AUDITORIA DE SISTEMAS

90168A_362

UNIDAD 3
FASE DE EJECUCIN DE LA AUDITORA

CARLOS EDUARDO MORENO - CDIGO: 79.063.798

FRANKLIN ALFREDO CAMPO - CDIGO: 76.331.287
JEIMER ALEXANDER MATOREL - CDIGO: 79.877.305

GRUPO: 90168_28

TUTOR
JOSE ALFAIR MORALES

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA (UNAD)

AGOSTO DE 2017
 INTRODUCCIN
En el siguiente trabajo se realizan los pasos correspondientes a la ejecucin de auditora de
sistemas en una empresa EPS del rgimen subsidiado en el rea tecnolgica, aplicando conceptos
de objetos de control para informacin y tecnologas CobiT para definir dominios de aplicacin
utilizando un tipo de aprendizaje basado en proyectos, el cual tiene enormes ventajas al trabajar
con casos de uso reales en donde se han podido aplicar conceptos y conocimientos adquiridos en
la unidad uno planeacin de auditora correspondiente al programa de auditora de sistemas.

OBJETIVOS
- Utilizando el aprendizaje basado en proyectos en la empresa Asmet Salus EPS
seleccionada previamente con el fin de desarrollar y aplicar los conocimientos adquiridos
en la unidad uno material de apoyo conceptos generales de auditora de sistemas Magerit
relacionado con la valuacin de activos.

- Emplear la gua de mejores prcticas para identificar los activos que corresponden al
Dominio PO3 Determinar la orientacin Tecnolgica dentro de una organizacin,
entendiendo la importancia de cada uno de ellos mencionando las vulnerabilidades,
amenazas y riesgos en una empresa tomada como caso de uso.
 DESARROLLO DE LA ACTIVIDAD
Carlos Eduardo Moreno Mancera
Matriz de Riesgos

ACTIVO PROBABILIDAD IMPACTO

VULNERABILIDAD AMENAZA RIESGO
INFORMATICO BAJA MEDIA ALTA LEVE MODERADO ALTO
Perdida de
No existe Sistema de
Activos de informacin y
Seguridad de la Ataques al sistema R1 X X
informacin vulnerabilidad del
Informacin.
sistema

Ataques y accesos
Sistema de No se realizan Desconocimiento
al sistema y a la
informacin de auditoras al sistema del estado del R2 X X
informacin de la
la empresa. de informacin sistema
empresa

Los problemas en los Retraso en el

Todos los
equipos no se Deterioro en los desarrollo de las
Equipos de R3 X X
resuelven de manera equipos actividades de la
cmputo.
oportuna empresa
Ataques a los
Pc de recursos El programa antivirus
Virus R4 equipos y perdida X X
Humanos no est actualizado
de informacin
Deterioro en los
Todos los No se documentan los
Daos en los equipos y el
Equipos de fallos de los R5 X X
equipos sistema de
cmputo. computadores
informacin
Accesos no
No se realizan pruebas
Activos de autorizados a la
a la seguridad del Ataques al sistema R6 X X
informacin informacin de la
sistema de IT
empresa
Deterioro en los
Todos los No existe programa de
Daos en los equipos y el
Equipos de mantenimiento R7 X X
equipos sistema de
cmputo. preventivo
informacin
Deterioro en los
Todos los
No se renuevan los Obsolescencia del equipos y el
Equipos de R8 X X
equipos de computo sistema sistema de
cmputo.
informacin
No existe presupuesto Deterioro en los
Sistema de
destinado para el Obsolescencia del equipos y el
informacin de R9 X X
mantenimiento del sistema sistema de
la empresa.
sistema de TI informacin
Informe de Hallazgos

Departamento de informacin de la empresa EPS ASMET SALUD R/PT: P1

Hallazgos de la Auditora H1
Dominio Planear y Organizar
Proceso PO9 - Evaluacin de Riesgos
Objetivo de Control Marco de Trabajo de Administracin de Riesgos
Riesgos Asociados R1, R2, R6
Descripcin
El programa antivirus no est actualizado y no existen registros documentados de los fallos en los
equipos de la empresa.
Recomendacin
Realizar la actualizacin inmediata del software antivirus de la empresa para evitar posibles ataques y
virus en el sistema de informacin. Abrir hojas de vida a todos los equipos de la empresa.
Causa
La falta de un sistema organizado para la gestin y el correcto funcionamiento del rea de informacin
de la empresa.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio alto, en cuanto al impacto es
moderado

Departamento de informacin de la empresa EPS ASMET SALUD R/PT: P2

Hallazgos de la Auditora H2
Dominio Planear y Organizar
Proceso PO9 - Evaluacin de Riesgos
Objetivo de Control Establecimiento del Contexto del Riesgo
Riesgos Asociados R4, R5
Descripcin
La empresa no cuenta con un sistema implementado de Seguridad de la Informacin
Recomendacin
El director del rea de informtica de la empresa, debe gestionar y promover la implementacin del
Sistema de Seguridad de la informacin.
Causa
La falta de un sistema organizado para la gestin y el correcto funcionamiento del rea de informacin
de la empresa.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio alto, en cuanto al impacto es
moderado
 Departamento de informacin de la empresa EPS ASMET SALUD R/PT: P3
Hallazgos de la Auditora H3
Dominio Planear y Organizar
Proceso PO9 - Evaluacin de Riesgos
Objetivo de Control Identificacin de Eventos
Riesgos Asociados R5, R6, R7
Descripcin
No se documentan los fallos de los computadores ni se realizan pruebas a la seguridad del sistema de
informacin de la empresa, no existe un programa de mantenimiento preventivo, solo se limita a la
reparacin de las fallas cuando se presentan.
Recomendacin
Establecer un plan de mantenimiento preventivo con nfasis en la deteccin temprana de posibles fallos
del sistema y as, evitar daos en los equipos.
Causa
Falta de documentacin del sistema de informacin de la empresa y planes de mantenimiento
preventivo.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio alto, en cuanto al impacto es
moderado

Cuadro De Control De Riesgos

RIESGO CONTROL DE RIESGO TIPO DE CONTROL

R1, R2, R6A Realizar la actualizacin
Antivirus no est actualizado. inmediata del software antivirus
No existen registros
de la empresa para evitar
AUTOMATICO
documentados de los fallos en posibles ataques y virus en el
CORRECTIVO
los equipos de la empresa. sistema de informacin. Abrir
hojas de vida a todos los equipos
de la empresa.
R4, R5 Gestionar y promover la
No existe un sistema de implementacin del Sistema de MANUAL
Seguridad de la Informacin en Seguridad de la informacin. CORRECTIVO
la empresa.
R5, R6, R7 Establecer un plan de
Falta documentacin de los mantenimiento preventivo con.
fallos de los computadores.
MANUAL
No se realiza pruebas de
CORRECTIVO
seguridad al sistema.
No existe un programa de
mantenimiento preventivo.
Franklin Alfredo Campo
ACTIVOS DE INFORMACION PROBABILIDAD IMPACTO

MODERADO
MEDIA

ALTO
ALTA
BAJA

LEVE
ACTIVO - TIPO VULNERABILIDAD AMENAZA RIESGO

Bases de El motor de Base Se presenta una R1: El riesgo es de

datos Oracle de Datos no est amenaza de tipo nivel Alto, pues
11G actualizado, no humano pues se ve afectada la
tienen la durante el disponibilidad de
auditorias activas. desarrollo de la aplicacin core
software se del negocio, ya
puede crear que pueden
bugs en la BD, o atacar el servidor
puede ser o bloquearse.
X X
vctima de un
ataque de DOS,
y al no tener
configuradas
correctamente
las auditorias
sera
indetectable
ubicarlo.
Archivos No existe un Se presenta una R2: El riesgo es de
Digitales control amenaza de tipo nivel Alto, pues
centralizado humano puesto se ve afectada la
sobre el acceso a que puede integridad y la
los diferentes ocurrir que confidencialidad
archivos. diferentes de la informacin
usuarios guardada en los
presenten archivos.
informacin
X X
inconsistente,
sea tomada de
diferentes
fuentes, por
otro lado se
puede modificar
la informacin
sin saber quien
lo hizo.
Correo Algunas cuentas la amenaza de R3: El nivel de
Institucional de E-mail no tipo humano riesgo es Alto ya
E-mail estn asignadas a ocurre al utilizar que se ve
empleados cuentas de e- afectado la
especficos esto mail confidencialidad
quiere decir que compartidas es y no Repudio de
son compartidas mas difcil los correos
X X
por varios detectar que electrnicos,
usuarios. empleado o seria indetectable
funcionario en saber quien
particular enva envi, recibe o
y recepcin de elimina correos.
correos
electrnicos.
Desarrollos El software Al no estar R4: El riesgo
Software desarrollado versionado el asociado a esta
Propios internamente en software surge vulnerabilidad es
la empresa, no la amenaza de Alto ya que se ve
est versionado. tipo humana, afectada la
pues es muy integridad,
difcil realizar un disponibilidad y
control de no repudio de la X X
cambios que los informacin de la
ayuden a organizacin.
detectar errores
en la
programacin a
nivel de cdigo y
funcionalidad.
Software El software La amenaza de R5: El nivel de
Adquirido comprado a tipo humana se riesgo asociado a
empresas hace evidente esta
externas no se cuando se vulnerabilidad es
adapta a las requiere un Alto, pues si no
necesidades de la cambio en estas contamos con el
organizacin. aplicaciones y respaldo de los
no se obtiene desarrolladores
X X
respuesta por del software no
parte del podemos adaptar
proveedor. el software a las
necesidades de la
compaa
afectando la
disponibilidad de
la informacin.
Licencias OEM Las Licencias de La amenaza R6: El nivel del
los productos humana surge riesgo es Alto,
software no estn cuando personal pues se ve
guardadas no autorizado afectada la
adecuadamente. puede acceder a confidencialidad
X X
estas licencias y de los activos de
obtener TI, es as como
informacin o estas licencias
sustraerlas. pueden ser
hurtadas.
INFRAESTRUCTURA PROBABILIDAD IMPACTO

MODERADO
MEDIA

ALTO
ALTA
BAJA

LEVE
ACTIVO - TIPO VULNERABILIDAD AMENAZA RIESGO

Servidores Carecen de Esta amenaza R7: Este riesgo

fuentes est asociada al tiene un nivel
redundantes no entorno, si hay Alto ya que si las
tienen Fuentes un fallo elctrico UPS no funcionan
X X
alternas. no hay los servidores se
redundancia y apagan afectando
se apagar el la disponibilidad.
servidor.
Switches No tiene una La amenaza de R8: Este riesgo
buena tipo entorno tiene un nivel
configuracin. genera Alto, ya que si no
broadcast en la est bien
red LAN, configurado el X X
generando switch se genera
lentitud en la broadcast en la
red. red lan afectando
la disponibilidad.
Enrutadores No tiene una La amenaza de R9: El nivel de
configuracin humana, se riesgo asociado
Firewall segura o genera a nivel es Alto, teniendo
zonas DMZ. perimetral, en cuenta que si
puesto que un los servidores son
atacante remoto accedidos o
puede acceder a atacados por
X X
las direcciones atacantes
ip de los informticos
servidores y crakers,
lanzar ataques estaremos
de DOS. afectando la
disponibilidad y
Confidencialidad
 de la
Informacin.

Cableado No se maneja una La amenaza de R10: Este riesgo

Estructurado norma estndar tipo humano tiene un nivel
para todo el surge al intentar
Medio, puesto
cableado. realizar que no es posible
mantenimientos detectar el origen
o identificar del punto de red
nuevos puntos esto ocasiona que X X
de conexin posiblemente se
dentro de Rack deje por fuera un
para las usuario o servidor
conexiones afectando la
nuevas. disponibilidad de
la informacin.
Estaciones de No tienen activo La amenaza de R11: El nivel de
trabajo 20 el Antivirus tipo humano riesgo asociado
surge cuando se es Alto, pues un
puede infectar virus informtico
la estacin de pueden afectar el
cmputo con equipo personal y
algn tipo de a su vez todos los X X
virus equipos de la red.
informctico. Afectando la
disponibilidad y
confidencialidad
de la
informacin.
Porttiles, No tienen clave La amenaza R12: El riesgo
Tablest y de Cifrado en sus humana surge asociado es Alto,
Celulares discos duros. cuando este tipo pues personal no
de dispositivos autorizado puede
son hurtados, y acceder a
la informacin informacin de
que poseen es un equipo
accedida por personal hurtado X X
personas ajenas de la organizacin
a la con fines de
organizacin. extorsin,
afectando la
confidencialidad
de la
informacin.

Hallazgos de la Auditoria por Dominio

Hallazgos de la Auditora 1
Dominio Planear y Organizar
Proceso PO3 Determinar la orientacin tecnolgica
Objetivo de Control PO3.1 Planeamiento de la orientacin tecnolgica
Riesgos Asociados R1,R2,R3,R4,R5,R6,R7,R8,R9,R10,R11,R12
Descripcin
La organizacin si cuenta con un sistema de informacin core del negocio.
Recomendacin
La organizacin debe realizar la revisin y el mantenimiento de la poltica de seguridad de la
informacin e Incluir la seguridad de informacin en el proceso de gestin de continuidad del
negocio con su DRP.
Causa
El no mantenimiento y actualizacin de la poltica de seguridad, desencadenara en que el sistema
se quede obsoleto en el tiempo, si no se realizan pruebas en el DRP no se puede determinar su
correcto funcionamiento.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio bajo, en cuanto al impacto es
moderado.
Hallazgos de la Auditora 2
Dominio Planear y Organizar
Proceso PO3 Determinar la orientacin tecnolgica
Objetivo de Control PO3.2 Plan de infraestructura tecnolgica
Riesgos Asociados R1,R2,R3,R4,R7,R8,R9,R10,R11,R12.
Descripcin
Si existe un plan de arquitectura tecnolgica en la Organizacin el cual involucra infraestructura
tecnolgica y aplicaciones.

Recomendacin
En el momento de adquirir un producto software se debe realizar una evaluacin del producto
empleando normas como ISO/IEC 2196 en donde se evalu la funcionalidad, confiabilidad,
usabilidad, eficiencia, mantenimiento, portabilidad y calidad del software.

Causa
Si no se realiza una evaluacin del los productos software y hardware esto quiere decir que el
plan de arquitectura tecnolgica est mal aplicado.

Nivel del Riesgo

En cuanto a la probabilidad de ocurrencia est clasificado en medio bajo, en cuanto al impacto es
moderado.
Hallazgos de la Auditora 3
Dominio Planear y Organizar
Proceso PO3 Determinar la orientacin tecnolgica
Objetivo de Control PO3.3 Monitoreo de tendencias y regulaciones futuras
Riesgos Asociados R1, R2,R3,R4,R5,R6.
Descripcin
El sistema de Informacin SI satisface y es ajustable a las nuevas regulaciones legales que
establece el gobierno en el sector salud como por ejemplo cuenta con sistemas o mecanismos
que cumplan con la ley de proteccin de datos 1581 del 2012 habeas data
Recomendacin
la organizacin cuenta con procesos de maduracin en adquisicin de nuevas tecnologas.

Causa
Si la organizacin no cuenta con procesos de maduracin en adquisicin de nuevas tecnologas
se expone a sanciones de ley y a quedar rezagada en el tiempo tecnolgicamente.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio bajo, en cuanto al impacto es
moderado.
Hallazgos de la Auditora 4
Dominio Planear y Organizar
Proceso PO3 Determinar la orientacin tecnolgica
Objetivo de Control PO3.4 Estndares tecnolgicos
Riesgos Asociados R7,R8,R9,R10,R11,R12
Descripcin
La organizacin cumple con los estndares de tecnologa a nivel de aplicaciones e
infraestructura como lo son ISO 2000 o ISO 27001 entre otros estndares.
Recomendacin
La organizacin debe continuar aceptando el sistema y fomentando la aplicacin de estndares
como ISO 20000 e ISO 27001 e impulsar el teletrabajo.
Causa
Si la organizacin no est certificada con estndares internacionales no estara cumpliendo en su
totalidad con el objetivo de la seguridad informtica, pues la organizacin debe tener un aval y
un resultado de este proceso.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio bajo, en cuanto al impacto es
moderado.
Hallazgos de la Auditora 4
Dominio Planear y Organizar
Proceso PO3 Determinar la orientacin tecnolgica
Objetivo de Control PO3.5 Consejo de arquitectura de TI
Riesgos Asociados R1,R2,R3,R4,R7,R8,R9,R10,R11,R12.
Descripcin
El rea de tecnologa siempre ha tenido el respaldo de la gerencia general.
Recomendacin
La gerencia debe asumir la responsabilidad con respecto a la seguridad de la informacin
Causa
Si la gerencia general est comprometida con la seguridad de la informacin, se estar evitando
sanciones de ley en caso de que la seguridad se vea afectada.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio bajo, en cuanto al impacto es
moderado.

Controles:
APLICACIONES
ACTIVOS DE INFORMACIN TRATAMIENTO
RIESGO
CONTROLA
TRASFERIR

ACTIVO - VULNERABILID AMENAZA RIESGO

ACEPTARL

TIPO AD
RLO
LO
O
Bases de datos El motor de Base Se presenta R1: El riesgo CONTROL
Oracle 11G de Datos no est una amenaza es de nivel DE
actualizado, no de tipo Alto, pues se RIESGO:
tienen las humano pues ve afectada la Actualizar
auditorias activas. durante el disponibilidad los motores
desarrollo de de la de Bases de
software se aplicacin Datos y
puede crear core del Activar las
bugs en la negocio, ya auditorias en
BD, o puede que pueden la bases de
ser vctima atacar el datos.
de un ataque servidor o
de DOS, y al bloquearse.
no tener
configuradas
correctament
e las
auditorias
sera
indetectable
ubicarlo.
Archivos No existe un Se presenta R2: El riesgo CONTROL
Digitales control una amenaza es de nivel DE
centralizado sobre de tipo Alto, pues se RIESGO:
el acceso a los humano ve afectada la Centralizar
diferentes archivos. puesto que integridad y la los Archivos
puede ocurrir confidencialid en una sola
que ad de la ubicacin,
diferentes informacin para poder
usuarios guardada en ser accedidos
presenten los archivos. solo por el
informacin personal
inconsistente, autorizado.
sea tomada
de diferentes
fuentes, por
otro lado se
puede
modificar la
informacin
sin saber
quien lo hizo.
Correo Algunas cuentas de la amenaza R3: El nivel CONTROL
Institucional E- E-mail no estn de tipo de riesgo es DE
mail asignadas a humano Alto ya que se RIESGO:
empleados ocurre al ve afectado la Cuando un
especficos esto utilizar confidencialid empleado
quiere decir que cuentas de e- ad y no haya salido
son compartidas mail Repudio de de la
por varios usuarios. compartidas los correos organizacin
es mas difcil electrnicos, se deben
detectar que seria inmediatame
empleado o indetectable nte bloquear
funcionario saber quien el usuario y
en particular envi, recibe o cambiar las
enva y elimina claves de
recepcin de correos. acceso.
correos
electrnicos.
Desarrollos El software Al no estar R4: El riesgo CONTROL
Software desarrollado versionado el asociado a DE
Propios internamente en la software esta RIESGO:
empresa, no est surge la vulnerabilidad Versionar los
versionado. amenaza de es Alto ya que desarrollos
tipo humana, se ve afectada internos para
pues es muy la integridad, que sea mas
difcil disponibilidad facir el
realizar un y no repudio mantenimient
control de de la o de las
cambios que informacin aplicaciones
los ayuden a de la y poder
detectar organizacin. llevar un
errores en la control
programaci estructurado
n a nivel de dentro del
cdigo y equipo de
funcionalidad desarrollo.
.
Software El software La amenaza R5: El nivel CONTROL
Adquirido comprado a de tipo de riesgo DE
empresas externas humana se asociado a RIESGO: Al
no se adapta a las hace evidente esta Comprar
necesidades de la cuando se vulnerabilidad software a
organizacin. requiere un es Alto, pues terceros se
cambio en si no debe evaluar
estas contamos con el software
aplicaciones el respaldo de utilizando
y no se los estndares
obtiene desarrolladore como
respuesta por s del software ISO/IEC
parte del no podemos 9126, para
proveedor. adaptar el realizar una
software a las acertada
necesidades adquisicin.
de la
compaa
afectando la
disponibilidad
de la
informacin.
Licencias Las Licencias de La amenaza R6: El nivel CONTROL
OEM los productos humana del riesgo es DE
software no estn surge cuando Alto, pues se RIESGO:
guardadas personal no ve afectada la Ubicar en un
adecuadamente. autorizado confidencialid lugar seguro
puede ad de los el
acceder a activos de TI, licenciamient
estas es as como o de los
licencias y estas licencias productos
obtener pueden ser adquiridos
informacin hurtadas. con el fin de
o sustraerlas. que no sean
urtados.
INFRAESTRUCTURA TRATAMIENTO
RIESGO
CONTROLA
TRASFERIR

ACTIVO - VULNERABILID AMENAZA RIESGO

ACEPTARL

TIPO AD
RLO
LO
O
Servidores Carecen de fuentes Esta amenaza R7: Este CONTROL
redundantes no est asociada riesgo tiene un DE
tienen Fuentes al entorno, si nivel Alto ya RIESGO:
alternas. hay un fallo que si las UPS Adquirir
elctrico no no funcionan servidores
hay los servidores con fuentes
redundancia se apagan redundantes
y se apagar afectando la que
el servidor. disponibilidad garanticen la
. continuidad
en caso de un
fallo
elctrico.
Switches No tiene una buena La amenaza R8: Este CONTROL
configuracin. de tipo riesgo tiene un DE
entorno nivel Alto, ya RIESGO:
genera que si no esta Corregir y
broadcast en bien Reconfigurar
la red LAN, configurado el los switches
generando switch se de nivel tres
lentitud en la genera para evitar
red. broadcast en broadcast.
la red lan
afectando la
disponibilidad
.
Enrutadores No tiene una La amenaza R9: El nivel CONTROL
configuracin de humana, de riesgo DE
Firewall segura o se genera a asociado es RIESGO:
zonas DMZ. nivel Alto, teniendo Corregir y
perimetral, en cuenta que Reconfigurar
puesto que si los los
un atacante servidores son Enrutadores
remoto puede accedidos o con buenas
acceder a las atacados por prcticas de
direcciones atacantes seguridad,
ip de los informticos implementan
servidores y crakers, do vlans para
lanzar estaremos segmentar la
ataques de afectando la red.
DOS. disponibilidad
y
Confidencialid
ad de la
Informacin.
Cableado No se maneja una La amenaza R10: Este CONTROL
Estructurado norma estndar de tipo riesgo tiene un DE
para todo el humano nivel Medio, RIESGO:
cableado. surge al puesto que no Certificar el
intentar es posible cableado
realizar detectar el estructurado
mantenimient origen del con un
os o punto de red estndar
identificar esto ocasiona internacional.
nuevos que
puntos de posiblemente
conexin se deje por
dentro de fuera un
Rack para las usuario o
conexiones servidor
nuevas. afectando la
disponibilidad
de la
informacin.
Estaciones de No tienen activo el La amenaza R11: El nivel CONTROL
trabajo 20 Antivirus de tipo de riesgo DE
humano asociado es RIESGO:
surge cuando Alto, pues un Realizar la
se puede virus actualizacin
infectar la informtico inmediata del
estacin de pueden afectar software
cmputo con el equipo antivirus de
algn tipo de personal y a la empresa
virus su vez todos para evitar
informtico. los equipos de posibles
la red. ataques y
Afectando la virus en el
disponibilidad sistema de
y informacin.
confidencialid
ad de la
informacin.
Porttiles, No tienen clave de La amenaza R12: El riesgo CONTROL
Tablest y Cifrado en sus humana asociado es DE
Celulares discos duros. surge cuando Alto, pues RIESGO:
este tipo de personal no Realizar un
dispositivos autorizado cifrado de los
son hurtados, puede acceder potatiles,
y la a informacin tablest y
informacin de un equipo celulares,
que poseen personal para evitar un
es accedida hurtado de la posible robo
por personas organizacin de
ajenas a la con fines de informacin.
organizacin. extorsin,
afectando la
confidencialid
ad de la
informacin.
Jeimer Alexander Matorel Barajas
Matriz de Riesgos
Empresa Evaluada: MABR Sistemas & Tecnologa S A S
Evaluador/Auditor: Jeimer Alexander Matorel Barajas
Riesgos Iniciales - Etapa 2 (Planeacin de Auditora)
Amenazas o Activos Probabilidad Impacto
No. Vulnerabilidad Riesgos
factores Afectados Bajo Medio Alto Leve Moderado Catastrfico
Uso de software Ataque de Estaciones
Problemas
R1 sin Hackers con de trabajo y X X
legales.
licenciamiento. Troyanos. Servidores.
Falta de
Falta de
control en los Problemas
Polticas de Estaciones
inventarios financieros y
R2 estandarizacin de trabajo y X X
del hardware gastos
en las estaciones Servidores.
de la innecesarios.
de trabajo.
compaa.
Falta de
Actualizaciones Ataque de Estaciones
Perdidas
R3 de seguridad de Hackers con de trabajo y X X
econmicas.
los sistemas Troyanos. Servidores.
operativos.
Falta de un Ataque de
dispositivo de Hackers, e Prdida de
R4 Firewall. X X
seguridad infeccin de informacin.
perimetral. virus.
Falta de una
Poltica
empresarial
Prdida de
donde estn Estaciones
Perdidas informacin y
R5 plasmados los de trabajo y X X
econmicas. prdidas
requerimientos Servidores.
econmicas.
mnimos a
cumplir por los
Sistemas.
Falta de
documentacin Prdida de
Estaciones
de la Perdidas informacin y
R6 de trabajo y X X
Arquitectura econmicas. prdidas
Servidores.
Lgica de la econmicas.
compaa.
Falta de
documentacin
de polticas
Prdida de
locales en las
Perdidas informacin y Estaciones
R7 estaciones de X X
econmicas. prdidas de trabajo.
trabajo para
econmicas.
trabajar fuera de
la red interna de
la empresa.
Falta de
Estaciones
controles para Acceso no Prdida de
R8 de trabajo y X X
contraseas autorizado. informacin.
Servidores.
fuertes.
Desastres y
Falta de fallas fsicas Estaciones
Prdida de
R9 polticas de en las de trabajo y X X
informacin.
Backup. estaciones de Servidores.
trabajo.
 Falta de
autenticacin en No hay Indisponibilidad Servidores
R10 el acceso a las controles de de la de X X
aplicaciones acceso. informacin. aplicaciones.
Web.
Falta de una
Desastres y
Red Elctrica UPS,
fallas fsicas Indisponibilidad
Regulada para Estaciones
R11 en las de la X X
la proteccin de de trabajo y
estaciones de informacin.
los equipos de Servidores.
trabajo.
cmputo.
Falta de Desastres y
Switch,
seguridad fsica fallas fsicas Indisponibilidad
Estaciones
R12 de los elementos en las de la X X
de trabajo y
de estaciones de informacin.
Servidores.
comunicaciones. trabajo.
Falta de Incorrecta
Prdida y
capacitacin en manipulacin
manipulacin Personal de
R13 la manipulacin de los X X
de la Servicios.
de los sistemas sistemas y
informacin.
de cmputo. herramientas.

Falta de
Indisponibilidad Estaciones
Antivirus en las
R14 Virus. de la de trabajo y X X
estaciones de
informacin. Servidores.
trabajo.

Acceso no
Falta de autorizado de Indisponibilidad
Routers y
R15 aseguramiento a personal de la X X
Switch.
la red LAN. ajeno al rea informacin.
de sistemas.
 Empresa Evaluada: MABR Sistemas & Tecnologa S A S
Evaluador/Auditor: Jeimer Alexander Matorel Barajas
Riesgos derivados de la aplicacin de los Instrumentos - Etapa 3 (Planeacin y ejecucin de auditora)
Probabilidad Impacto
No. Riesgo
Bajo Medio Alto Leve Moderado Catastrfico

R1 Falta de tablas de medicin de desempeo. X X

Falta de mtodos
R2 X X
para medir los cumplimientos.

Falta de metas
R3 X X
y sabe cmo alcanzarlas.

Falta de un plan
R4 X X
de mejora continua.

Falta de un
R5 X X
mapa de Gobierno TI.

Falta de tener publicado el

R6 X X
mapa de Gobierno Corporativo.

Falta de contar con un plan

R7 X X
de direccin estratgica.

Falta de contar con un plan

R8 X X
de inversiones especfico.

Falta de un
R9 X X
comit directivo.

Falta de que el rea de TI haga parte del

R10 X X
comit directivo.

Falta de establecer
R11 X X
prioridades en sus inversiones.

Falta de que el comit directivo tenga en alto

R12 X X
grado las inversiones de TI.

Falta de que el rea de TI cuente con un lugar

R13 X X
en el organigrama empresarial.

Falta de que el rea de TI est alineada a la

R14 X X
estrategia corporativa.

Falta de que las inversiones de TI sean recomendadas desde el interior de la

R15 X X
compaa.

Falta de que el rea de TI sea un rea crtica en

R16 X X
la compaa.
1. Hallazgos Riesgos Iniciales
2. Hallazgos Riesgos Instrumentos
3. Cuadro resultante de Riesgos
 REFERENCIAS BIBLIOGRAFICAS

Tamayo, A. Auditora de sistemas una visin prctica. (2001). Recuperado de:

https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor%C3%ADa+d
e+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

ISACA. (2016). Cobit 4.1 en espaol. Recuperado de http://www.isaca.org/Knowledge-

Center/cobit/Pages/Downloads.aspx

Castello, R. J. (2015). Auditoria en entornos informticos. Recuperado de

http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981

Bocanegra, Y. (2015). Anlisis y gestin de riesgos de los sistemas de informacin de la alcalda

municipal de Tulu aplicando la metodologa MAGERIT. (Tesis de postgrado). Universidad
Nacional abierta y a Distancia UNAD, Bogot, Colombia. Recuperado de
http://repository.unad.edu.co/bitstream/10596/3632/1/66728456.pdf.

Solarte, F. N. J. (30 de noviembre de 2011). Auditora informtica y de sistemas. Recuperado de

http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html

Solares, P., Baca, G., Acosta, E. (2010). Administracin informtica: Anlisis y evaluacin de
tecnologas de la informacin. Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11013780