Universidad Nacional Abierta y a Distancia

Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168

Fase 3 ejecución: Hallazgos de la auditoria, Tratamiento de riesgos,
Controles

Víctor Julio Martínez Barrios

William Mario Villa Castro

Enrique David Pinto Peralta

Grupo colaborativo: 90168_6

Tutor

Yolima Esther Mercado Palencia

Universidad Nacional Abierta y a Distancia

Escuela de Ciencias Básicas, Tecnología e Ingeniería

Auditoria de sistemas

2017

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168

Contenido

Introducción...............................................................................................................3

Objetivos....................................................................................................................4

Objetivo general.....................................................................................................4

Objetivos específicos.............................................................................................4

1 Cuadro de tratamiento de riesgos del proceso: DS7 Educar y Entrenar a los
Usuarios.....................................................................................................................5

2 Hallazgos del proceso: DS7 Educar y Entrenar a los Usuarios.........................7

3 Cuadro de controles propuestos del proceso: DS7 Educar y Entrenar a los
Usuarios...................................................................................................................10

4. Tabla de hallazgos proceso: DS5 Garantizar la Seguridad de los
Sistemas…...18

5. Tabla de Tratamiento de Riesgos……………………………………………………
27

6. Tabla de Controles de Riesgos ...……………………………………………………
28

Conclusiones...........................................................................................................30

Referencias bibliográficas........................................................................................31

Anexo1 Cuestionario de Control: C1.......................................................................32

Anexo 2 Cuestionario de Control C2 ...…………………………………………………
34

Anexo 3 Entrevista ………………………………………………………………………36

Fase 3 | Trabajo colaborativo III

Universidad Nacional Abierta y a Distancia
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Auditoria de sistemas - 90168

Introducción
El presente informe se entrega como evidencia del desarrollo del tercer trabajo
colaborativo del curso de auditoría de sistemas en la universidad nacional abierta
y a distancia UNAD.

En el mismo se abordan las temáticas que conforman la unidad didáctica 3 del
curso aplicándolos en el proceso de auditoría que se ha venido llevando a cabo
durante el desarrollo de los trabajos colaborativos previos.

Para cada uno de los procesos del estándar COBIT que se han venido trabajando,
se presenta el cuadro de tratamiento de los riesgos encontrados, así como los
hallazgos y los controles propuestos para dichos riesgos.

Fase 3 | Trabajo colaborativo III

en el proceso de auditoría que se ha venido llevando a cabo en la empresa Softcaribbean S.90168 Objetivos Objetivo general Aplicar los conceptos abordados en la unidad 3 del curso de auditoría de sistemas. Fase 3 | Trabajo colaborativo III .  Diseñar el cuadro de hallazgos para cada uno de los procesos del estándar COBIT abordados.  Determinar los controles propuestos para cada uno de los riesgos encontrados en los procesos del estándar COBIT abordados. para generar su cuadro de tratamiento de riesgos.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas.A. Objetivos específicos  Analizar la matriz de riesgos de cada proceso del estándar COBIT abordado. Tecnología e Ingeniería Auditoria de sistemas .

haciendo que éstos se acaben de una manera más rápida Los empleados no usan VPN para conectarse a la red de R4 X X la empresa Uso indebido del correo electrónico para el envío de R5 información a personal externo o para el registro en foros X X y redes sociales. Algunos de los empleados conectan dispositivos personales no seguros a la red de la empresa lo que R6 X X puede generar huecos de seguridad dando cabida a la entrada de piratas cibernéticos Fase 3 | Trabajo colaborativo III .Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. lo cual permite que R3 estos sean utilizados para tareas diferentes a las X X previstas. Tecnología e Ingeniería Auditoria de sistemas .90168 1 Cuadro de tratamiento de riesgos del proceso: DS7 Educar y Entrenar a los Usuarios Antes que nada. debemos recordar la matriz de riesgos detectados para el proceso DS7 Educar y Entrenar a los Usuarios: Probabilidad Impacto N° Descripción B M A L M C No se capacita al personal en temas relacionados con la R1 X X seguridad informática Falta de capacitación y sensibilización del personal del R2 X X área de sistemas No existe un control sobre los insumos y recursos informáticos que la empresa compra.

R5 R4 100% PROBABILIDAD Medio R3 R2 R6 31-60% Bajo 0-30% Leve Moderado Catastrófico IMPACTO N° Descripción Riesgo Tratamiento Riesgo No se capacita al personal en temas relacionados con la R1 Transferir seguridad informática Falta de capacitación y sensibilización del personal del área R2 Controlarlo de sistemas No existe un control sobre los insumos y recursos informáticos que la empresa compra. Algunos de los empleados conectan dispositivos personales no seguros a la red de la empresa lo que puede generar R6 Controlarlo huecos de seguridad dando cabida a la entrada de piratas cibernéticos 2 Hallazgos del proceso: DS7 Educar y Entrenar a los Usuarios Fase 3 | Trabajo colaborativo III . R1. lo cual permite que R3 Aceptarlo estos sean utilizados para tareas diferentes a las previstas.90168 Alto 61.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. haciendo que éstos se acaben de una manera más rápida Los empleados no usan VPN para conectarse a la red de la R4 Controlarlo empresa Uso indebido del correo electrónico para el envío de R5 información a personal externo o para el registro en foros y Controlarlo redes sociales. Tecnología e Ingeniería Auditoria de sistemas .

90168 REF HALLAZGO 1 HHDN_0 1 PROCESO Capacitación a empleados acerca del PÁGINA AUDITADO uso seguro de las herramientas TIC. Tecnología e Ingeniería Auditoria de sistemas . a repositorios que contienen información privada de la empresa y sus clientes. REF_PT: Cuestionario de control: C1 (Anexo 1) CONSECUENCIAS: Fase 3 | Trabajo colaborativo III .  Se detecta que los empleados no usan VPN para acceder desde redes diferentes a la interna. 1 DE 1 RESPONSABLE Víctor Julio Martínez Barrios MATERIAL DE COBIT SOPORTE DOMINI ENTREGAR Y DAR PROCES DS7: Educar y Entrenar O SOPORTE O a los Usuarios DESCRIPCIÓN:  Se encuentra que la empresa no cuenta con un plan de capacitaciones enfocadas en ayudarle a sus empleados a reconocer los comportamientos seguros e inseguros cuando hacen uso de las herramientas informáticas tanto de la empresa como externas.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas.

Tecnología e Ingeniería Auditoria de sistemas . que buscan la obtención ilegal de información confidencial.90168  La falta de capacitación de los empleados en temas relacionados con los comportamientos seguros e inseguros respecto al uso de las herramientas TIC. Fase 3 | Trabajo colaborativo III . en el que se busque mantenerlos conscientes de los riesgos a los que están expuestos cuando hacen uso de las herramientas TIC y ayudarlos a reconocerlos para evitar posibles afectaciones a nivel personal y/o profesional. poniendo en alto riesgo el desarrollo de las actividades de la compañía. tanto de las personas como de las empresas para las que laboran. aminorando así el riesgo de pérdida o divulgación de información de ellos y de la empresa. ya que se corre el riesgo de que los empleados sean víctimas de un sinnúmero de amenazas externas a las que diariamente están expuestos. puede ocasionar serios problemas de seguridad para la empresa.  Implementar el uso de VPN para asegurar las conexiones de los empleados a los repositorios de información de la empresa. RIESGO: Probabilidad de ocurrencia: 100% Impacto según relevancia del proceso: Alto.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. RECOMENDACIONES:  Implementar un programa de capacitación para los empleados de la empresa. cuando no estén conectados a la red interna.  Al no garantizarse la seguridad en las conexiones de los empleados a través del uso de VPN. se abre una puerta a personas malintencionadas para que tengan acceso a información de la empresa y sus clientes.

Tecnología e Ingeniería Auditoria de sistemas . Fase 3 | Trabajo colaborativo III .90168 3 Cuadro de controles propuestos del proceso: DS7 Educar y Entrenar a los Usuarios Riesgos o hallazgos Tipo de control Soluciones o controles encontrados Falta de capacitación y PREVENTIVO Construir un plan de capacitaciones periódicas sensibilización del para el personal de sistemas en las que se personal del área de actualicen los conocimientos de los mismos.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas.

En caso de detectarse que se ha comprometido la cuenta de correo del empleado deshabilitar la misma. de seguridad dando cabida a la entrada de piratas cibernéticos Fase 3 | Trabajo colaborativo III . la empresa Exponer a los empleados los riesgos a los que se exponen y exponen a la empresa. Si no se cuenta en la sistemas CORRECTIVO empresa con el personal idóneo para esta capacitación puede contratarse un tercero que lo haga. el registro en foros y Tomar acciones disciplinarias sobre los redes sociales empleados que usen la cuenta de correo empresarial para tratar temas diferentes a los CORRECTIVO laborales. Algunos de los empleados conectan dispositivos personales no seguros a la red de Ejercer controles de seguridad para la la empresa lo que PREVENTIVO conexión de dispositivos no permitidos a la red puede generar huecos de la empresa. Instalación de herramienta de software de Uso indebido del correo análisis de contenido de correo electrónico que electrónico para el DETECTIVO permita el monitoreo en tiempo real del uso envío de información a dado a el correo electrónico empresarial por personal externo o para parte de los empleados.90168 Capacitar al personal de sistemas en el manejo adecuado de las herramientas que se usan en la empresa.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. al utilizar PREVENTIVO la cuenta de correo electrónico empresarial para tratar asuntos diferentes a los laborales. Los empleados no Implementar el uso de una VPN en todas las usan VPN para CORRECTIVO conexiones de los empleados de la empresa a conectarse a la red de los repositorios de información de la misma. Tecnología e Ingeniería Auditoria de sistemas .

Tecnología e Ingeniería Auditoria de sistemas .90168 Aporte: William Mario Villa Castro Análisis y evaluación de riesgos: Fase 3 | Trabajo colaborativo III .Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas.

90168 Falta de conocimiento de la importancia de R2 x x un plan estratégico de TI Falta de un plan de desarrollos de R3 X X aplicaciones para toma de decisiones Falta de un manual de aplicaciones donde se registre el R4 x X uso y la confiabilidad de los datos de la empresa. Falta de definición de Fase 3 | Trabajo colaborativo III R12 responsabilidades y X X . Falta de unos R9 estándares X X Tecnológicos. Falta de herramientas R11 para la clasificación x X TI. Probabilidad Impacto N° Descripción Baja Media Alta Leve Moderado Catastrófico Falta de un plan Universidad Nacional Abierta y a Distancia R1 x x Escuelaestratégico de Ciencias Básicas. Falta de un plan para R5 la adquisición de X x recurso tecnológicos falta de personal especializado para R6 dar asesorías sobre x x las tecnologías Falta de un modelo R7 de información X x empresarial. Falta de un monitoreo R10 de las evoluciones x X Tecnológicas. Falta de un plan de R8 x x infraestructura de TI. Tecnología e Ingeniería Auditoria de sistemas .

R4.R6. Tecnología e Ingeniería Auditoria de sistemas .r10.R9.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas.90168 Alto R5 R1.R11 R13 31-60% Bajo R7. AUDITADO 1 DE 1 RESPONSABLE William Mario Villa Castro MATERIAL DE COBIT SOPORTE P01 Definir un Planear y DOMINIO PROCESO Plan Estratégico Organizar de TI.R8 0-30% Leve Moderado Catastrófico AD IMPACTO Tabla Hallazgos REF HALLAZGO 1 HHDN_0 1 PROCESO PÁGINA P01 Definir un Plan Estratégico de TI. R12 PROBABILID 61-100% Medio R3 R2. DESCRIPCIÓN: Fase 3 | Trabajo colaborativo III .

no cuenta con planes definidos ni planes de contingencia para cualquier eventualidad. REF_PT: Cuestionario de control: C1 (Anexo 1) CONSECUENCIAS: No se lleva a cabo una buena planeación estratégica de TI. diseñar y construir un plan estratégico de TI.90168  Falta de un plan estratégico: La empresa no cuenta con un diseño de una planeación estratégica de TI es necesaria para gestionar y dirigir todos los recursos de TI en línea con la estrategia y prioridades del negocio. sin asignación de responsabilidades del personal. construir un planes tácticos de TI. existiendo una falta de negligencia por parte de la gerencia y del personal encargado de TI. No se establece con claridad los roles y responsabilidades del personal para el buen desarrollo y la buena funcionabilidad de la infraestructura tecnológica.  Falta de definición de responsabilidades y roles del personal: La empresa no cuenta con las jerarquías definidas. carencia de control sobre la efectividad y eficiencia de los componentes TI. RIESGO: El porcentaje de riesgo hallado fue alto estando entre un 61% y un 100%. mostrando un impacto catastrófico para la empresa. Fase 3 | Trabajo colaborativo III . contratación de personas idóneas en el tema de las TI.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. RECOMENDACIONES: Debemos hacer una relación de las metas y los objetivos con la TI. Tecnología e Ingeniería Auditoria de sistemas .

Tecnología e Ingeniería Auditoria de sistemas . OBJETIVO DE CONTROL PO1.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas.1 Administración del Valor de TI CONFORME Nº ASPECTO EVALUADO SI NO OBSERVACIÓN ¿Cuentan con un plan 1 estratégico de TI la X empresa? ¿Conoce la necesidad la empresa de contar 2 X con un plan estratégico de TI? P02. CUESTIONARIO DE CONTROL P01 Definir un Plan DOMINIO Planear y Organizar PROCESO Estratégico de TI. Definir la DOMINIO Planear y Organizar PROCESO Arquitectura de la Información. OBJETIVO DE PO2.1 Modelo de Arquitectura de Información CONTROL Empresarial ¿Se mantiene un desarrollo de 3 aplicaciones para la x toma de decisiones de la empresa? Fase 3 | Trabajo colaborativo III .90168 La planeación estratégica de TI es un proceso documentado. el cual se debe tener en cuenta para el cumplimiento de los objetivos y las metas definidas por la empresa.

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. OBJETIVO DE PO3.90168 ¿Existe algún manual de aplicaciones o actividades donde se 4 x registre el uso y la confiabilidad de los datos de la empresa? ¿Cuentan con una base 5 x de datos la empresa? ¿Cuentan con un inventario de todos los 6 x componentes de la infraestructura de TI? ¿Existe un plan para la 7 adquisición de recurso x tecnológico? PROCESO P03. Tecnología e Ingeniería Auditoria de sistemas .1 Planeación de la Dirección Tecnológica CONTROL ¿Cuenta la empresa con asesorías de 8 personal especializado x con respecto a las tecnologías? Fase 3 | Trabajo colaborativo III . Determinar la DOMINIO Planear y Organizar Dirección Tecnológica.

TABLA DE HALLAZGOS PROCESO: DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS TABLA HALLAZGO 1 REF HALLAZGO 1 HHDN_O1 PROCESO Planes para la recuperación de PÁGINA AUDITADO información.  No existe una persona encargada de realizar y custodiar las copias de seguridad o backup de la información de la empresa. Fase 3 | Trabajo colaborativo III . 1 DE 1 RESPONSABLE Enrique David Pinto Peralta MATERIAL DE COBIT SOPORTE DS5 Garantizar la DOMINIO Entregar y Dar Soporte PROCESO Seguridad de los Sistemas DESCRIPCIÓN:  No se cuenta con un plan de recuperación de información. en caso que se produzca pérdida parcial o total de la misma.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. Tecnología e Ingeniería Auditoria de sistemas .90168 4.  No se realiza de manera organizada ni periódica las copias de seguridad o backup de la información de la empresa.

existe un alto porcentaje que estas nunca se realicen o se hagan de manera muy esporádica. lo cual hace vulnerable de una perdida en cualquier momento a la información de la empresa.  Al no realizar de manera periódica ni organizada las copias de seguridad de la empresa. de manera Fase 3 | Trabajo colaborativo III .  Asignarle a una persona la responsabilidad de la realización y custodia de las copias de seguridad de la información de la empresa. Tecnología e Ingeniería Auditoria de sistemas . RIESGO:  Probabilidad de ocurrencia: ¿ 100  Impacto según relevancia del proceso: Alto RECOMENDACIONES:  Elaborar un plan de acciones a realizar en caso que se produzca una pérdida parcial o total de la información de la empresa.90168 REF_PT: CUESTIONARIO DE CONTROL C2 (ANEXO 2) CONSECUENCIAS:  Al no existir un plan de recuperación de información.  Al no existir una persona encargada de realizar y custodiar las copias de seguridad en la empresa. cualquier información que pueda llegar a borrarse está en riesgo de no volver a ser recuperada. lo cual puede incluso llevar a la desaparición de la empresa.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. esa información no podrá recuperarse. de manera que permita tener siempre presente la importancia de su realización diaria.  Elaborar un cronograma para la realización de las copias de seguridad o backup de la información de la empresa. en el momento que se produzca una pérdida parcial o total de la misma.

 No existe un plan de capacitación para el personal técnico encargado del mantenimiento de los equipos y cableado estructurado que integran la red de la empresa. REF_PT: Fase 3 | Trabajo colaborativo III . RESPONSABLE Enrique David Pinto Peralta MATERIAL DE COBIT SOPORTE DS5 Garantizar la DOMINIO Entregar y Dar Soporte PROCESO Seguridad de los Sistemas DESCRIPCIÓN:  No existe personal capacitado para la realización de los mantenimientos del cableado estructurado de la red y de los equipos que la componen. Tecnología e Ingeniería Auditoria de sistemas . de manera que se garantice su adecuado funcionamiento.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. TABLA HALLAZGO 2 REF HALLAZGO 2 HHDN_O2 Nivel de Capacitación del personal PÁGINA PROCESO encargado de Mantenimiento del AUDITADO cableado estructurado y de la Red en 1 DE 1 General.90168 que no existan pretextos para la no realización de las mismas.

así como a softwares maliciosos que puedan llegar a ocasionar pérdida parcial o total de dicha información.  Elaborar un plan de capacitaciones periódicas al personal encargado Fase 3 | Trabajo colaborativo III . si los mantenimientos no se realizan de manera correcta. RIESGO:  Probabilidad de ocurrencia: ¿ 100  Impacto según relevancia del proceso: Alto RECOMENDACIONES:  Contratar personal capacitado que se encargue de la realización de los mantenimientos de los equipos y el cableado que conforman la red de la empresa. de manera que se garantice la seguridad de la misma. se puede producir una disminución en los niveles de productividad de los empleados. Tecnología e Ingeniería Auditoria de sistemas .Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. motivado por errores de conexión que no permiten ingresar o vuelven más lentos los sistemas manejados en la empresa. Además.90168 CUESTIONARIO DE CONTROL C2 (ANEXO 2) CONSECUENCIAS:  Al no contar con personal adecuadamente capacitado para la realización de los mantenimientos de los equipos y del cableado estructurado de la red se puede producir una reducción en los niveles de seguridad de la red de la empresa. exponiendo de esta manera toda la información confidencial de la misma a personas inescrupulosas que pretendan acceder a dicha información.  Al no existir un plan de capacitación para el personal encargado del mantenimiento de los equipos y cableado estructurado de la red de la empresa. siempre va a existir un desconocimiento en dicho personal que puede llevarlo en cualquier momento a cometer errores durante la realización de dichos mantenimientos que pueden poner en riesgo la información y actividades de la empresa.

 No se tienen identificadas las necesidades de seguridad de la información de la empresa.90168 del mantenimiento del cableado y los equipos que integran la red de la empresa. 1 DE 1 RESPONSABLE Enrique David Pinto Peralta MATERIAL DE COBIT SOPORTE DS5 Garantizar la DOMINIO Entregar y Dar Soporte PROCESO Seguridad de los Sistemas DESCRIPCIÓN:  No existen informes previos que recomienden y avalen la compra de los antivirus que se han adquirido hasta el momento en la empresa. de manera que siempre se garantice la realización de estos mantenimientos de manera adecuada.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. TABLA HALLAZGO 3 REF HALLAZGO 3 HHDN_O3 PROCESO Control en la Compra de los Softwares PÁGINA AUDITADO Antivirus. de manera que con base en estas necesidades se pueda determinar cuál es el antivirus indicado para comprar. Fase 3 | Trabajo colaborativo III . Tecnología e Ingeniería Auditoria de sistemas .

facilidad de instalación. Además. RIESGO:  Probabilidad de ocurrencia: ¿ 100  Impacto según relevancia del proceso: Alto RECOMENDACIONES:  Elaborar un informe cada vez que se requiera adquirir un software Antivirus.90168 REF_PT: CUESTIONARIO DE CONTROL C2 (ANEXO 2) ENTREVISTA (ANEXO 3) CONSECUENCIAS:  Al no existir informes previos que recomienden y avalen la compra de un determinado Antivirus. de manera que establezca que información requiere mayor grado de seguridad y cual menor seguridad. Tecnología e Ingeniería Auditoria de sistemas .  Al no tener identificadas las necesidades de seguridad de la información de la empresa. dado que lo más probable es que los antivirus adquiridos no cumplan con los requisitos mínimos de seguridad de la información.  Elaborar un estudio que permita identificar claramente cuáles son las necesidades de seguridad de la información de la empresa. el estudio debe permitir identificar cuales equipos de cómputo manejan la información que requiere mayor seguridad y cuál es la manera de transportar dicha información. los antivirus que se compren no van a brindar los niveles de seguridad requeridos por la empresa. para comprar los antivirus. se terminaran utilizando otros criterios. ya sea Fase 3 | Trabajo colaborativo III . facilidad de descarga. razón por la cual la información de la misma va a estar todo el tiempo vulnerable a la acción de personas y softwares maliciosos. lo cual hace que la información de la empresa este permanentemente en riesgo. con el fin de determinar. cual es el más indicado para comprar. entre otros.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. tales como precio. de acuerdo a sus características y a las necesidades de seguridad de la información de la empresa.

R3 Falta de revisión de X X la gestión de las cuentas de usuario existentes R4 Falta de revisión X X periódica de los equipos de cómputo para detectar algún software malicioso R5 Falta de control en X X la compra de los Antivirus instalados R6 No existe registro X X de los softwares maliciosos encontrados R7 No existe control de X X los dispositivos de almacenamiento (usb. todo lo anterior.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. con el objetivo de determinar cuál es el antivirus más idóneo para salvaguardar la información de la empresa. de una intranet o de dispositivos tales memorias usb o cds.90168 a través de la red. R8 Falta de controles X X de acceso a la información R9 No existe un firewall X X activo Fase 3 | Trabajo colaborativo III . Tecnología e Ingeniería Auditoria de sistemas . cd. discos). ANÁLISIS Y EVALUACIÓN DE RIESGOS TABLA DE VALORACIÓN DE LOS RIESGOS N° Descripción Probabilidad Impacto Baja Media Alta Leve Moderado Catastrófico R1 Falta de control de X X cuentas de usuario R2 Falta de control en X X los permisos y privilegios de cada una de las cuentas de usuario de la empresa.

Tecnología e Ingeniería Auditoria de sistemas .Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas.90168 R1 No existe un Control X X 0 y monitoreo en el acceso a Internet R11 Mantenimiento del X X cableado estructurado por parte de personal poco capacitado R1 Ausencia de planes X X 2 para recuperación de información R1 No se garantiza la X X 3 seguridad en las conexiones R1 Desconocimiento en X X 4 seguridad informática de los empleados MATRIZ DE RIESGOS Fase 3 | Trabajo colaborativo III .

Tecnología e Ingeniería Auditoria de sistemas . R9 R13 PROBABILIDAD 31-60% Bajo R2 R4.90168 R6 R5. R14 R8. R10 0-30% Leve Moderado Catastrófico IMPACTO Menor impacto o probabilidad de ocurrencia Probabilidad y ocurrencia media Alta probabilidad de ocurrencia 5. R11. TABLA DE TRATAMIENTO DE RIESGOS ID. R7. R12 Alto 61-100% Medio R3 R1. Descripción Riesgo Tratamiento Riesgo Riesgo Fase 3 | Trabajo colaborativo III .Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas.

90168 R1 Falta de control de cuentas de usuario Controlarlo R2 Falta de control en los permisos y Controlarlo privilegios de cada una de las cuentas de usuario de la empresa. Tecnología e Ingeniería Auditoria de sistemas . TABLA DE CONTROLES DE LOS RIESGOS RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES ENCONTRADOS CONTROL Falta de control de CORRECTIVO Control sobre la creación. discos). R8 Falta de controles de acceso a la Controlarlo información R9 No existe un firewall activo Eliminarlo R10 No existe un Control y monitoreo en el Controlarlo acceso a Internet R11 Mantenimiento del cableado estructurado Transferirlo por parte de personal poco capacitado R12 Ausencia de planes para recuperación Eliminarlo de información R13 No se garantiza la seguridad en las Controlarlo conexiones R14 Desconocimiento en seguridad Controlarlo informática de los empleados 6. Fase 3 | Trabajo colaborativo III . dejando como constancia un acta cada vez que se realice uno de estos procesos.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. modificación cuentas de usuario o eliminación de alguna cuenta de usuario. R3 Falta de revisión de la gestión de las Aceptarlo cuentas de usuario existentes R4 Falta de revisión periódica de los equipos Controlarlo de cómputo para detectar algún software malicioso R5 Falta de control en la compra de los Controlarlo Antivirus instalados R6 No existe registro de los softwares Controlarlo maliciosos encontrados R7 No existe control de los dispositivos de Controlarlo almacenamiento (usb. cd.

para evitar transferir cd. acceso a la información de manera que cada empleado pueda acceder solo a la información que necesita para el adecuado desarrollo de sus funciones. de manera que bloquee el contenido que considera que pone en riesgo dicha seguridad. sean de acuerdo a las de usuario de la funciones que desarrolla el dueño de la cuenta. necesarios. No existe un Control y CORRECTIVO Controlar el acceso a las páginas web. Fase 3 | Trabajo colaborativo III . softwares maliciosos o robo de información a través de memoria usb o cds. indicando el procedimiento realizado para eliminarlo. para establecer si tienen de cómputo para instalado algún tipo de software detectar algún software malicioso que ponga en riesgo la seguridad de la información de la malicioso empresa. monitoreo en el acceso a bloqueando el acceso a aquellas Internet páginas que no brindan ningún tipo de beneficio para el desarrollo de las actividades laborales. Falta de revisión de la PREVENTIVO Hacer revisiones periódicas de la gestión de las cuentas de gestión desarrollada por cada una de usuario existentes las cuentas de usuario. empresa. dejando como constancia un informe de dichas revisiones. Falta de control en la CORRECTIVO Comprar los Antivirus con base en un compra de los Antivirus informe que avale dicha compra.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. de instalados acuerdo a las necesidades de seguridad de la información de la empresa. No existe registro de los CORRECTIVO Llevar un registro de los softwares softwares maliciosos maliciosos encontrados en los equipos encontrados de cómputo. No existe control de los PREVENTIVO Deshabilitar los puertos usb y unidades dispositivos de ópticas en los equipos que no son almacenamiento (usb. No existe un firewall PREVENTIVO Contar con un Firewall que brinde activo mayor seguridad a la red. discos).90168 Falta de control en los CORRECTIVO Controlar que los permisos y privilegios permisos y privilegios de otorgados a cada una de las cuentas de cada una de las cuentas usuario. Falta de controles de PREVENTIVO Control en el acceso a la información. Tecnología e Ingeniería Auditoria de sistemas . Falta de revisión PREVENTIVO Revisar periódicamente los equipos de periódica de los equipos cómputo.

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. Conclusiones Pudo observarse la utilidad de la aplicación de los conceptos estudiados en la tercera unidad del curso de auditoría de sistemas para el análisis de los riesgos detectados en cada proceso de la empresa y ayudar en la toma de decisiones respecto al tratamiento y controles que deben llevarse a cabo para prevenirlos. la compra de antivirus licenciados. en información caso que se produzca pérdida de la misma. en este plan se debe incluir el cronograma de las copias de seguridad a realizar. entre otros. Fase 3 | Trabajo colaborativo III . Además. la compra de equipos de red y de computo de última tecnología que brinden una mayor seguridad.90168 Mantenimiento del CORRECTIVO Contratar personal capacitado para la cableado estructurado realización de los mantenimientos del por parte de personal cableado estructurado y de los demás poco capacitado equipos que conforman la red. Desconocimiento en CORRECTIVO Capacitar a los empleados en seguridad seguridad informática de informática. estableciendo la cantidad de backup por días y las horas de realización de los mismos. Ausencia de planes para PREVENTIVO Elaborar un plan determine los pasos a recuperación de seguir para recuperar información. Tecnología e Ingeniería Auditoria de sistemas . de manera que tomen las los empleados precauciones necesarias para evitar cualquier tipo de perdida de información por algún descuido o error humano. Dicho plan debe contemplar distintas causas posibles que produzcan perdida de información. No se garantiza la CORRECTIVO Garantizar la seguridad de los sistemas seguridad en las mediante la realización de conexiones mantenimientos de la red por personal capacitado.

Recuperado de http://es.slideshare.90168 detectarlos y/o controlarlos y de esa manera buscar mejores condiciones para el desarrollo de las actividades de la empresa. J. Auditoria en entornos informáticos. Tecnología e Ingeniería Auditoria de sistemas .Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. Referencias bibliográficas Astello. (2015). R.net/zhhane/auditoria-de-sistemas-46686981 Fase 3 | Trabajo colaborativo III .

90168 Solares. cuestionario de control: C1 Oficina principal Softcaribbean S. Desarrollo de grandes aplicaciones distribuidas sobre internet. P.&id=DOI%3a&site=ftf-live Anexos.action? docID=11013780 Maciá. Recuperado de http://bibliotecavirtual.unad. Recuperado de http://bibliotecavirtual. G.unad.co:2162/openurl?sid=EBSCO %3aaci&genre=book&issn=&ISBN=9788479088156&volume=&issue=&date=2005 0101&spage=171&pages=171- 186&title=Desarrollo+de+Grandes+Aplicaciones+Distribuidas+Sobre+Internet&atitl e=AUDITOR%c3%8dA+E+INFORM%c3%81TICA%3a+ALGUNAS+T %c3%89CNICAS+ACTUALES.&aulast=Blanco+Encinosa%2c+L %c3%a1zaro+J.co:2077/lib/unadsp/detail.A. Cuestionario de Control: C1 Dominio ENTREGAR Y DAR SOPORTE Fase 3 | Trabajo colaborativo III .. E. F. Baca. Acosta. (2010). Administración informática: Análisis y evaluación de tecnologías de la información.edu..Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. (2005). Tecnología e Ingeniería Auditoria de sistemas .edu.

2 Impartición de Entrenamiento y Educación ¿Se capacita al personal en cuanto a las nuevas Semestral 5 amenazas que surgen? ¿Se cuenta con un repositorio de información acerca Accesible para todos los de la seguridad en el uso de las herramienta TIC en la 4 empleados (Digital o empresa? físico) ¿Se realizan campañas de prevención de conductas 3 inseguras para los empleados? OBJETIVO DE CONTROL DS7.1 Identificación de Necesidades de Entrenamiento y OBJETIVO DE CONTROL Educación ¿Se cuenta con un programa de capacitación en el uso seguro de las herramientas informáticas para los 5 empleados? ¿Los nuevos empleados son capacitados antes del 3 inicio de sus actividades laborales? OBJETIVO DE CONTROL DS7. Tecnología e Ingeniería Auditoria de sistemas .Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas.90168 Proceso DS7: Educar y Entrenar a los Usuarios Pregunta Si No OBSERVACIONES DS7.3 Evaluación del Entrenamiento Recibido ¿Se posee un registro de problemas de seguridad 3 presentados a los empleados? ¿En el registro de problemas se tiene en cuenta con los siguientes datos? Fecha Número de registro 3 Identificación del empleado Detalle del problema Detalle de las causas Detalle de la solución aplicada TOTALES 7 19 Fase 3 | Trabajo colaborativo III .

¿Contiene los siguientes ítems? Cuenta de Usuario Fase 3 | Trabajo colaborativo III . Cuestionario de Control: C2 Dominio Entregar y Dar Soporte Proceso DS5 Garantizar la Seguridad de los Sistemas OBJETIVO DE CONTROL DS5.90168 ANEXO 2.A.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas.4 Administración de Cuentas del Usuario Pregunta Si No OBSERVACIONES ¿Se cuenta con un listado detallado de las 4 cuentas de usuario de la empresa? Si existe el listado. Tecnología e Ingeniería Auditoria de sistemas . CUESTIONARIO DE CONTROL C2 EMPRESA SOFTCARIBBEAN S.

9 Prevención. Tecnología e Ingeniería Auditoria de sistemas . con el fin de preservar la seguridad de la información de la empresa? ¿Cuentan con algún plan de recuperación de 3 Fase 3 | Trabajo colaborativo III . 4 modificación o eliminación de las cuentas de usuarios? OBJETIVO DE CONTROL DS5. Detección y Corrección de Software Malicioso ¿De los antivirus instalados se cuenta con los 4 siguientes datos? Nombre del antivirus Licencia del antivirus Fecha de Compra Fecha de Instalación Fecha de Caducidad ¿Se lleva un procedimiento para la adquisición de 4 nuevos antivirus? ¿Se posee un registro de los softwares maliciosos 3 encontrados en los equipos de cómputo? ¿En el registro de los softwares maliciosos se tiene en cuenta con los siguientes datos? Nombre del Software malicioso Características Fecha en la que se encontró Número del Computador Proceso utilizado para eliminar el software malicioso ¿Al momento de encontrar un software malicioso De una a 24 en un equipo. la atención que se presta es? Horas Inmediata De una a 24 horas De un día a 5 días Más de 5 días OBJETIVO DE CONTROL DS5.10 Seguridad de la Red ¿Se cuenta con un plan de control y acceso a la 3 internet.Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas.90168 Nombre del empleado propietario de la cuenta Identificación del empleado propietario de la cuenta Cargo del empleado propietario de la cuenta Fecha de creación de la cuenta Perfiles activos y privilegios de la cuenta ¿Se lleva un procedimiento para la creación.

PROCESO Contratación TI AUDITADO RESPONSABLE ENRIQUE DAVID PINTO PERALTA MATERIAL DE SOPORTE COBIT DOMINIO PROCE DS5 Garantizar la Seguridad de los Entregar y Dar Soporte SO Sistemas Fase 3 | Trabajo colaborativo III . Tecnología e Ingeniería Auditoria de sistemas . con el objetivo de conservar sus condiciones mínimas de seguridad? ¿Qué tipo de mantenimiento se lleva a cabo? Correctivo Mantenimiento preventivo Mantenimiento correctivo ¿El personal que se encarga del mantenimiento es 4 personal capacitado? TOTALES 19 14 ANEXO 3. con el fin de minimizar el impacto causado por violaciones o debilidades de seguridad de los mismos.90168 información en caso que se produzca pérdida de la misma? ¿Cada cuánto se realiza mantenimiento al 4 Cada 4 Meses cableado estructurado de la red. Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas.A. PAGINA AUDITADA 1 D 1 E OBJETIVO Garantizar la protección de la información e infraestructura de los AUDITORÍA Sistemas de Información de la empresa. ENTREVISTA REF ENTIDAD SOFTCARIBBEAN S.

Si se realiza una revisión de la ¿Realizan revisión de la gestión de cada gestión de las cuentas de usuario. Modificar o Eliminar modificación o eliminación de la alguna cuenta de usuario? cuenta. en conjunto con la gerencia. Los perfiles y privilegios se ¿Cuál es el criterio que utilizan para otorgar otorgan dependiendo de las 2 los perfiles y privilegios de las cuentas de funciones desarrolladas por los usuarios de la empresa? empleados propietarios de cada una de las cuentas.90168 OBJETIVO DE CONTROL DS5. DS5. de estas ¿Cada cuánto realizan la revisión de la revisiones no se deja constancia gestión de las cuentas de usuario? alguna. Sin embargo. al año. se decide si aceptar o no la solicitud enviada. 1 para poder Crear. su respectiva licencia? con su licencia. exponiendo los motivos por los ¿Cuál es el procedimiento que se sigue cuales se solicita la creación. ¿Cuál es el criterio que utilizan para En realidad. Dicha revisión se realiza una vez 3 En caso de ser afirmativa la respuesta. no existe ningún 2 escoger los antivirus instalados en los criterio para la adquisición de los equipos de cómputo? antivirus. Detección y Corrección de Software OBJETIVO DE CONTROL Malicioso N CUESTIONARIO RESPUESTA º ¿Cuentan todos los equipos de cómputo Si todos los equipos de cómputo 1 con antivirus debidamente instalados y con cuentan con antivirus instalado. 3 ¿Cada cuánto realizan un escaneo en los El escaneo de los equipos de Fase 3 | Trabajo colaborativo III .4 Administración de Cuentas del Usuario N CUESTIONARIO RESPUESTA º Se realiza una solicitud ante la oficina de recursos humanos. una de las cuentas de usuarios creadas?. Tecnología e Ingeniería Auditoria de sistemas .9 Prevención. En dicha oficia. Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas.

con el fin de 3 la red. Además. con el fin de establecer en cada 6 meses. se procede a eliminarlo del equipo en el cual se ¿Cuál es el protocolo que siguen una vez encontraba. por último. ¿Cada cuánto se revisa el cableado El cableado estructurado se revisa 2 estructurado.90168 equipos de cómputo. malicioso instalado? Una vez se encuentra algún software malicioso en un computador. Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. se examinan los demás equipos para verificar que tanto logro expandirse el software malicioso encontrado. cuando éstos se acercan a conocer cuáles son las mayores dificultades comunicarnos que no pueden que estos afrontan en la red? trabajar debido a algún inconveniente de red presentado. qué condiciones se encuentra? La verdad únicamente se tiene conocimiento de los problemas ¿Con que frecuencia se acercan a los que los empleados presentan en empleados de la empresa. Fase 3 | Trabajo colaborativo III .10 Seguridad de la Red N CUESTIONARIO RESPUESTA º Si actualmente se cuenta con un plan de control y acceso al ¿Cuentan con algún plan de control y internet. OBJETIVO DE CONTROL DS5. a fin de determinar si cómputo se realiza de manera cuentan con algún archivo o software mensual. que permite el bloquea el 1 acceso a la internet? acceso a ciertas páginas web que poseen contenido potencialmente peligroso e inadecuado. se verifica 4 se encuentra algún software malicioso en que tanto daño logro causar dicho un equipo? virus y. Tecnología e Ingeniería Auditoria de sistemas .

Universidad Nacional Abierta y a Distancia Escuela de Ciencias Básicas. Tecnología e Ingeniería Auditoria de sistemas .90168 ENTREVISTADO CARLOS PÉREZ CARRANZA CARGO JEFE DE SISTEMAS Fase 3 | Trabajo colaborativo III .