You are on page 1of 34

Fase 4: Ejecucin: Hallazgos de la auditoria, Tratamiento de riesgos, Controles

Juan Camilo Alfonso Veloza Cd. 1013590991


Yuly Andrea Beltrn Cd. 1012443306
Carlos La Serna Cd. 98634953

Grupo colaborativo: 90168_42

Tutora:
Vanessa Carolina Gutierrez

Noviembre 2017

Universidad Nacional Abierta y a Distancia (UNAD).


Escuela de Ciencias Bsicas, Tecnologa e Ingeniera ECBTI.
Auditoria de Sistemas
Introduccin

Inicialmente es de poner en relevancia que se ha venido abordando en el desarrollo


de actividades las temticas de vulnerabilidades, amenazas y riesgos en una empresa esto
ha permitido que el estudiante pueda apropiarse adecuadamente. As mismo el presente
documento se referir al reconocimiento de conocimientos para el desarrollo de tablas de
hallazgos, tratamiento de riesgos y definicin de controles al estndar CobIT conforme
resultados obtenidos de la matriz de riesgos, teniendo como bases el material de estudio
ubicado en el campus, blog del curso y la colaboracin por parte del director y tutora,
incluso este trabajo colaborativo logra la identificacin de los temas y/o conceptos
desarrollados en el mbito profesional de cada estudiante.

Por consiguiente, se tendr como intencin lograr que el estudiante explore y asuma
una familiarizacin de conceptos que le permitir adquirir conocimientos y desarrollar
habilidades hacia la auditoria de sistemas realizada a una empresa en este caso el
Departamento Nacional de Planeacin

Es oportuno ahora entender que depender del estudiante el exitoso desarrollo de


las actividades de acuerdo al reconocimiento de los contenidos y realimentaciones
realizadas en foro, puesto que se concebirn las bases para que el objetivo de esta y las
siguientes actividades sean alcanzadas, as pues le generarn una experiencia satisfactoria
en la que lo aprendido le permitir desenvolverse de una forma correcta y adecuada en
cualquier mbito que este se pueda desarrollar, viendo as que cada temtica ha logrado
aplicarse a casos en concreto que permiten como estudiante, asociar estos planteamientos
de una manera ms prctica y real.
Objetivos.

Objetivo General.

Dar a conocer los hallazgos, tratamiento de riesgos y definicin de controles sobre procesos
CobIT seleccionados en la fase de planeacin y riesgos encontrados en fases iniciales del
curso auditora de sistemas para ser aplicados en el Departamento Nacional de Planeacin.
Objetivos especficos

Apropiar los resultados de la matriz de riesgos desarrollada en cada proceso


auditado.
Diligenciar formato de hallazgos, donde se evidencien los riesgos o hallazgos
encontrados de mayor impacto y probabilidad de ocurrencia en la organizacin conforme
cada proceso auditado.
Desarrollar el tratamiento de riesgos encontrados reconociendo las acciones que se
emprendern acorde a los detectados.
Definir controles para aplicar acciones de tipo preventivo, detectivo o correctivo
para mitigar los riesgos encontrados.
Informe de construccin Grupal

Tabla de auditores y procesos auditados.

Nombre Auditor Proceso auditado


Yuly Andrea Beltran *DS5 Garantizar la seguridad de los sistemas
*DS7 Educar y Entrenar a los Usuarios
Juan Camilo Alfonso *ME1- Monitorear y Evaluar el Desempeo de TI
*ME2 - Garantizar el Cumplimiento con requerimientos externos
Carlos Eduardo La Serna *AI2Adquirir y Mantener Software Aplicativo.
*AI6 Administrar cambios.

Cuadro de tratamiento de riesgos procesos DS5-Garantizar la seguridad de los sistemas y


DS7-Educar y entrenar a los usuarios.(Desarrollado por: Yuly Andrea Beltran)

Tabla 1. Valoracin de riesgos

PROBABILIDAD IMPACTO
RIESGOS/VALORACIN
A M B L M C
Hardware
R1 Alteracin o prdida de la informacin registrada X X
en base de datos o equipos
Redes
R2 Transito masivo de virus X X
Base de datos
R3 Falta de documentacin frente a al proceso de X X
copias de respaldo en algunos servicios DNP
Manejo y control de personal
R4 Falta e sensibilizacin y capacitacin a usuarios del X X
sistema en seguridad y buen uso informtico
R5 El personal no cuenta con programas de X X
capacitacin y formacin en seguridad informtica
y de la informacin.
R6 Usuarios no registran la informacin institucional X X
en el espacio corporativo asignado a cada grupo y
colaborador.
R7 Perdida de informacin debido al mal uso del X X
sistema por parte del usuario
Seguridad lgica
R8 Se encuentran activas cuentas de usuarios de X X
personal que ya no labora en la entidad
R9 No estn correctamente documentados los planes X X
de contingencia en caso de prdidas de informacin
y copias de seguridad.
R1 Modificacin sin autorizacin de los datos, borrado X X
0 de archivos compartidos o instalacin de software
no avalado por el DNP
Software
R1 Ausencia de parches de seguridad y actualizaciones X X
1 en los equipos con sistemas operativos como
Windows XP declarados en desuso
R1 El software especfico para servicios en algunos X X
2 casos no est en la ltima versin liberada por el
proveedor.

PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrfico

Tabla 2. Matriz de Clasificacin de riesgo


LEVE MODERADO CATASTROFICO

ALTO
MEDIO R1,R3,R6,R10
BAJO R2,R4,R5,R7,R8,R9,R12 R11
Tabla 3 Tratamiento de Riesgos
ID. Descripcin Riesgo Tratamiento
Riesgo Riesgo
R1 Falta de documentacin frente a al proceso de copias de Controlarlo
respaldo en algunos servicios DNP
R2 Se encuentran activas cuentas de usuarios de personal que Aceptarlo
ya no labora en la entidad
R3 No estn correctamente documentados los planes de Controlarlo
contingencia en caso de prdidas de informacin y copias de
seguridad.
R4 Falta se sensibilizacin y capacitacin a usuarios del sistema Aceptarlo
en seguridad y buen uso informtico
R5 El personal no cuenta con programas de capacitacin y Aceptarlo
formacin en seguridad informtica y de la informacin.
R6 Alteracin o prdida de la informacin registrada en base Transferirlo
de datos o equipos
R7 Modificacin sin autorizacin de los datos, borrado de Aceptarlo
archivos compartidos o instalacin de software no avalado
por el DNP.
R8 Ausencia de parches de seguridad y actualizaciones en los Aceptarlo
equipos con sistemas operativos como Windows XP
declarados en desuso.
R9 El software especfico para servicios en algunos casos no Aceptarlo
est en la ltima versin liberada por el proveedor
R10 Usuarios no registran la informacin institucional en el Controlarlo
espacio corporativo asignado a cada grupo y colaborador.
R11 Perdida de informacin debido al mal uso del sistema por Aceptarlo
parte del usuario
R12 Transito masivo de virus Aceptarlo
Cuadros de hallazgos procesos DS5-Garantizar la seguridad de los sistemas y DS7-Educar
y entrenar a los usuarios

Tabla Hallazgo 1

REF

HALLAZGO 1
HDNP_01

ENTIDAD
Departamento Nacional de Planeacin DNP
AUDITADA

PROCESO PAGINA
DS5-Garantizar la seguridad de los sistemas
AUDITADO 1 DE 2

RESPONSABLE Yuly Andrea Beltran

MATERIAL DE
COBIT
SOPORTE
Garantizar la
Entregar y dar
DOMINIO PROCESO seguridad de los
soporte (DS)
sistemas (DS5)

DESCRIPCIN:
Falta de documentacin frente al proceso de copias de respaldo en algunos
servicios DNP
No estn correctamente documentados los planes de contingencia en caso de
prdidas de informacin y copias de seguridad.
Alteracin o prdida de la informacin registrada en base de datos o equipos

Esto es debido a que la organizacin no cuenta con un proceso de documentacin


adecuado en relacin a las copias de respaldo y/o seguridad, es decir, las orientaciones
que se deben llevar a cabo para administrar o usar adecuadamente estos elementos,
adems que se puede alterar o perder la informacin al no contar con manuales o
documentos que permitan la reduccin del riesgo.
REF_PT:
CuestionariosFase3_DNP/ CUESTIONARIO 1 DNP DS5 (ANEXO 1)
CONSECUENCIAS:
Al hacer falta documentacin frente al proceso de copias de respaldo en algunos
servicios del DNP y/o no contar con una correcta documentacin de los planes de
contingencia en caso de prdidas de informacin y copias de seguridad se puede
dar un manejo inadecuado al proceso y tratamiento de la informacin por lo que
bien estas copias se podran extraer, perder o encontrarse desordenadas y dado el
caso imprevisto se gastara ms tiempo en asesora para solucionar el
inconveniente que en el caso de tener una documentacin con su respectivo
elemento de respaldo.
Al ser alterada o extraviada la informacin registrada en bases de datos o equipos
se estara faltando a la normativa de tratamiento adecuado de la informacin o ley
de Habeas Data, adems de poner en riesgo la seguridad del sistema por lo que se
incurrira en gastos de reparacin en la perdida de informacin incluso de
nuevamente realizar una contratacin externa para que esta situacin sea
minimizada hasta tal punto de no se volverse a presentar.

RIESGO:
Probabilidad de ocurrencia: = 30,77%
Impacto segn relevancia del proceso: Medio

RECOMENDACIONES:
Conformar un grupo en asociacin con el departamento encargado de las copias de
respaldo del DNP para revisar la documentacin actual y la faltante con el fin de
que se constituya la documentacin faltante con su respectivo elemento de
respaldo, adems de la elaboracin de manuales tcnicos y de usuario necesarios
para la orientacin al personal autorizado en este proceso.

Elaborar e implementar un sub-archivo en asociacin con el departamento de archivo


del DNP con el fin de mantener una documentacin fsica y digitalizada con los planes de
contingencia de manera organizada y con orientaciones claras para solucionar los posibles
percances que se puedan dar en caso de prdida de informacin y/o facilitar la bsqueda
de copias de seguridad.
Tabla Hallazgo 2

REF

HALLAZGO 2
HDNP_02

ENTIDAD
Departamento Nacional de Planeacin DNP
AUDITADA

PROCESO PAGINA
DS7 Educar y Entrenar a los Usuarios
AUDITADO 2 DE 2

RESPONSABLE Yuly Andrea Beltran

MATERIAL DE
COBIT
SOPORTE
Educar y Entrenar
Entregar y dar
DOMINIO PROCESO a los Usuarios
soporte (DS)
(DS7)

DESCRIPCIN:
Usuarios no registran la informacin institucional en el espacio corporativo
asignado a cada grupo y colaborador.

Esto es debido a la falta de capacitacin del personal en cuanto al cargue de informacin


institucional en el espacio corporativo, adems del desconocimiento de los
procedimientos a realizar por parte de los funcionarios para dicho registro.

REF_PT:
CuestionariosFase3_DNP/ CUESTIONARIO 2 DNP DS7 (ANEXO 1)
CONSECUENCIAS:
Al no existir polticas ni procedimientos relacionados con el registro de la
informacin institucional en el espacio corporativo asignado a cada grupo y
colaborador se pueden generar sobrecargas en el sistema debido al uso inadecuado
que se da por parte de los usuarios lo que generara cadas constantes del sistema
perdiendo tiempo valioso que podra ser usado en actividades importantes en la
institucin incluso la opcin de mejorar las habilidades de manejo por parte del
usuario en el sistema logrando que este proceso se ejecute de manera eficaz

RIESGO:
Probabilidad de ocurrencia: = 8,11%
Impacto segn relevancia del proceso: Bajo

RECOMENDACIONES:
Implementar estrategias con el departamento de sistemas de informacin en las que se
d prioridad a las capacitaciones de los usuarios impartidas por personal
experimentado del departamento en mencin para el registro de informacin
logrando que bien se obtengan, se mejoren o actualicen las habilidades del
personal en cuanto al manejo y acrecentar este cargue por medio del
planteamiento.

Plantear metas de aprendizaje para evaluar la eficacia y mejora del proceso por
parte de los usuarios, adems de evidenciar los contenidos a mejorar y cuales se
deben mantener en las capacitaciones que han forjado en los usuarios la mejora de
sus habilidades de uso.

ANEXO 1
CuestionariosFase3_DNP
CUESTIONARIO 1 DNP DS5
ENTIDAD Departamento Nacional de Planeacin CUESTIONARIO
AUDITADA 1 DE 2
PROCESO DS5-Garantizar la seguridad de los sistemas
AUDITADO
RESPONSABLE Yuly Andrea Beltran
MATERIAL DE SOPORTE COBIT
DOMINIO Entregar y dar PROCESO DS5-Garantizar la seguridad de los
soporte (DS) sistemas

PREGUNTA SI NO OBSERVACIONES
1. Se cuenta con una organizacin del Hay grupos para atender cada proceso
personal para cada proceso que garantice 5
la seguridad del sistema?
2. Existen manuales que respalden la 3 Algunos no se encuentran o estn
instalacin de software? desactualizados
Se realizan revisiones de software 4
peridicamente?
Los administradores cuentan con 5 Hay cuentas llamadas L o locales que
excepciones dentro del sistema? tienen todos los privilegios
Existe mesa de ayuda para el sistema? 3 Hay un lder tcnico para atender los
requerimientos y dos personas
adicionales para soporte en sitio.
Los backups realizados en el sistema 3
tambin incluyen la base de datos de
cuentas de usuarios?
El acceso al sistema del usuario interno 5
se puede realizar nicamente desde el
dominio de la empresa?
De acuerdo a los requerimientos de 4
trabajo de cada usuario se realiza
actualizacin de permisos?
En caso de que no se realice un 4
procedimiento adecuado de
administracin de cuentas de usuario del
sistema se cuenta con proceso de
correccin?
Existe documentacin de casos no 3
deseables que altera la seguridad en el
No est totalmente documentado
sistema para tener en cuenta para la
prevencin de los mismos?
TOTALES 27 12
TOTAL CUESTIONARIO 39

Porcentaje de riesgo parcial = (27 * 100) / 39= 69,23%


Porcentaje de riesgo = 100 69,23=30,77%

PORCENTAJE DE RIESGO 30,77% (Riesgo medio)

AUDITOR RESPONSABLE
Yuly Andrea Beltran
Interpretacin: Por medio del cuestionario aplicado al proceso DS5-Garantizar la
seguridad de los sistemas, se logra obtener un porcentaje de riesgo del 30,77% por lo cual
se define un riesgo medio en el Departamento Nacional de Planeacin adems permite
identificar que esta empresa tiene en cuenta el desarrollo de estrategias de seguridad para
el sistema de informacin aunque hay ciertos factores que aun se deben mejorar y/o
fortalecer para reducir an ms el riesgo.
CUESTIONARIO 2 DNP DS7

ENTIDAD AUDITADA Departamento Nacional de Planeacin CUESTIONARIO


2 DE 2
PROCESO DS7-Educar y entrenar a los usuarios
AUDITADO
RESPONSABLE Yuly Andrea Beltran
MATERIAL DE SOPORTE COBIT
DOMINIO Entregar y dar PROCESO DS7-Educar y entrenar a los usuarios
soporte (DS)

PREGUNTA SI NO OBSERVACIONES
Se tiene en cuenta la educacin al usuario
del sistema? 3
Es frecuente realizar capacitaciones al 3
usuario del sistema?
Se tienen en cuenta los resultados de las 3
evaluaciones realizados a los usuarios
entrenados?
Cundo se realizan actualizaciones al 4
sistema, se tienen en cuenta las habilidades
de manejo de la mayora de los usuarios?
Se cuenta con planes estructurados para el 4
desarrollo de planes de entrenamiento?
Los capacitadores son personal de la 4
empresa con bastantes habilidades de
manejo?
Cree que a partir de la realizacin de 4
capacitaciones, se nota que los usuarios
han mejorado las habilidades de uso ?
Se mantiene permanentemente informado 5
al usuario sobre las actualizaciones del
sistema?
El uso de herramientas interactivas para 4
simular el manejo del sistema, ha
contribuido en la mejora de uso por parte
de los usuarios?
Las evaluaciones de usuarios entrenados 3
han permitido identificar falencias de
manejo?
TOTALES 34 3
TOTAL CUESTIONARIO 37

Porcentaje de riesgo parcial = (34 * 100) / 37=91,89%


Porcentaje de riesgo = 100 91,89%=8,11%

PORCENTAJE DE RIESGO 8,11% (Riesgo bajo)

AUDITOR RESPONSABLE
Yuly Andrea Beltran
Interpretacin: Por medio del cuestionario aplicado al proceso DS7-Educar y entrenar a
los usuarios, se logra obtener un porcentaje de riesgo del 8,11% por lo cual se define un
riesgo bajo en el Departamento Nacional de Planeacin permitiendo identificar que esta
empresa tiene en cuenta la capacitacin de los usuarios para el correcto manejo del
sistema de informacin fortaleciendo las habilidades del usuario interno controlando as el
riesgo.
Cuadro de controles propuestos para procesos DS5-Garantizar la seguridad de los
sistemas y DS7-Educar y entrenar a los usuarios

Tabla 4 Definicin de controles


RIESGOS o TIPO DE SOLUCIONES O CONTROLES
HALLAZGOS CONTROL
ENCONTRADOS
Falta de documentacin CORRECTIVO Construir con el departamento encargado
frente al proceso de copias de las copias de respaldo la
de respaldo en algunos documentacin respectiva para cada
servicios DNP servicio del DNP en el que se evidencie
lo que contiene cada copia de respaldo
muy al estilo de un manual de usuario y
un manual tcnico creando as un archivo
tanto fsico como digital
No estn correctamente CORRECTIVO Elaborar la documentacin en asociacin
documentados los planes de con el departamento de archivo del DNP,
contingencia en caso de esto con el fin de mantener una
prdidas de informacin y documentacin (fisica como digitalizada)
copias de seguridad. de planes de contingencia organizada y
que oriente en cuanto a las indicaciones a
seguir o las soluciones alternativas en
caso de prdidas de informacin y copias
de seguridad, si el departamento de
archivo no hace parte de la estructura
organizacional de la empresa, se puede
pensar en la contratacin externa de este
servicio.
Usuarios no registran la PREVENTIVO Implementar estrategias educativas con
informacin institucional en el departamento de sistemas de
el espacio corporativo informacin en las que los usuarios
asignado a cada grupo y comprendan la realizacin del cargue de
colaborador. informacin en el espacio corporativo
asignado, por medio de la ejecucin de
capacitaciones impartidas por personal
experimentado del departamento para
que este proceso sea entendido por parte
de los instruidos y as logren las
habilidades suficientes que permitan
intensificar el cargue de informacin por
parte de los usuarios

Cuadro de tratamiento de riesgos procesos AI2Adquirir y Mantener Software Aplicativo y


AI6 Administrar cambios (Desarrollado por: Carlos Eduardo La Serna)

Tabla 1. Valoracin de riesgos

PROBABILIDAD IMPACTO
RIESGOS/VALORACIN
A M B L M C
Hardware
R1 No monitoreo constante de los equipos de X X
cmputo
R2 No estn correctamente documentados los X X
planes de contingencia en caso de prdidas de
informacin y copias de seguridad
R3 Falta se sensibilizacin y capacitacin a X X
usuarios del sistema en seguridad y buen uso
informtico
R4 Algunos sistemas de informacin no cifran los X X
datos cuando se estn almacenando o
transmitiendo
R5 Modificacin sin autorizacin de los datos, X X
borrado de archivos compartidos o instalacin
de software no avalado por el DNP
R6 Ausencia de parches de seguridad y X X
actualizaciones en los equipos con sistemas
operativos como Windows XP declarados en
desuso
R7 El software especfico para servicios en X X
algunos casos no est en la ltima versin
liberada por el proveedor

PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrfico

Tabla 2 Matriz de Clasificacin de riesgo


LEVE MODERADO CATASTROFICO

ALTO R3 R4 R5

MEDIO R1 - R2 - R6 R7
BAJO

Tabla 3 Tratamiento de Riesgos


ID. Descripcin Riesgo Tratamiento Riesgo
Riesgo
R1 No monitoreo constante de los equipos de Controlarlo
cmputo
R2 No estn correctamente documentados los Transferirlo
planes de contingencia en caso de prdidas de
informacin y copias de seguridad
R3 Falta se sensibilizacin y capacitacin a Controlarlo
usuarios del sistema en seguridad y buen uso
informtico
R4 Algunos sistemas de informacin no cifran los Transferirlo
datos cuando se estn almacenando o
transmitiendo
R5 Modificacin sin autorizacin de los datos, Controlarlo
borrado de archivos compartidos o instalacin
de software no avalado por el DNP
R6 Ausencia de parches de seguridad y Aceptarlo
actualizaciones en los equipos con sistemas
operativos como Windows XP declarados en
desuso
R7 El software especfico para servicios en algunos Controlarlo
casos no est en la ltima versin liberada por
el proveedor

Cuadros de hallazgos procesos AI2Adquirir y Mantener Software Aplicativo y AI6


Administrar cambios

Tabla Hallazgo 1

REF

HALLAZGO 1
HDNP_01

ENTIDAD
Departamento Nacional de Planeacin DNP
AUDITADA

PROCESO PAGINA
AI2Adquirir y Mantener Software
AUDITADO 1 DE 2

RESPONSABLE Carlos Eduardo La Serna

MATERIAL DE
COBIT
SOPORTE
AI2 Adquirir y
Adquirir e
DOMINIO PROCESO Mantener Software
implementar (AI)
Aplicativo
DESCRIPCIN:
No existe definicin de los procesos para perdida de informacin y respaldo de los
datos.
No se cuenta con polticas claras en la definicin de acciones a tomar al momento
de presentarse perdidas de informacin por falta de copias de seguridad.

Dentro de la compaa no se ha realizado un enfoque ms preciso de cules pueden ser los


procesos a seguir en caso de prdidas de informacin o restablecimiento de copias de
seguridad, es de anotar que es un tema sensible por ponerse en riesgo data confidencial o
informacin de terceros.

REF_PT:
CuestionariosFase3_DNP/ CUESTIONARIO 1 DNP AI2 (Anexo 1)
CONSECUENCIAS:
Debido a la falta de polticas en la generacin de las copias de seguridad se
pueden presentar inconvenientes al momento de restablecer los backups de los
sistemas de informacin que hacen parte de la organizacin, generando
contratiempos o alteracin en la prestacin de los servicios.

Como una de las tareas ms importantes por parte de la gestin de TI, se encuentra
el gobierno de la informacin, que incluye el aseguramiento de la calidad y la
definicin de los procesos para asegurar la informacin de la entidad, corriendo
grandes riesgos al no realizarse esta tarea de manera efectiva.

RIESGO:
Probabilidad de ocurrencia: = 15%
Impacto segn relevancia del proceso: Bajo

RECOMENDACIONES:
Definir una poltica clara para el aseguramiento de la informacin en cada una de
las reas que componen la organizacin, categorizando aquella que requiere
mayor nivel de confidencialidad y que es motivo de consulta constante.

Definir acuerdos de servicio donde se pueda establecer claramente los documentos


o sistemas que requieren copias de seguridad, donde se especifique claramente los
tiempos de respuesta para cada uno de los escenarios que se pueden presentar en la
generacin de estos respaldos.

Tabla Hallazgo 2

REF

HALLAZGO 2
HDNP_02

ENTIDAD
Departamento Nacional de Planeacin DNP
AUDITADA

PROCESO PAGINA
AI2Adquirir y Mantener Software
AUDITADO 2 DE 2

RESPONSABLE Carlos Eduardo La Serna

MATERIAL DE
COBIT
SOPORTE
AI2 Adquirir y
Adquirir e
DOMINIO PROCESO Mantener Software
implementar (AI)
Aplicativo

DESCRIPCIN:
No existe poltica de actualizacin para Software Obsoleto.
No se realiza actualizacin del software en algunas reas de la compaa, en
especial de Sistemas de operativos antiguos y que se encuentran fuera de Soporte
por parte del proveedor.

La organizacin se encuentra en riesgo debido a la obsolescencia del software instalado,


generando un alto riesgo a ataques cibernticos, ya que no se cuenta con parches de
seguridad que permitan una mayor proteccin de los equipos de cmputo.
REF_PT:
CuestionariosFase3_DNP/ CUESTIONARIO 1 DNP AI2 (Anexo 1)
CONSECUENCIAS:
Se presenta una situacin de alto riesgo al no tener todos los equipos que hacen
parte de la compaa con las ltimas versiones de parches de seguridad, lo cual
puede facilitar ataques cibernticos que comprometan la seguridad de la
informacin dentro de la organizacin.

RIESGO:
Probabilidad de ocurrencia: = 30%
Impacto segn relevancia del proceso: Medio

RECOMENDACIONES:
Aislar los equipos que puedan comprometer la seguridad de la organizacin, a fin
de evitar puertas traseras abiertas y que permitan realizar ataques cibernticos, esta
actividad se debe realizar en aquellos equipos que no es posible realizar una
actualizacin a las ltimas versiones de Software que corresponde.

Anexo 1

Cuestionario: Adquirir y Mantener Software Aplicativo

CUESTIONARIO CUANTITATIVO REF


001
ENTIDAD Departamento Nacional de Planeacin PAGINA
AUDITADA
1 DE 1
PROCESO Infraestructura Tecnolgica
AUDITADO
RESPONSABLES Carlos La Serna
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Adquirir e PROCESO AI2 Adquirir y Mantener
implementar (AI) Software Aplicativo
N PREGUNTA SI NO NA REF
1 Dentro de la organizacin se han definido 4
controles que permiten validar el correcto
funcionamiento de los diferentes sistemas de
informacin?
2 Existe peridicamente una verificacin del 4
correcto funcionamiento de las aplicaciones
que actualmente son usadas?
3 En el desarrollo de aplicaciones se tiene en 4
cuenta el aseguramiento de la calidad, como
requisito fundamental para dejar operacional
el Software?
4 Existe un comit o grupo de personas que 5
se encargan de realizar un exhaustivo
seguimiento de los diferentes requerimientos
que se generan y el peso que estos tienen
dentro de las proyecciones de la
organizacin?
5 Existe un plan de mejoramiento continuo 3
que vaya alineado con la gestin de
aseguramiento de calidad?
TOTAL 17 3
TOTAL CUESTIONARIO 20
Porcentaje de riesgo parcial = (17*100) / 20 = 85%
Porcentaje de riesgo total = 100 85 = 15%
PORCENTAJE RIESGO 15% Riesgo bajo

Interpretacin: de acuerdo al cuestionario aplicado al proceso AI2 Adquirir y Mantener


Software Aplicativo, se logra obtener un porcentaje de riesgo del 15 por ciento, que lo
determinan como un riesgo bajo, con esto podramos concluir que la DPN, construye las
aplicaciones de acuerdo a los requerimientos de los usuarios, son concluidas a tiempo y con
unos costos razonables, existen algunos tems que son susceptibles de mejora para reducir
los riesgos asociados y que contribuirn a una mayor calidad en los servicios.
Cuadro de controles propuestos para procesos AI2Adquirir y Mantener Software
Aplicativo y AI6 Administrar cambios

Tabla 4 Definicin de controles


RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES
ENCONTRADOS CONTROL
No monitoreo constante de los PREVENTIVO Elaborar polticas de revisin constante de los
equipos de cmputo equipos de cmputo, lo cual se podra realizar a
travs de la contratacin de un equipo de
soporte que realice esta actividad.
Falta se sensibilizacin y CORRECTIVO Capacitar al personal de la organizacin sobre
capacitacin a usuarios del la forma de utilizar y optimizar los recursos
sistema en seguridad y buen informticos.
uso informtico
Modificacin sin autorizacin PREVENTIVO Elaborar polticas de seguridad y proteccin de
de los datos, borrado de la informacin en la organizacin, lo cual se
archivos compartidos o podra realizar a travs de la contratacin de un
instalacin de software no ingeniero de sistemas con experiencia en
avalado por el DNP administracin de plataformas.

El software especfico para CORRECTIVO Definir los diferentes acuerdos de servicio para
servicios en algunos casos no que los proveedores puedan entregar las
est en la ltima versin ltimas versiones de las plataformas, a fin de
liberada por el proveedor poder reducir a cero la cantidad de incidencias.

Cuadro de tratamiento de riesgos procesos ME1- Monitorear y Evaluar el Desempeo de TI


y ME2 - Garantizar el Cumplimiento con requerimientos externos (Desarrollado por: Juan
Camilo Alfonso)

Tabla 1. Valoracin de riesgos

PROBABILIDAD IMPACTO
RIESGOS/VALORACION
A M B L M C
Software
R1 No monitoreo constante de los equipos de cmputo X X
Seguridad lgica
R2 No estn correctamente documentados los planes de X X
contingencia en caso de prdidas de informacin y copias de
seguridad
R4 Modificacin sin autorizacin de los datos, borrado de archivos X X
compartidos o instalacin de software no avalado por el DNP
Manejo y control de personal
R3 El personal no cuenta con programas de capacitacin y X X
formacin en seguridad informtica y de la informacin
R8 Perdida de informacin debido al mal uso del sistema por parte X X
del usuario.
Sistema de Informacin
R5 Interrupcin de la actividad usual del sistema de informacin X X
Comunicaciones
R6 Propagacin de la informacin privada y de suma importancia X X
Base de datos
R7 Modificacin de informacin primordial en base de datos. X X

PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrfico

Tabla 2 Matriz de Clasificacin de riesgo


LEVE MODERADO CATASTROFICO

ALTO R1
MEDIO R2, R3
BAJO R8 R5, R6 R4, R7

Tabla 3 Tratamiento de Riesgos


ID. Descripcin Riesgo Tratamiento
Riesgo Riesgo
R1 No monitoreo constante de los equipos de cmputo Controlarlo
R2 No estn correctamente documentados los planes de Controlarlo
contingencia en caso de prdidas de informacin y copias
de seguridad
R3 El personal no cuenta con programas de capacitacin y Controlarlo
formacin en seguridad informtica y de la informacin
R4 Modificacin sin autorizacin de los datos, borrado de Controlarlo
archivos compartidos o instalacin de software no
avalado por el DNP
R5 Interrupcin de la actividad usual del sistema de Aceptarlo
informacin
R6 Propagacin de la informacin privada y de suma Aceptarlo
importancia
R7 Modificacin de informacin primordial en base de datos. Transferirlo
R8 Perdida de informacin debido al mal uso del sistema por Aceptarlo
parte del usuario.

Cuadros de hallazgos procesos ME1- Monitorear y Evaluar el Desempeo de TI y ME2 -


Garantizar el Cumplimiento con requerimientos externos

Tabla Hallazgo 1

REF

HALLAZGO 1
HDNP_01
ENTIDAD
Departamento Nacional de Planeacin DNP
AUDITADA

PROCESO PAGINA
ME1- Monitorear y Evaluar el Desempeo de TI
AUDITADO 1 DE 2

RESPONSABLE Juan Camilo Alfonso

MATERIAL DE
COBIT
SOPORTE
Monitorear y
Monitorear y Evaluar el
DOMINIO PROCESO Desempeo de TI
evaluar (ME)
(ME1)

DESCRIPCIN:
No estn correctamente documentados los planes de contingencia en caso de
prdidas de informacin y copias de seguridad.

Durante la revisin y chequeo del proceso se encontr que no hay documentacin sobre
los datos obtenidos frente al alcance o no de las metas propuestas por la organizacin en
temas de seguridad de la informacin, adicionalmente los resultados de evaluaciones
realizadas no se encuentran documentados para poder evaluar el cumplimiento de las
acciones de mejora anteriores a este ejercicio, se evidencio que aunque manifestaron tener
planes estos no estaban documentados correctamente o no se hallaron en su momento.

REF_PT:
CuestionariosFase3_DNP/ LISTA DE CHEQUEO 1 DNP ME1 (ANEXO 1)
CuestionariosFase3_DNP/ LISTA DE CHEQUEO 2 DNP ME1

CONSECUENCIAS:
Al no existir una correcta documentacin sobre los planes de contingencia y datos
de las revisiones anteriores al sistema de copias de seguridad e informacin se
desperdicia la labor hecha en etapas anteriores y la claridad para la toma de
decisiones dentro de la organizacin.
Si no hay documentacin, cuando se presente un cambio de personal dentro del
grupo de informtica ser muy difcil la continuidad del servicio y de que los
nuevos lderes tcnicos puedan empalmar rpidamente las labores indicadas
dentro de sus funciones as como evaluar los objetivos propuestos.

RIESGO:
Probabilidad de ocurrencia: = 20%
Impacto segn relevancia del proceso: Bajo

RECOMENDACIONES:
Se recomienda revisar cuidadosamente la documentacin que se tiene
actualmente a fin de actualizarla, completarla o generarla con cada lder tcnico
responsable de los servicios almacenamiento y backups.

Es importante que los responsables de seguridad de informacin de IT se pongan


al frente y garanticen que la documentacin este al dia y sea accesible, se deben
establecer reuniones de seguimiento y actualizacin, los coordinadores de rea
realizaran y darn el visto bueno de los documentos generados en fechas
concretas.

Tabla Hallazgo 2

REF

HALLAZGO 2
HDNP_02

ENTIDAD
Departamento Nacional de Planeacin DNP
AUDITADA

PROCESO ME3 - Garantizar el Cumplimiento con PAGINA


AUDITADO requerimientos externos. 2 DE 2

RESPONSABLE Juan Camilo Alfonso


MATERIAL DE
COBIT
SOPORTE
Garantizar el
Monitorear y Cumplimiento con
DOMINIO PROCESO
evaluar (ME) requerimientos
externos. (ME3)

DESCRIPCIN:
El personal no cuenta con programas de capacitacin y formacin en seguridad
informtica y de la informacin

No monitoreo constante de los equipos de cmputo

Actualmente se identifican falencias en la formacin y capacitacin en temas concretos


que tienen que ver con la seguridad de la informacin, cumplimiento de normatividad y
derechos de autor, algunos usuarios no tienen claro este tema y desde la oficina de
informtica no se ha tratado con la exigencia que demanda para ser una entidad del
estado, no han generado la inquietud a la alta gerencia sobre esta necesidad.

Hay desconocimiento parcial de que software es permitido, y no hay consolidados


generales del monitoreo de equipos de cmputo respecto al software instalado, por lo cual
es muy difcil hacer control y seguimiento al cumplimiento de la normatividad de
derechos de autor en su totalidad, por lo cual ha sido tediosa la revisin de este tem.

REF_PT:
EntrevistasFase3_DNP/ Entrevista 1 ME1 (ANEXO 2)
CuestionariosFase3_DNP/ Cuestionario 1 DNP ME3
CONSECUENCIAS:

Como consecuencia de la no formacin adecuada en seguridad se aumenta la


probabilidad de incidente generados por desconocimiento de los usuarios,
adicionalmente el no cumplimiento de las normas exigidas a la entidad en materia
de derechos de autor, lo que provocara desde llamados de atencin hasta multas a
la entidad y una mala imagen de la misma.

El no poder monitorear adecuadamente los equipos impide que los


administradores de servicios puedan tomar decisiones, obtener informes
confiables, estadsticas del servicio y el no poder tener la confianza en contar con
la garanta de software legal, permitido y licenciado dentro de los equipos de la
entidad, esto puede con el tiempo generar graves problemas al sistema y al
funcionamiento de la infraestructura puedes puede ser un aspecto de inseguridad
el no poder determinar con exactitud el monitoreo.

RIESGO:
Probabilidad de ocurrencia: = 38%
Impacto segn relevancia del proceso: Medio

RECOMENDACIONES:
Se recomienda plantear a la subdireccin de recursos humanos del DNP, la
habilitacin de recursos para capacitacin en temas de seguridad
informtica y derechos de autor para los funcionarios de la entidad, a su
vez generar campaas de sensibilizacin a nivel interno aprovechando el
conocimiento que ya se tiene utilizando la intranet y al grupo de
comunicaciones para la difusin de informacin.

En necesaria la instalacin de software completo de monitoreo o la


adecuacin/actualizacin del actual a fin de que permita la revisin y
control de los equipos pertenecientes al dominio de red DNP, con
generacin de reportes, estadsticas, alertas y una visualizacin del
software instalado en cada equipo.
ANEXO 1
CuestionariosFase3_DNP
LISTA DE CHEQUEO 1
Sistema de informacin DNP R/PT
Lista de chequeo LC1
Dominio Monitorear y Evaluar (ME)
Proceso ME1 Monitorear y Evaluar el Desempeo de TI
Objetivo de Control Definicin y Recoleccin de Datos de Monitoreo
Cuestionario
Pregunta SI NO N/A
Existe un conjunto de objetivos de desempeo de los sistemas X
de informacin aprobado por la direccin de TIC?
Se tienen claros los datos a recolectar para realizar las X
mediciones de los sistemas de informacin?
Cuenta con un proceso documentado para recolectar X
informacin oportuna y precisa del desempeo?
Se cuentan con alguna herramienta para generar reportes de los X
datos requeridos de anlisis
Si se cuenta con una herramienta de monitoreo, la informacin X
est disponible de forma inmediata?
Hay documentacin sobre los datos obtenidos frente al alcance X
o no de las metas propuestas por la organizacin?
Documentos probatorios presentados:
Plan de accin de la oficina de informtica 2014-2018
Reportes automatizados de herramienta de gestin

LISTA DE CHEQUEO 2
Sistema de informacin DNP R/PT
Lista de chequeo LC2
Dominio Monitorear y Evaluar (ME)
Proceso ME1 Monitorear y Evaluar el Desempeo de TI
Objetivo de Control Acciones Correctivas
Cuestionario
Pregunta SI NO N/A
Se identifican las medidas correctivas a realizar dentro de los planes x
de trabajo TIC actual?
Se cuenta con los registros de monitoreo del desempeo de forma x
accesible para la toma decisiones en un momento dado?
Los resultados de evaluaciones realizadas se encuentran documentadas x
para poder evaluar fcilmente acciones de mejora?
Existe una asignacin clara de responsabilidades por la correccin? x
En los procedimientos de revisin de acciones comprometidas se ha x
documentado el rastreo de resultados?
Documentos probatorios presentados:
Plan de accin oficina de informtica
Reportes de incidentes categorizados en la herramienta de gestin
Base de conocimiento con casos de aprendizaje
ANEXO 2

ENTREVISTA I REF
001
Departamento Nacional de Planeacin ENTREVISTA
ENTIDAD AUDITADA
1 DE 2
REA AUDITADA Sistema de SEVEN
SISTEMA
informacin
OBJETIVO ENTREVISTA Indagar acerca del Monitoreo y Evaluacin del Desempeo
de TI
ENTREVISTADO Hector Mauricio Parra

CARGO Asesor, OI-GGSI


TEMA1: Definicin y Recoleccin de Datos de Monitoreo

1. Estn definidos los indicadores de desempeo para los sistemas de informacin?


2.
El grupo de gestin de sistemas de informacin define unos parmetros e indicadores bsicos
para monitorizacin de los diferentes servicios de la entidad, estos quedan descritos en la
informacin de cada proyecto.

. Cmo es el procedimiento para la definicin de los indicadores de desempeo ms relevantes en


el sistema?

Cuando se tiene un proceso o servicio dentro de la oficina de informtica este tiene una seria de
fase de desarrollo, que estn acompaadas por el grupo de proyectos informticos, desde la fase
de pruebas, pasando por implementacin y hasta su ejecucin se levantan los indicadores para
poder dar el visto bueno sobre el cumplimiento de los requerimientos.

Estn alienados los indicadores con los objetivos de direccin y de la organizacin?

El desarrollo de proyectos informticos y a su vez de los sistemas de informacin se elabora


teniendo en cuenta las polticas de la alta direccin, aunque ha habido momentos especficos
donde no ha habido acompaamiento o se han logrado poner de acuerdo con la alta direccin en
algunas necesidades de la entidad.

TEMA 2: Acciones Correctivas

2. De acuerdo con el establecimiento de indicadores de sistema podra nombrar alguna accin


correctiva que se haya realizado recientemente gracias a estos?

Se evidencio una sobrecarga en el servidor de produccin de documentacin en ciertas fechas de


central de cuentas, el indicador de respuesta arrojo resultados que permitieron actuar ampliando
la capacidad del servidor instalado en su procesamiento y una puesta balanceo de carga.

. Hay responsables asignados para el monitoreo y generacin de reportes?


S, hay un grupo de ingenieros para el tema de plataforma e infraestructura, se cuenta con un
especialista en la herramienta de gestin de la entidad y un lder tcnico de cada servicio.
. Existe un repositorio donde se almacenen los reportes, as como un historial de las acciones de
mejora de los sistemas y servicios?

Existen carpetas de red donde se almacena la informacin de cada sistema, pero algunos
procesos no estn documentados o desconozco donde se encuentra la informacin, generalmente
solo es visible para algunas reas o perfiles por lo que es posible que no la vea debido a esta
limitacin que se hace por seguridad.

Los servicios y aplicativos son evaluados peridicamente a fin de verificar que est cumpliendo
con lo requerido y estn dentro de la mejora continua?

Actualmente hay aplicativos a los cuales se les hace un seguimiento ms minucioso porque son
utilizados por mayor nmero de usuarios, por este motivo este sistema de informacin ha tenido
verificacin de mejora y cumplimiento de tiempos de respuesta, sin embargo, hay pequeos
sistemas de informacin que llevan mucho tiempo sin ser evaluados al no tener un impacto tan
grande dentro de la organizacin.
Juan Camilo Alfonso FECHA 26/10/2017
AUDITORES APLICACIN

CUESTIONARIO 1

ENTIDAD Departamento Nacional de Planeacin CUESTIONARIO


AUDITADA 1 DE 2
PROCESO ME1 Monitorear y Evaluar el Desempeo de TI
AUDITADO
RESPONSABLE Juan Camilo Alfonso
MATERIAL DE SOPORTE COBIT
DOMINIO ME Monitorear y PROCESO Monitorear y Evaluar el Desempeo de TI
evaluar

PREGUNTA SI NO OBSERVACIONES
1. Hay indicadores de desempeo definidos
para los sistemas de informacin? 5
2. Cuenta con un proceso documentado para 3 Algunos no se encuentran o estn
recolectar informacin oportuna? desactualizados
Se tienen en cuenta los indicadores en la 4
toma de decisiones de los SI?
Hay registros accesibles de monitoreo 4
del desempeo de forma accesible para
los responsables?
Existe una herramienta automatizada para 5
generar reportes de los datos requeridos
de anlisis?
Hay una asignacin de responsabilidades 3
claramente definida respecto a los
indicadores de los SI?
Se evidencia alienacin de los 3
No es clara la relacin en algunos aspectos
indicadores con los objetivos de la
dentro del sistema de informacin
organizacin?
Las acciones correctivas se han tomado 4
con base en reportes generados?
Los sistemas de informacin son 3
No est totalmente documentado
evaluado a fin de obtener mejora continua

Cuadro de controles propuestos para procesos ME1- Monitorear y Evaluar el Desempeo


de TI y ME2 - Garantizar el Cumplimiento con requerimientos externos

Tabla 4 Definicin de controles


RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES
ENCONTRADOS CONTROL

No monitoreo constante de los Correctivo Instalacin de software completo de monitoreo


equipos de cmputo que permita la revisin y control de los equipos
pertenecientes al dominio de red DNP, con
generacin de reportes, si el equipo no est
reportando verificar en sitio.

Preventivo Control en el manejo que se tiene de los equipos


utilizados en la el DNP a fin de que estn
conectados al dominio y red correctamente.
No estn correctamente Correctivo Realizar la documentacin respectiva sobre el
documentados los planes de servicio de copias de seguridad que incluya
contingencia en caso de prdidas dueos del servicio, como acceder a l,
de informacin y copias de descripcin, contacto, planes de contingencia, y
seguridad manuales de usuario e instructivos a fin de contar
con el soporte adecuado.

El personal no cuenta con Correctivo Coordinar con la subdireccin de recursos


programas de capacitacin y humanos del DNP, espacios de capacitacin en
formacin en seguridad temas de seguridad informtica para los usuarios
informtica y de la informacin de la entidad, a su vez generar campaas de
sensibilizacin a nivel interno mediante las
comunicaciones unificadas.
Modificacin sin autorizacin de Correctivo Revisar los permisos actuales que hay sobre las
los datos, borrado de archivos carpetas de red o servidores, y permisos de
compartidos o instalacin de administrador en estaciones cliente, a fin de dejar
software no avalado por el DNP validos solo aquellos que estn correctamente
justificados y avalados por los jefes directos y con
el visto bueno del personal de seguridad.

Preventivo Depurar los usuarios con permisos de


administrador, utilizando los formatos de
autorizacin de permisos especiales como
requisito obligatorio para instalar software, tarea
coordinada con los lderes de servicios para
validar periodicidad de las copias de seguridad.
Conclusiones
El estudiante hace reconocimiento de los formatos de tratamiento de riesgos,
definicin de controles y tablas de hallazgos permitiendo el desarrollo de los
mismos de acuerdo a los resultados obtenidos en la matriz de riesgos desarrollados
en la fase anterior. (Yuly Beltran, 2017)

Este trabajo da cuenta de los conocimientos adquiridos acerca de la definicin de


controles por medio de la interpretacin de los resultados de las tablas de
tratamiento de riesgos reconociendo aun ms el papel significativo de la auditoria y
la realidad empresarial .(Yuly Beltran, 2017)

Es importante realizar un correcto discernimiento en cada temtica que fue


necesaria para el desarrollo de la gua de actividades propuesta, aqu es de recalcar
la apropiacin que realizo el estudiante, lo cual le permite desarrollar de una manera
ms adecuada los formatos propuestos para esta fase logrando poner en prctica las
habilidades que ha desarrollado a lo largo del curso.(Yuly Beltran, 2017)

A medida que vamos avanzando en las diferentes bases, logramos estructurar de una
manera ms clara los diferentes componentes que se van presentando en una
auditoria de sistemas, y los beneficios que esta trae cuando se sigue rigurosamente.
(Carlos La Serna, 2017).

Se ha logrado interpretar de una manera efectiva el FrameWork COBIT, siguiendo


paso a paso sus diferentes componentes y la forma en que estos aseguran la calidad
de las auditorias. (Carlos La Serna, 2017).

Para la empresa que estamos trabajando, como grupo hemos podido identificar
algunos riesgos que nos ayudan a hacer una comparacin con nuestras actividades
diarias, y la forma en que podramos atacar estas novedades. (Carlos La Serna,
2017).

Se logro cumplir con el objetivo de la actividad colaborativa al dar a conocer los


hallazgos, tratamiento de riesgos y definicin de controles sobre procesos CobIT
seleccionados en la fase de planeacin y riesgos encontrados en fases iniciales del
curso auditora de sistemas para ser aplicados en el DNP. (Juan Alfonso 2017).

Dentro del ejercicio de revisin de riesgos es importante tener en cuenta que


siempre tendremos riesgos en nuestras actividades y en el rea tecnolgica hay gran
variedad de situaciones que no se puede evitar, pero si se pueden controlar, por lo
cual los controles que definamos deben estar muy bien implementados para que
acten cuando se necesario o prevengan aquellos riesgos que son factibles de
reducir. (Juan Alfonso 2017).
Lista de Referencias
Castello, R. J. (2015). Auditoria en entornos informticos. Recuperado de
http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981
ISACA. (2016). Cobit 4.1 en espaol. Recuperado de: http://www.isaca.org/Knowledge-
Center/cobit/Pages/Downloads.aspx
Pinilla, J. D. (1997). Auditoria informtica: un enfoque operacional. Bogot, Colombia:
Editorial Ecoe ediciones.
Solares, P., Baca, G., Acosta, E. (2010). Administracin informtica: Anlisis y evaluacin
de tecnologas de la informacin. Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11013780
Solarte, S.F.N. (2017).Lineamientos y documentos presentados en foro por parte del
director del curso auditoria de sistemas. Recuperado de: Foro colaborativo Fase 4
Solarte, S.F.N. (2011).Blog del curso auditoria de sistemas. Recuperado de:
http://auditordesistemas.blogspot.com.co
Solarte, F. N. J. (30 de noviembre de 2011). Auditora informtica y de sistemas.
Recuperado de http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html