personal poco capacitado
R12 Ausencia de planes para recuperacin Eliminarlo
de informacin
R13 No se garantiza la seguridad en las Controlarlo
conexiones
R14 Desconocimiento en seguridad Controlarlo
informtica de los empleados
6. TABLA DE CONTROLES DE LOS RIESGOS
RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES

ENCONTRADOS CONTROL
Falta de control de CORRECTIVO Control sobre la creacin, modificacin
cuentas de usuario o eliminacin de alguna cuenta de
usuario, dejando como constancia un
acta cada vez que se realice uno de
estos procesos.

Falta de control en los CORRECTIVO Controlar que los permisos y privilegios

permisos y privilegios de otorgados a cada una de las cuentas de
cada una de las cuentas usuario, sean de acuerdo a las
de usuario de la funciones que desarrolla el dueo de la
cuenta.
empresa.
Falta de revisin de la PREVENTIVO Hacer revisiones peridicas de la
gestin de las cuentas de gestin desarrollada por cada una de
usuario existentes las cuentas de usuario, dejando como
constancia un informe de dichas
revisiones.
Falta de revisin PREVENTIVO Revisar peridicamente los equipos de
peridica de los equipos cmputo, para establecer si tienen
de cmputo para instalado algn tipo de software
detectar algn software malicioso que ponga en riesgo la
seguridad de la informacin de la
malicioso
empresa.
Falta de control en la CORRECTIVO Comprar los Antivirus con base en un
compra de los Antivirus informe que avale dicha compra, de
instalados acuerdo a las necesidades de seguridad
de la informacin de la empresa.
No existe registro de los CORRECTIVO Llevar un registro de los softwares
softwares maliciosos maliciosos encontrados en los equipos
encontrados de cmputo, indicando el procedimiento
realizado para eliminarlo.
No existe control de los PREVENTIVO Deshabilitar los puertos usb y unidades
dispositivos de pticas en los equipos que no son
almacenamiento (usb, necesarios, para evitar transferir
cd, discos). softwares maliciosos o robo de
informacin a travs de memoria usb o
cds.
Falta de controles de PREVENTIVO Control en el acceso a la informacin,
acceso a la informacin de manera que cada empleado pueda
acceder solo a la informacin que
necesita para el adecuado desarrollo de
sus funciones.
No existe un firewall PREVENTIVO Contar con un Firewall que brinde
activo mayor seguridad a la red, de manera
que bloquee el contenido que considera
que pone en riesgo dicha seguridad.
No existe un Control y CORRECTIVO Controlar el acceso a las pginas web,
monitoreo en el acceso a bloqueando el acceso a aquellas
Internet pginas que no brindan ningn tipo de
beneficio para el desarrollo de las
actividades laborales.

Mantenimiento del CORRECTIVO Contratar personal capacitado para la

cableado estructurado realizacin de los mantenimientos del
por parte de personal cableado estructurado y de los dems
poco capacitado equipos que conforman la red.
Ausencia de planes para PREVENTIVO Elaborar un plan determine los pasos a
recuperacin de seguir para recuperar informacin, en
informacin caso que se produzca prdida de la
misma. Dicho plan debe contemplar
distintas causas posibles que produzcan
perdida de informacin. Adems, en
este plan se debe incluir el cronograma
de las copias de seguridad a realizar,
estableciendo la cantidad de backup por
das y las horas de realizacin de los
mismos.
No se garantiza la CORRECTIVO Garantizar la seguridad de los sistemas
seguridad en las mediante la realizacin de
conexiones mantenimientos de la red por personal
capacitado, la compra de antivirus
licenciados, la compra de equipos de
red y de computo de ltima tecnologa
que brinden una mayor seguridad, entre
otros.
Desconocimiento en CORRECTIVO Capacitar a los empleados en seguridad
seguridad informtica de informtica, de manera que tomen las
los empleados precauciones necesarias para evitar
cualquier tipo de perdida de informacin
por algn descuido o error humano.
Conclusiones
Pudo observarse la utilidad de la aplicacin de los conceptos estudiados en la

tercera unidad del curso de auditora de sistemas para el anlisis de los riesgos
detectados en cada proceso de la empresa y ayudar en la toma de decisiones
respecto al tratamiento y controles que deben llevarse a cabo para prevenirlos,

detectarlos y/o controlarlos y de esa manera buscar mejores condiciones para el

desarrollo de las actividades de la empresa.
Referencias bibliogrficas
Astello, R. J. (2015). Auditoria en entornos informticos. Recuperado

de http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981

Solares, P., Baca, G., Acosta, E. (2010). Administracin informtica: Anlisis y

evaluacin de tecnologas de la informacin. Recuperado
de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?
docID=11013780
Maci, F. (2005). Desarrollo de grandes aplicaciones distribuidas sobre internet.

Recuperado de http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO
%3aaci&genre=book&issn=&ISBN=9788479088156&volume=&issue=&date=2005
0101&spage=171&pages=171-
186&title=Desarrollo+de+Grandes+Aplicaciones+Distribuidas+Sobre+Internet&atitl
e=AUDITOR%c3%8dA+E+INFORM%c3%81TICA%3a+ALGUNAS+T
%c3%89CNICAS+ACTUALES.&aulast=Blanco+Encinosa%2c+L
%c3%a1zaro+J.&id=DOI%3a&site=ftf-live
Anexos, cuestionario de control: C1
Oficina principal Softcaribbean S.A.

Cuestionario de Control: C1
Dominio ENTREGAR Y DAR SOPORTE

Proceso DS7: Educar y Entrenar a los Usuarios
Pregunta Si No OBSERVACIONES
DS7.1 Identificacin de Necesidades de Entrenamiento y
OBJETIVO DE CONTROL
Educacin
Se cuenta con un programa de capacitacin en el
uso seguro de las herramientas informticas para los 5
empleados?
Los nuevos empleados son capacitados antes del
3
inicio de sus actividades laborales?
OBJETIVO DE CONTROL DS7.2 Imparticin de Entrenamiento y Educacin
Se capacita al personal en cuanto a las nuevas Semestral

5
amenazas que surgen?
Se cuenta con un repositorio de informacin acerca Accesible para todos los
de la seguridad en el uso de las herramienta TIC en la 4 empleados (Digital o
empresa? fsico)
Se realizan campaas de prevencin de conductas
3
inseguras para los empleados?
OBJETIVO DE CONTROL DS7.3 Evaluacin del Entrenamiento Recibido
Se posee un registro de problemas de seguridad

3
presentados a los empleados?
En el registro de problemas se tiene en cuenta con
los siguientes datos?
Fecha
Nmero de registro
3
Identificacin del empleado
Detalle del problema
Detalle de las causas
Detalle de la solucin aplicada
TOTALES 7 19

ANEXO 2.
CUESTIONARIO DE CONTROL C2
EMPRESA SOFTCARIBBEAN S.A.

Cuestionario de Control: C2
Dominio Entregar y Dar Soporte
Proceso DS5 Garantizar la Seguridad de los Sistemas
OBJETIVO DE CONTROL DS5.4 Administracin de Cuentas del Usuario

Pregunta Si No OBSERVACIONES
Se cuenta con un listado detallado de las 4
cuentas de usuario de la empresa?
Si existe el listado, Contiene los siguientes
tems?
Cuenta de Usuario

Nombre del empleado propietario de la cuenta

Identificacin del empleado propietario de la
cuenta
Cargo del empleado propietario de la cuenta
Fecha de creacin de la cuenta
Perfiles activos y privilegios de la cuenta
Se lleva un procedimiento para la creacin, 4
modificacin o eliminacin de las cuentas de
usuarios?
OBJETIVO DE CONTROL DS5.9 Prevencin, Deteccin y Correccin de Software
Malicioso
De los antivirus instalados se cuenta con los 4
siguientes datos?
Nombre del antivirus
Licencia del antivirus
Fecha de Compra
Fecha de Instalacin
Fecha de Caducidad
Se lleva un procedimiento para la adquisicin de 4
nuevos antivirus?
Se posee un registro de los softwares maliciosos 3
encontrados en los equipos de cmputo?
En el registro de los softwares maliciosos se
tiene en cuenta con los siguientes datos?
Nombre del Software malicioso
Caractersticas
Fecha en la que se encontr
Nmero del Computador
Proceso utilizado para eliminar el software
malicioso
Al momento de encontrar un software malicioso De una a 24
en un equipo, la atencin que se presta es? Horas
Inmediata
De una a 24 horas
De un da a 5 das
Ms de 5 das
OBJETIVO DE CONTROL DS5.10 Seguridad de la Red
Se cuenta con un plan de control y acceso a la 3
internet, con el fin de preservar la seguridad de la
informacin de la empresa?
Cuentan con algn plan de recuperacin de 3

informacin en caso que se produzca prdida de

la misma?
Cada cunto se realiza mantenimiento al 4 Cada 4 Meses
cableado estructurado de la red, con el objetivo de
conservar sus condiciones mnimas de seguridad?
Qu tipo de mantenimiento se lleva a cabo? Correctivo
Mantenimiento preventivo
Mantenimiento correctivo
El personal que se encarga del mantenimiento es 4
personal capacitado?
TOTALES 19 14
ANEXO 3.
ENTREVISTA
REF
ENTIDAD SOFTCARIBBEAN S.A. PAGINA

AUDITADA 1 D 1
E
OBJETIVO Garantizar la proteccin de la informacin e infraestructura de los
AUDITORA Sistemas de Informacin de la empresa, con el fin de minimizar el
impacto causado por violaciones o debilidades de seguridad de los
mismos.
PROCESO Contratacin TI
AUDITADO
RESPONSABLE ENRIQUE DAVID PINTO PERALTA
MATERIAL DE SOPORTE COBIT
DOMINIO PROCE DS5 Garantizar la Seguridad de los
Entregar y Dar Soporte
SO Sistemas

OBJETIVO DE CONTROL DS5.4 Administracin de Cuentas del Usuario

N
CUESTIONARIO RESPUESTA
Se realiza una solicitud ante la

oficina de recursos humanos,
exponiendo los motivos por los
Cul es el procedimiento que se sigue cuales se solicita la creacin,
1 para poder Crear, Modificar o Eliminar modificacin o eliminacin de la
alguna cuenta de usuario? cuenta. En dicha oficia, en
conjunto con la gerencia, se
decide si aceptar o no la solicitud
enviada.
Los perfiles y privilegios se
Cul es el criterio que utilizan para otorgar otorgan dependiendo de las
2 los perfiles y privilegios de las cuentas de funciones desarrolladas por los
usuarios de la empresa? empleados propietarios de cada
una de las cuentas.
Si se realiza una revisin de la
Realizan revisin de la gestin de cada
gestin de las cuentas de usuario.
una de las cuentas de usuarios creadas?,
Dicha revisin se realiza una vez
3 En caso de ser afirmativa la respuesta,
al ao. Sin embargo, de estas
Cada cunto realizan la revisin de la
revisiones no se deja constancia
gestin de las cuentas de usuario?
alguna.
DS5.9 Prevencin, Deteccin y Correccin de Software
OBJETIVO DE CONTROL
Malicioso
N
Cuentan todos los equipos de cmputo Si todos los equipos de cmputo

1 con antivirus debidamente instalados y con cuentan con antivirus instalado,
su respectiva licencia? con su licencia.
Cul es el criterio que utilizan para En realidad, no existe ningn
2 escoger los antivirus instalados en los criterio para la adquisicin de los
equipos de cmputo? antivirus.
3 Cada cunto realizan un escaneo en los El escaneo de los equipos de

equipos de cmputo, a fin de determinar si

cmputo se realiza de manera
cuentan con algn archivo o software
mensual.
malicioso instalado?
Una vez se encuentra algn
software malicioso en un
computador, se procede a
eliminarlo del equipo en el cual se
Cul es el protocolo que siguen una vez
encontraba. Adems, se verifica
4 se encuentra algn software malicioso en
que tanto dao logro causar dicho
un equipo?
virus y, por ltimo, se examinan
los dems equipos para verificar
que tanto logro expandirse el
software malicioso encontrado.
OBJETIVO DE CONTROL DS5.10 Seguridad de la Red
N
Si actualmente se cuenta con un

plan de control y acceso al
Cuentan con algn plan de control y internet, que permite el bloquea el
1
acceso a la internet? acceso a ciertas pginas web que
poseen contenido potencialmente
peligroso e inadecuado.
Cada cunto se revisa el cableado
El cableado estructurado se revisa
2 estructurado, con el fin de establecer en
cada 6 meses.
qu condiciones se encuentra?
La verdad nicamente se tiene
conocimiento de los problemas
Con que frecuencia se acercan a los
que los empleados presentan en
empleados de la empresa, con el fin de
3 la red, cuando stos se acercan a
conocer cules son las mayores dificultades
comunicarnos que no pueden
que estos afrontan en la red?
trabajar debido a algn
inconveniente de red presentado.

ENTREVISTADO CARLOS PREZ CARRANZA

CARGO JEFE DE SISTEMAS

Colaborativo Auditoria de Sistemas

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Colaborativo Auditoria de Sistemas

Uploaded by

Copyright:

Available Formats

Universidad Nacional Abierta y a Distancia

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

Fase 3 ejecucin: Hallazgos de la auditoria, Tratamiento de riesgos,

Vctor Julio Martnez Barrios

William Mario Villa Castro

Enrique David Pinto Peralta

Grupo colaborativo: 90168_6

Yolima Esther Mercado Palencia

Universidad Nacional Abierta y a Distancia

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

Fase 3|Trabajo colaborativo III

1 Cuadro de tratamiento de riesgos del proceso: DS7 Educar y Entrenar a los

2 Hallazgos del proceso: DS7 Educar y Entrenar a los Usuarios.........................7

3 Cuadro de controles propuestos del proceso: DS7 Educar y Entrenar a los

4. Tabla de hallazgos proceso: DS5 Garantizar la Seguridad de los

5. Tabla de Tratamiento de Riesgos

6. Tabla de Controles de Riesgos ...

Anexo1 Cuestionario de Control: C1.......................................................................32

Anexo 2 Cuestionario de Control C2 ...

Fase 3|Trabajo colaborativo III

En el mismo se abordan las temticas que conforman la unidad didctica 3 del

Fase 3|Trabajo colaborativo III

Aplicar los conceptos abordados en la unidad 3 del curso de auditora de

Analizar la matriz de riesgos de cada proceso del estndar COBIT

Fase 3|Trabajo colaborativo III

1 Cuadro de tratamiento de riesgos del proceso: DS7

Antes que nada, debemos recordar la matriz de riesgos detectados para el

Fase 3|Trabajo colaborativo III

Leve Moderado Catastrfico

N Descripcin Riesgo Tratamiento Riesgo

2 Hallazgos del proceso: DS7 Educar y Entrenar a los

Fase 3|Trabajo colaborativo III

PROCESO Capacitacin a empleados acerca del PGINA

RESPONSABLE Vctor Julio Martnez Barrios

Se encuentra que la empresa no cuenta con un plan de capacitaciones

Cuestionario de control: C1 (Anexo 1)

Fase 3|Trabajo colaborativo III

La falta de capacitacin de los empleados en temas relacionados con

Probabilidad de ocurrencia: 100%

Impacto segn relevancia del proceso: Alto.

Implementar un programa de capacitacin para los empleados de la

Fase 3|Trabajo colaborativo III

3 Cuadro de controles propuestos del proceso: DS7

Fase 3|Trabajo colaborativo III

Capacitar al personal de sistemas en el

Fase 3|Trabajo colaborativo III

Aporte: William Mario Villa Castro

Anlisis y evaluacin de riesgos:

Fase 3|Trabajo colaborativo III

Leve Moderado Catastrfico

RESPONSABLE William Mario Villa Castro

Fase 3|Trabajo colaborativo III

Falta de un plan estratgico: La empresa no cuenta con un diseo de una

REF_PT: Cuestionario de control: C1 (Anexo 1)

CONSECUENCIAS: No se lleva a cabo una buena planeacin estratgica de

No se establece con claridad los roles y responsabilidades del personal para el

RIESGO: El porcentaje de riesgo hallado fue alto estando entre un 61% y un

RECOMENDACIONES: Debemos hacer una relacin de las metas y los

Fase 3|Trabajo colaborativo III

La planeacin estratgica de TI es un proceso documentado, el cual se debe

Fase 3|Trabajo colaborativo III

Existe algn manual

Fase 3|Trabajo colaborativo III