Professional Documents
Culture Documents
Tutor
Auditoria de sistemas
2017
Contenido
Introduccin...............................................................................................................3
Objetivos....................................................................................................................4
Objetivo general.....................................................................................................4
Objetivos especficos.............................................................................................4
Conclusiones...........................................................................................................30
Referencias bibliogrficas........................................................................................31
Anexo 3 Entrevista 36
Introduccin
El presente informe se entrega como evidencia del desarrollo del tercer trabajo
colaborativo del curso de auditora de sistemas en la universidad nacional abierta
y a distancia UNAD.
Para cada uno de los procesos del estndar COBIT que se han venido trabajando,
se presenta el cuadro de tratamiento de los riesgos encontrados, as como los
hallazgos y los controles propuestos para dichos riesgos.
Objetivos
Objetivo general
Objetivos especficos
Probabilidad Impacto
N Descripcin
B M A L M C
No se capacita al personal en temas relacionados con la
R1 X X
seguridad informtica
Falta de capacitacin y sensibilizacin del personal del
R2 X X
rea de sistemas
No existe un control sobre los insumos y recursos
informticos que la empresa compra, lo cual permite que
R3 estos sean utilizados para tareas diferentes a las X X
previstas, haciendo que stos se acaben de una manera
ms rpida
Los empleados no usan VPN para conectarse a la red de
R4 X X
la empresa
Uso indebido del correo electrnico para el envo de
R5 informacin a personal externo o para el registro en foros X X
y redes sociales.
Algunos de los empleados conectan dispositivos
personales no seguros a la red de la empresa lo que
R6 X X
puede generar huecos de seguridad dando cabida a la
entrada de piratas cibernticos
Alto
61- R1, R5 R4
100%
PROBABILIDAD
Medio
R3 R2 R6
31-60%
Bajo
0-30%
IMPACTO
REF
HALLAZGO 1 HHDN_0
1
MATERIAL DE
COBIT
SOPORTE
DOMINI ENTREGAR Y DAR PROCES DS7: Educar y Entrenar
O SOPORTE O a los Usuarios
DESCRIPCIN:
REF_PT:
CONSECUENCIAS:
RIESGO:
RECOMENDACIONES:
Riesgos o hallazgos
Tipo de control Soluciones o controles
encontrados
Falta de capacitacin y PREVENTIVO Construir un plan de capacitaciones peridicas
sensibilizacin del para el personal de sistemas en las que se
personal del rea de actualicen los conocimientos de los mismos.
recurso tecnolgicos
falta de personal
especializado para
R6 dar asesoras sobre x x
las tecnologas
Falta de un modelo
R7 de informacin X x
empresarial.
Falta de un plan de
R8 x x
infraestructura de TI.
Falta de unos
R9 estndares X X
Tecnolgicos.
Falta de un monitoreo
R10 de las evoluciones x X
Tecnolgicas.
Falta de herramientas
R11 para la clasificacin x X
TI.
Falta de definicin de Fase 3|Trabajo colaborativo III
R12 responsabilidades y X X
Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Bsicas, Tecnologa e Ingeniera
Auditoria de sistemas - 90168
Alto
R5 R1, R12
PROBABILID
61-100%
Medio
R3 R2,R4,R6,R9,r10,R11 R13
31-60%
Bajo
R7,R8
0-30%
IMPACTO
Tabla Hallazgos
REF
HALLAZGO 1
HHDN_0
1
PROCESO PGINA
P01 Definir un Plan Estratgico de TI.
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
P01 Definir un
Planear y
DOMINIO PROCESO Plan Estratgico
Organizar
de TI.
DESCRIPCIN:
CUESTIONARIO DE CONTROL
P01 Definir un Plan
DOMINIO Planear y Organizar PROCESO
Estratgico de TI.
OBJETIVO DE CONTROL PO1.1 Administracin del Valor de TI
CONFORME
N ASPECTO EVALUADO SI NO OBSERVACIN
Cuentan con un plan
1 estratgico de TI la X
empresa?
Conoce la necesidad
la empresa de contar
2 X
con un plan estratgico
de TI?
P02. Definir la
DOMINIO Planear y Organizar PROCESO Arquitectura de la
Informacin.
OBJETIVO DE PO2.1 Modelo de Arquitectura de Informacin
CONTROL Empresarial
Se mantiene un
desarrollo de
3 aplicaciones para la x
toma de decisiones de
la empresa?
REF
HALLAZGO 1
HHDN_O1
MATERIAL DE
COBIT
SOPORTE
DS5 Garantizar la
DOMINIO Entregar y Dar Soporte PROCESO Seguridad de los
Sistemas
DESCRIPCIN:
REF_PT:
CONSECUENCIAS:
RIESGO:
RECOMENDACIONES:
TABLA HALLAZGO 2
REF
HALLAZGO 2
HHDN_O2
MATERIAL DE
COBIT
SOPORTE
DS5 Garantizar la
DOMINIO Entregar y Dar Soporte PROCESO Seguridad de los
Sistemas
DESCRIPCIN:
REF_PT:
CONSECUENCIAS:
RIESGO:
RECOMENDACIONES:
TABLA HALLAZGO 3
REF
HALLAZGO 3
HHDN_O3
MATERIAL DE
COBIT
SOPORTE
DS5 Garantizar la
DOMINIO Entregar y Dar Soporte PROCESO Seguridad de los
Sistemas
DESCRIPCIN:
REF_PT:
CUESTIONARIO DE CONTROL C2 (ANEXO 2)
ENTREVISTA (ANEXO 3)
CONSECUENCIAS:
RIESGO:
RECOMENDACIONES:
R2 Falta de control en X X
los permisos y
privilegios de cada
una de las cuentas
de usuario de la
empresa.
R3 Falta de revisin de X X
la gestin de las
cuentas de usuario
existentes
R4 Falta de revisin X X
peridica de los
equipos de cmputo
para detectar algn
software malicioso
R5 Falta de control en X X
la compra de los
Antivirus instalados
R6 No existe registro X X
de los softwares
maliciosos
encontrados
R7 No existe control de X X
los dispositivos de
almacenamiento
(usb, cd, discos).
R8 Falta de controles X X
de acceso a la
informacin
R9 No existe un firewall X X
activo
R1 No existe un Control X X
0 y monitoreo en el
acceso a Internet
R11 Mantenimiento del X X
cableado
estructurado por
parte de personal
poco capacitado
R1 Ausencia de planes X X
2 para recuperacin
de informacin
R1 No se garantiza la X X
3 seguridad en las
conexiones
R1 Desconocimiento en X X
4 seguridad
informtica de los
empleados
MATRIZ DE RIESGOS
31-60%
IMPACTO
Conclusiones
Referencias bibliogrficas
Pregunta Si No OBSERVACIONES
DS7.1 Identificacin de Necesidades de Entrenamiento y
OBJETIVO DE CONTROL
Educacin
Se cuenta con un programa de capacitacin en el
uso seguro de las herramientas informticas para los 5
empleados?
Los nuevos empleados son capacitados antes del
3
inicio de sus actividades laborales?
ANEXO 2.
CUESTIONARIO DE CONTROL C2
ANEXO 3.
ENTREVISTA
REF