90168A 288 TFinal 36

INFORME FINAL DE LOS RESULTADOS DE LA AUDITORIA
TUTOR: RAMSES RIOS
GRUPO No. 90168_36
OSCAR JAVIER DELGADO VILLAMIL COD.80217860
JOSE ROBERTO QUECAN SANCHEZ -COD.1072638132
RAFAEL ALEJANDRO ROZO -COD.1073534051
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
MAYO DE 2016
INTRODUCCION
El presente informe se realiza para desarrollar el entendimiento de los conceptos generales de la

auditora de sistemas de informacin, para permitir la identificacin de riesgos a que est sujeta la
empresa y el desarrollo de los respectivos controles que minimizarn el impacto de los mismos.
Conocer los estndares, normas y guas para la realizacin de auditoras internas y externas para
desarrollar las habilidades y destrezas para la planificacin, ejecucin, evaluacin y elaboracin
del informe final de una auditora y finalmente entender la relacin entre las auditoras, los
controles internos, mejoras continuas y la toma de acciones correctivas.
OBJETIVOS
Objetivo general:
Elabora el dictamen de la auditora para cada uno de los procesos, determinando en la escala de
madurez la valoracin de cada proceso, teniendo en cuenta los riesgos y hallazgos detectados.
Objetivos especficos:
Determinar la relacin de la empresa frente a los procesos de COBIT mencionados en la
auditoria.
Realizar el Objetivo de la auditoria
Problemas o limitaciones para conseguir la informacin
Obtener un Dictamen (Riesgos Detectados)
Encontrar Hallazgos que soportan el dictamen
Dar Recomendaciones (Controles que proponen)

TRABAJO DE RECONOCIMIENTO SELECCIN DE LA EMPRESA
Empresa: Yazaki ciemel s.a
Actividad econmica: fabricacin de arns para vehculo.
Ubicacin: autopista norte kilmetro 21 va la caro.
rea informtica: El departamento de sistemas es el encargado de mantener los
computadores os sistemas de timbrado y accesos a la intranet
Activos informticos: 20 computadores, 2 impresoras
Sistemas de informacin: SAP
TRABAJO COLABORATIVO 1 PLAN DE AUDITORIA
1. LISTA DE VULNERABILIDADES, AMENAZAS Y RIESGOS AGRUPADOS POR
CATEGORIAS
N Vulnerabilidad Amenazas Riesgo Categora
1 Falta de actualizacin de Programas no corren Dao en programas Software
los programas en y genera errores
versiones compatibles
con sistemas ms
avanzados.
2 Sistema operativo no No se puede Computador Software
compatible con actualizar sistema desactualizado
programas de rea de operativo.
tableros
3 No existen Backup de Usuarios pueden Perdida de seguridad
programas en rea borrar archivos informacin en
electrnica importantes caso de dao.
4 No hay un control para Cualquier usuario No saber que Seguridad en sistema
los accesos de usuarios puede ingresar a usuario hizo que
realizar cambios
5 No existen planes de Dao de equipos o No contar con Seguridad lgica
contingencia en caso de mala manipulacin procedimientos
prdidas de informacin. de los mismos . para la
administracin de
la informacin
6 No se realizan copias de Dao de equipos o Ausencia de planes Seguridad lgica
seguridad de manera mala manipulacin para recuperacin
peridica de los recursos de los mismos. de informacin
crticos.
7 Falencia en cuanto a las No establecer Ausencia de un Manejo y control de
polticas de la polticas de Sistema de Gestin personal
implementacin del seguridad de la de Seguridad de la
Sistema de Seguridad. informacin. Informacin
8 Uso indebido del correo La mala utilizacin Fuga de Seguridad lgica
de electrnico del correo, ya que no informacin
se utiliza solo para

comunicacin
laboral.
9 Falta de controles para el Falta de precaucin y Robo de Seguridad lgica
acceso a internet. control de acceso informacin
10 No hay ups en los Cortes de luz Apagado Seguridad
equipos de planta inesperados inesperado de los
equipos lo que
genera perdida de
informacin
11 Falta de capacitacin de Personal no Perdida de Personal y seguridad
manejo de equipos para calificado para informacin
personal nuevo operar equipos
12 Falta de capacitacin Personal no Perdida de Personal y seguridad
para manejo de calificado para informacin
programas operar equipos
empresariales
13 No existe inventario de Perdidas de equipos Prdida de Seguridad
equipos. informacin o
equipos necesarios
14 Ruteo de cables para Posibilidad de corto Prdida de equipo y Personal tcnico
accesorios n es la circuito por cables de informacin
adecuada mal instalados adems de demora
en el proceso
15 Cables de red en mal No acceso al Se desconecta Hardware
estado intranet seguido y esto
demora los
procesos
16 Falta de actualizacin Contactar a personal Varios usuarios no Personal
de datos. que no se encuentre saben cmo
all trabajando por contactarse ni
error. conocer el personal
que trabaja en la
alcalda.
17 Falta de mantenimiento Humedad y polvo Perdida de Hardware
peridico Recalentamiento informacin por
dao en los
equipos.
Retraso en los
procesos debido a la
lentitud de los
equipos.
18 Puntos de acceso libres Escaneo de puertos, Fuga de REDES
Salto de directorio protocolos y informacin por
Fallas en la encriptacin servicios posible
de la informacin. Malware (virus, implantacin de
Infraestructuras troyanos, gusanos Malware
obsoletas informticos, Cada de servicios
Contraseas de usuarios bombas lgicas, etc.) por obsolescencia
poco seguros. Ataques de de los equipos
Contrasea. Prdida de
Integridad de la
informacin por
acceso no
autorizado.
19 Exceso de lneas Intercepcin de Incomunicacin COMUNICACIONES
telefnicas y de datos seales total
que no estn en uso. Ataques de Retraso en los
Envo masivo de interrupcin (corte procesos debido a
correos electrnicos de lneas telefnicas la lentitud de los
Datos personales de las y de datos) equipos.
personas que pertenecen Desvo de llamadas Sanciones
a la institucin Fallas en el fluido econmicas.
expuestos al pblico elctrico.

Pocas restricciones en el
contenido del servicio
de internet
20 Falta de capacitacin en Personal ajeno. Perdida de PERSONAL DEL
temas relacionados con Robo. informacin REA
seguridad informtica y confidencial por
otros acceso no
Desconocimiento de autorizado
medidas bsicas de Retraso en la
seguridad del rea de T.I prestacin de
servicios de T.I
PLAN DE AUDITORIA
Antecedentes:
La empresa de Yazaki ciemel S.A., requiere realizar peridicamente un plan de seguimiento a todos los
procesos tcnicos que desarrollan dentro de todas sus reas, debido a que quieren llevar un control estricto
en todos sus procesos y para esto es necesario realizar auditoras internas permanentes y de tipo externo
peridicamente para lograrlo.

Objetivos
Objetivo general:
Analizar y Evaluar los controles, los sistemas de cmputo, su utilizacin, eficiencia, utilidad, confianza,
privacidad y disponibilidad en el ambiente informtico como son los datos, hardware, software y sus
instalaciones, de la organizacin que participan en el procesamiento de la informacin.
Objetivos especficos:
- Objetivos de la auditoria de sistemas
- Asegurar una mayor integridad, confidencialidad de la informacin mediante la recomendacin
de seguridades y controles.
- Confidencialidad de la informacin, datos, hardware, software e instalaciones.
- Apoyo de funcin informtica a las metas y objetivos de la organizacin.
- Seguridad, Utilidad, confianza, Privacidad, y Disponibilidad en el ambiente informtico.
- Minimizar existencias de riesgos en el uso de Tecnologa de informacin.
- Decisiones de inversin y gastos innecesarios
- Presentar el informe de los hallazgos y observaciones como resultado de la auditoria.
Alcance y delimitacin
La presente auditoria pretende identificar las condiciones actuales de los sistemas de informacin y
tecnologas de comunicacin y el talento humano, con el fin de observar las posibles fallas, verificar el
cumplimiento de normas y optimizar el uso de los recursos.
Mediante la ejecucin de la auditoria se sistemas se evaluarn:
Las normas de control, tcnicas y procedimientos que se tienen establecidos en la organizacin para lograr
confiabilidad, seguridad y confidencialidad de la informacin.

Presentar los hallazgos analizados en el rea informtica, para que los administradores de informtica sean
quines tomen los correctivos y polticas aplicables que con lleven al logro de objetivos propuestos en caso
de que as se lo requiera dicho dictamen. Dentro de la Auditoria se realizar un anlisis sobre los sistemas
y redes de conexin.
Es importante destacar que con la ejecucin de esta auditora, no solo se tendrn identificados los riesgos
a los procesos del rea de sistemas, sino que tambin podr comprobar la calidad y capacidad de su
infraestructura tecnolgica y sus sistemas de informacin.
Justificacin
Desconocimiento por parte de la gerencia de la situacin actual del rea de sistemas.
Descubrimiento de fraudes efectuados desde cualquier equipo de cmputo y fallas de una
planificacin informtica.
Falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracin
del recurso humano y descontento general de los usuarios por incumplimiento de plazos y mala
calidad de los resultados.
Herramientas propuestas para la evaluacin
Cuestionarios
Entrevistas
Formularios Checklist
Inventarios del rea informtica
Reporte de bases de datos y archivos
Software de interrogacin (Paquetes de auditoria)
Fotografas
Diseos de flujos y de la red de informacin
Planos de distribucin e instalacin del centro de cmputo y los equipos
Certificados, garantas y licencias del software
Historial de cambios y mejoras de los recursos informticos
Determinacin de recursos de la Auditora Informtica
De acuerdo al estudio realizado se procede a determinar los recursos humanos y materiales que han de
emplearse para la ejecucin de la auditora.
Recursos Humanos
Se contar con el personal necesario e idneo para realizar el proceso de auditoria.
Recursos materiales
Es muy importante su determinacin, ya que la mayora son proporcionados por el cliente. Las herramientas
de hardware y de software propias del equipo van a utilizarse igualmente en el sistema auditado,
Los recursos materiales del auditor son de dos tipos:
Recursos materiales Software:
Programas propios de la auditora: Son muy potentes y Flexibles. Habitualmente se aaden a las
ejecuciones de los procesos del cliente para verificarlos.
Monitores: Se utilizan en funcin del grado de desarrollo observado en la actividad de Tcnica de Sistemas
del auditado y de la cantidad y calidad de los datos ya existentes.

Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control
deben efectuarse necesariamente en los equipos de cmputo del auditado.
CRONOGRAMA DE AUDITORIA
Marzo Abril Mayo

Actividades
21 al 1 al 9 10 al 17 al 24 al 01 al 7 08 al 15 al 22 al
31 16 23 30 14 21 29
Elaboracin plan de auditoria,
concertacin de objetivos y
definicin de recursos a utilizar
Elaboracin de cuestionarios e
instrumentos de evaluacin
Evaluacin de situaciones
deficientes y observacin de
los procedimientos
Revisin de funcionalidad de
sistemas de informacin, redes
e infraestructura
Anlisis de los resultados

obtenidos
Definicin de los debilidades y

fortalezas, los riesgos
eventuales y posibles
soluciones de mejora
Evaluacin del cumplimiento

de los objetivos de la auditoria
Redaccin del informe final
Presentacin del informe final

de auditoria
TRABAJO COLABORATIVO 2 METODOLOGIA DE LA AUDITORIA
METODOLOGA DE LA AUDITORIA DE SISTEMAS
Existen algunas metodologas de Auditoras de Sistemas y todas dependen de lo que se
pretenda revisar o analizar, se pueden definir muchas etapas diferentes, ms o menos
detalladas segn el criterio de cada auditor, las cuatro fases principales son:
Estudio preliminar
Planeamiento
Revisin y evaluacin de controles y seguridades
Examen detallado de reas criticas
Comunicacin de resultados
Informe
Seguimiento
Estudio preliminar: Esta etapa consiste en definir el grupo de trabajo, el Programa de Auditora,
efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un cuestionario
para la obtencin de informacin para evaluar preliminarmente el control interno, solicitud de plan
de actividades, Manuales de polticas, reglamentos, Entrevistas con los principales funcionarios.

Planeamiento: En esta etapa se define la estrategia que se debe seguir en la Auditora. Lo
anterior conlleva planear los temas que se deben ejecutar, de manera que aseguren la
realizacin de una Auditora de alta calidad y que se logre con la economa, eficiencia, eficacia
y prontitud debidas.
Partiendo de los objetivos y alcance previstos para la Auditora y considerando toda la
informacin obtenida y conocimientos adquiridos sobre la entidad en la etapa de exploracin,
el jefe de grupo procede a planear las tareas a desarrollar y comprobaciones necesarias para
alcanzar los objetivos de la Auditora.
Igualmente, debe determinar la importancia relativa de los temas que se van a auditar y reevaluar
la necesidad de personal de acuerdo con los elementos de que dispone.
Revisin y evaluacin de controles y seguridades: El propsito de esta etapa es recopilar las
pruebas que sustenten las opiniones del auditor en cuanto al trabajo realizado, es la fase, por
decir de alguna manera, del trabajo de campo, esta depende grandemente del grado de
profundidad con que se hayan realizado las dos etapas anteriores, en esta se elaboran los Papeles
de Trabajo y las hojas de nota, instrumentos que respaldan excepcionalmente la opinin del
auditor actuante.
Consiste de la revisin de los diagramas de flujo de procesos, realizacin de pruebas de
cumplimiento de las seguridades, revisin de aplicaciones de las reas crticas, Revisin de
procesos histricos (backups), Revisin de documentacin y archivos, entre otras actividades.

Examen detallado de reas crticas: Con las fases anteriores el auditor descubre las reas
crticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su
grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos, alcance
Recursos que usara, definir la metodologa de trabajo, la duracin de la Auditora, Presentar
el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo
anteriormente analizado.
Comunicado de resultados: Se elaborara el borrador del informe a ser discutido con los
ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara
esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque los
problemas encontrados , los efectos y las recomendaciones de la Auditora.
El informe debe contener lo siguiente:
Motivos de la Auditora.
Objetivos.
Alcance.
Estructura Orgnico-Funcional del rea Informtica.
Configuracin del Hardware y Software instalado.
Control Interno.
Resultados de la Auditora.
Informe: En esta etapa el Auditor se dedica a formalizar en un documento los resultados a
los cuales llegaron los auditores en la Auditora ejecutada y dems verificaciones vinculadas
con el trabajo realizado.
El informe parte de los resmenes de los temas y de las Actas de Notificacin de los
Resultados de Auditora que se vayan elaborando y analizando con los auditados,
respectivamente, en el transcurso de la Auditora.
La elaboracin del informe final de Auditora es una de las fases ms importante y compleja
de la Auditora, por lo que requiere de extremo cuidado en su confeccin.
El informe de Auditora debe tener un formato uniforme y estar dividido por secciones
para facilitar al lector una rpida ubicacin del contenido de cada una de ellas.
Seguimiento: En esta etapa se siguen, como dice la palabra, los resultados de una Auditora,
generalmente una Auditoria evaluada de Deficiente o mal, as que pasado un tiempo aproximado
de seis meses o un ao se vuelve a realizar otra Auditora de tipo recurrente para comprobar el
verdadero cumplimiento de las deficiencias detectadas en la Auditoria.
EMPRESA ESCOGIDA: YAZAKI CIEMEL S. A

Teniendo en cuenta que lo que se desea medir, analizar e identificar, son los problemas con los
que cuenta Yazaki Ciemel S.A., con respecto a la seguridad fsica y lgica de sus equipos,
adems la calidad y capacidad en su sistema informtico relacionado a funcionalidad,
operatividad y accesibilidad de la informacin respectivamente, se hace necesario orientar esta
auditoria hacia una Auditora informtica de seguridad.
La estructura del estndar Cobit
Se divide en dominios que son agrupaciones de procesos que corresponden a una
responsabilidad personal, procesos que son una serie de actividades unidas con delimitacin o
cortes de control y objetivos de control o actividades requeridas para lograr un resultado
medible. Se trabaj con los siguientes dominios y procesos:
Dominio: adquisicin e implementacin (ai)
- Proceso: ai2 adquirir y mantener software aplicativo
Dominio: servicios y soporte (ds)
- Proceso: ds7 educar y entrenar a los usuarios
DOMINIO: ADQUISICIN E IMPLEMENTACIN (AI)
PROCESO: AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO

Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este
proceso cubre el diseo de las aplicaciones, la inclusin apropiada de controles aplicativos y
requerimientos de seguridad, y el desarrollo y la configuracin en s de acuerdo a los estndares.
Esto permite a las organizaciones apoyar la operatividad del negocio de forma apropiada con
las aplicaciones automatizadas correctas.
Control sobre el proceso TI de Adquirir y dar mantenimiento a software aplicativo que satisface
el requisito de negocio de TI para construir las aplicaciones de acuerdo con los requerimientos
del negocio y hacindolas a tiempo y a un costo razonable enfocndose en garantizar que exista
un proceso de desarrollo oportuno y confiable.
Se logra con:
La traduccin de requerimientos de negocio a especificaciones de diseo
La adhesin a los estndares de desarrollo para todas las modificaciones
La separacin de las actividades de desarrollo, de pruebas y operativas
Se mide con:
Nmero de problemas en produccin por aplicacin, que causan tiempo perdido
significativo
Porcentaje de usuarios satisfechos con la funcionalidad entregada
Objetivos de control
AI2.5 Configuracin e implantacin de software aplicativo adquirido: configurar e
implementar software de aplicacin adquirido para conseguir los objetivos del negocio.
AI2.10 Mantenimiento de software aplicativo: desarrollar una estrategia y un plan
para el mantenimiento de aplicaciones de software.
Objetivos General
Alinear los requerimientos del negocio con las especificaciones tcnicas y de diseo
para la adquisicin de software, de forma tal que se pueda responder a las directivas
tecnolgicas y a la arquitectura de informacin manejada por la organizacin.
Aplicar los controles necesarios para garantizar el procesamiento correcto y oportuno
de la informacin, as como tambin para cumplir con los niveles de seguridad
obligatorios.
Garantizar la disponibilidad de las aplicaciones de forma que se d respuesta a los
requerimientos de tiempo de repuesta y manejo de la informacin.
Implementar estrategias con tendencia a asegurar el mantenimiento de las aplicaciones
y un alto nivel de calidad en las mismas.
ALCANCE
Se quiere comprobar cules son los controles manejados por la organizacin en la adquisicin
de software y de qu forma se garantizan tanto la calidad y buen desempeo, como la seguridad
en el manejo de las aplicaciones y la informacin que se pone a su disposicin.

Aplicaremos los instrumentos y herramientas para la auditoria:
Para esta fase se utilizaran las siguientes herramientas:
Entrevistas, cuestionarios de control, lista de chequeos sern entregados con anticipacin a
los empleados directos del rea a auditar.
- Lista de chequeo
Sistema de informacin Yazaki Ciemel S.A.

Cuestionario de Control
Dominio Adquisicin e Implementacin
Proceso AI2: Adquirir y mantener software aplicativo
Pregunta Si No OBSERVACIONES
Existe un plan de pruebas del proyecto y un proceso de X
aprobacin del usuario
Los materiales de soporte y referencia para usuarios, as

como las instalaciones de ayuda en lnea estn
disponibles?
Son autorizadas y probadas las correcciones realizadas? X
Se posee un registro de fallas detectadas en los equipos? X
Existen procesos de adquisicin y mantenimiento de X El proceso de Adquirir y
aplicaciones, con diferencias pero similares, en base a la Mantener Software Aplicativo
experiencia dentro de la operacin de TI. est en el nivel de madurez
Se da el proceso de reevaluacin siempre que ocurren

discrepancias tecnolgicas y/o lgicas significativas?
Se cuenta con servicio de mantenimiento para todos los X
equipos?
Se lleva a cabo actualmente un plan de mantenimiento
para la solucin del sistema de informacin?
Existe un proceso claro, definido y de comprensin X Dar a conocer el proceso de
general para la adquisicin y mantenimiento de software adquisicin y mantenimiento
aplicativo. Este proceso va de acuerdo con la estrategia del Sistema de Informacin
de TI y del negocio? (software) y aplicaciones
Tiene el sistema de informacin manuales tcnicos, de X
operacin y de usuario?
El personal que se encarga del mantenimiento es X
personal capacitado?
Se lleva un procedimiento para la adquisicin de X
nuevos equipos?
Existe una metodologa formal y bien comprendida que X Determinar la metodologa
incluye un proceso de diseo y especificacin, un criterio formal para la documentacin
de adquisicin, un proceso de prueba y requerimientos del software en uso.
para la documentacin?
Son compatibles software y hardware? X
Anlisis y evaluacin de riesgos del proceso: AI2 Adquirir y mantener software aplicativo
N Descripcin Probabilidad Impacto

Baja 0- Medi Alta 61- L M C
30% a 31- 100%
60%
R1 falta de mantenimiento de los equipos X X
R2 Equipos con bajo rendimiento X X
R3 No se ha asignado un espacio locativo para el X X
ejercicio del mantenimiento preventivo y
correctivo.
R4 No se ha definido un protocolo para la X X
organizacin de los equipos dependiendo que
clase de mantenimiento se proceder a efectuar
R5 No hay una hoja de vida de la existencia X X
de los equipos
R6 Sobrecalentamiento de equipos de computo X X
R7 No existe monitorio continuo de software X X
instalado en los equipos de computo
R8 Salida de informacin por accesos no X X
autorizados
R9 Sistemas operativos mal configurados X X
y mal organizados
R10 El Software no cumple con los estndares de X
seguridad requeridos pues nunca fue diseado
para dar soporte a una organizacin.
R11 Daos al software y sistema operativo de los X
equipos de la empresa
R12 Software sin licencia X
R13 aplicativos cumplan con los requerimientos del X
negocio
R14 No hay plan de gestin de riesgos de X
seguridad de la aplicacin
Resultado Matriz de probabilidad
R1, R4,R7,R10,R Menor impacto o probabilidad de ocurrencia

PROBABILIDAD
Alto 61-100% R2,R5,R6,R12 11,R13,R14

Medio 31-60% R2, R5 R6 Probabilidad y ocurrencia media
Bajo 0-30% R3, R7 R9 Alta probabilidad de ocurrencia
Leve Moderado Catastrfico
IMPACTO
Cuadro de hallazgos detectados, identificando la posible causa que los origina, y los recursos afectados
Hallazgos Causas Recursos Afectados Recomendaciones

No se cuenta con un Cuando se instalaron programas en la seguridad de la Evaluar e implementar un
Software que permita la los equipos con los que cuenta la informacin de la software que permita
seguridad de los programas empresa no se asegur que se empresa, las claves de los mantener el resguardo de
y la restriccin y/o control acceso de los archivos de
tuviera la suficiente seguridad para usuarios autorizados
del acceso de los mismos programas y de los
que
estos no fueran manipulados por programadores.
otras personas
Las modificaciones a Cuando se incrementa an ms la Las actualizaciones en Implementar y conservar
los programas son posibilidad de producir cuanto a los cambios en todas las documentaciones
solicitadas modificaciones errneas y/o no los programas. de prueba de los sistemas,
generalmente sin notas autorizadas a los programas o como as tambin las
internas, en donde se archivos y que las mismas no sean modificaciones y
describen los cambios o detectadas en forma oportuna aprobaciones de programas
modificaciones que se
realizadas por los usuarios
requieren.
No cuenta con La escasa documentacin El desarrollo del trabajo Elaborar la documentacin
documentaciones tcnicas tcnica de cada sistema dificulta del usuario del trabajo del tcnica correspondiente a
del sistema integrado de la compresin de las normas, usuario, la capacitacin de los sistemas
la Empresa y tampoco no implementados y
demandando tiempos un nuevo personal.
cuenta con un control o establecer normas
registro formal de las considerables para su
mantenimiento e y procedimientos para los
modificaciones
desarrollos en forma
efectuadas. imposibilitando la capacitacin
peridica y su
del personal nuevo en el rea.
actualizacin.
Software sin licencia Equipos sin licencia, debido al alto Prdidas de informacin Utilizar software gratuito o
costo de las mismas. causadas por fallas en los sacar crdito con banco
sistemas, y a incurrir en para evitar posibles multas.
gastos extra por no contar Debe ser resuelto
con garantas y asistencia inmediatamente
formal.
Falta de planes y Poca informacin personal sin El sistema se ve afectado Aplicar la solucin ms efectiva
posible.
Programas experiencia al no poderse actualizar de
Informticos acuerdo a las tecnologas
actuales, igualmente se
afecta a la gestin de la
documentacin.
DOMINIO: ENTREGAR Y DAR SOPORTE
PROCESO: DS7 EDUCAR Y ENTRENAR A LOS USUARIOS
Para una educacin efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos dentro
de TI, se requieren identificar las necesidades de entrenamiento de cada grupo de usuarios.
Adems de identificar las necesidades, este proceso incluye la definicin y ejecucin de una
estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados.
Un programa efectivo de entrenamiento incrementa el uso efectivo de la tecnologa al disminuir
los errores, incrementando la productividad y el cumplimiento de los controles clave tales como
las medidas de seguridad de los usuarios.
Satisface el requerimiento del negocio de TI para: El uso efectivo y eficiente de soluciones
y aplicaciones tecnolgicas y el cumplimiento del usuario con las polticas y procedimientos
Enfocndose en:
Un claro entendimiento de las necesidades de entrenamiento de los usuarios de TI, la
ejecucin de una efectiva estrategia de entrenamiento y la medicin de resultados
Se logra con
Establecer un programa de entrenamiento
Organizar el entrenamiento
Impartir el entrenamiento
Monitorear y reportar la efectividad del entrenamiento
Y se mide con
Nmero de llamadas de soporte debido a problemas de entrenamiento
Porcentaje de satisfaccin de los Interesados con el entrenamiento recibido
Lapso de tiempo entre la identificacin de la necesidad de entrenamiento y la imparticin
del mismo
Objetivos de control:
DS7.1 Identificacin de Necesidades de Entrenamiento y Educacin
DS7.2 Imparticin de Entrenamiento y Educacin
DS7.3 Evaluacin del Entrenamiento recibido
Diseo de instrumentos de recoleccin de informacin
Listas de chequeo:
Cuestionario de control C1
Empresa: Yazaki Ciemel S.A.
Dominio Entregar y dar soporte
Proceso DS7 Educar y entrenar a los usuarios
Objetivo de control Identificacin de necesidades y de entrenamiento y educacin
Cuestionario
Pregunta Si No N/A Observaciones
Se llevan a cabo entrenamientos a X Si se realizan entrenamientos, los cuales
los funcionarios de la empresa? son de carcter obligatorio
Se cuenta con un registro de los X Se lleva a cabo un anlisis de factibilidad
prerrequisitos para la ejecucin de
la capacitacin?
La empresa tiene material de X Los materiales de entrenamiento son
entrenamiento para transferir el tomados como los distintos manuales que
conocimiento? se tienen a la hora de entrega de un
software
Se cuenta con la opinin y el X El rea de sistemas trabaja en conjunto
apoyo de las dems reas para la con el departamento de recursos humanos
planeacin de las capacitaciones? para llevar a cabo las capacitaciones y
comunicacin de los planes hacia los
dems empleados.
Se tiene en cuenta la opinin del X Se tienen en cuenta los aportes de los
usuario en estas actividades de usuarios para realizar los planes de
comunicacin de servicios, comunicacin y capacitacin.
capacitacin y soporte?
Existe un registro de llamadas de X No se cuenta con dicho registro
soporte debido a problemas por
falta de entrenamiento?

Objetivo de control Imparticin de entrenamiento y educacin
Cuestionario
Las capacitaciones van dirigidas a X A todos los usuarios que requieran del
todos los grupos de usuarios de la uso de software para el cumplimiento de
empresa? sus funciones
Se utilizan mtodos para la X Se cuenta con polticas de capacitacin
imparticin del conocimiento? establecidas para el personal nuevo y para
la capacitacin en la implementacin de
software nuevo pero no se especifican
mtodos de capacitacin ni el
procedimiento a seguir
La documentacin existente est X Al momento de realizar un software se
disponible para la transferencia de muestran manuales tanto tcnicos como
conocimiento a los usuarios? de usuarios y estn disponibles para que
los usuarios accedan a ellos y se
instruyan
Se tiene definido un mtodo para la X No hay un mtodo definido para la
designacin de los instructores para designacin de instructores de
la capacitacin? capacitacin
Se cuenta con un registro de los X No se cuenta dicho registro
usuarios que han recibido
capacitacin?

Objetivo de control Evaluacin del entrenamiento recibido
Cuestionario
Se cuenta con control sobre los X No se cuenta con los acuerdos de
acuerdos de confidencialidad confidencialidad
firmados por los empleados
acerca de la informacin
manejada en la empresa?
Se han ejecutado revisiones X Luego de llevar a cabo las capacitaciones
posteriores a las actividades de se realizan revisiones posteriores
comunicacin y cules son sus
resultados?
Existe un proceso definido para X No hay especificacin de dicho proceso
la evaluacin el desempeo
dentro de las capacitaciones?
Las actividades de comunicacin X Es ocasiones se realizan modificaciones a
son llevadas a cabo segn lo los condiciones iniciales
planeado inicialmente?
Se tienen procesos definidos X No se tienen procesos definidos para
para monitorear la efectividad en medir la efectividad de las capacitaciones
las semanas posteriores de tiempo despus de haber sido realizadas
haberse realizado las
capacitaciones y actividades de
comunicacin?
Anlisis y evaluacin de riesgos
Riesgos / Probabilidad Impacto

Valoracin A M B C M L
R1 No se cuenta con personal capacitado para la ejecucin de X X
las capacitaciones
R2 No hay metodologas definidas para la planeacin de las X X
capacitaciones
R3 No se lleva registro de llamadas a soporte tcnico X X
R4 No se especifican mtodos para la imparticin de X X
conocimiento
R5 No hay mtodo definido para la seleccin de instructores X X
de capacitacin
R6 No existe registro de usuarios que han recibido X X
capacitacin
R7 No hay registro sobre los acuerdos de confidencialidad X X
R8 No hay proceso definido para la evaluacin de desempeo X X
en las capacitaciones
R9 No se lleva a cabalidad los planes diseados para la X X
capacitacin
R10 No se realiza evaluacin de la efectividad tiempo despus X X
de haber sido realizadas las capacitaciones
R11 No hay conocimiento de los usuarios sobre las polticas de X X
seguridad de la informacin
R12 Desconocimiento de medidas bsicas de seguridad del rea X X
de tecnologas de la informacin
- Clasificacin de riesgos
Impacto
Alto R9 R2, R6, R10
Probabilidad
Medio R4, R8 R3, R5, R11 R7, R12

Bajo R1
- Gua de hallazgos H1
Empresa: Yazaki Ciemel S.A. R/PT: P1

Hallazgos dela auditoria H1
Dominio Servicios y soporte
Objetivo de control Identificacin de necesidades de entrenamiento y educacin
Riesgos asociados R1, R3, R5
Descripcin
No se cuenta con una metodologa para la seleccin del personal que realizara la capacitacin,
por lo cual en muchas ocasiones se elige personal que no est capacitado o no cuenta con el
conocimiento suficiente sobre el hardware o software que se va a tratar. Adicionalmente, para
la planeacin de las capacitaciones no se tienen en cuenta los temas relacionados con las
llamadas realizadas a soporte tcnico.
Causa
Falta de personal en la empresa con el conocimiento suficiente para poder impartir las
capacitaciones.
No hay control sobre los soportes realizados.
Recursos afectados
Integridad de los datos en los sistemas de informacin
Recomendacin
Solicitar apoyo con las empresas proveedoras de los productos de hardware y software, para que
el personal de sistemas pueda recibir orientaciones directamente de ellos, con el fin de que el
rea de sistemas se pueda estar actualizando constantemente sobre el uso de las herramientas y
puedan brindar mejores capacitaciones y soportes a las dems reas .
Disear planillas en donde se registre el rea que solicita el soporte, fecha, hora, motivo y
descripcin del soporte realizado, y firma del que da el soporte y quien lo recibe.
Nivel de riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto es
moderado

Objetivo de control Imparticin de entrenamiento y educacin
Riesgos asociados R2, R4, R6, R11, R12
Descripcin
No se tienen definidos los mtodos que sern utilizados para la ejecucin de las
capacitaciones, adems no se lleva control del personal que ha recibido capacitacin y
sobre qu temas.
Causa
Falta de organizacin del personal y de investigacin sobre mtodos de imparticin de
conocimiento
Recursos afectados
Seguridad de la informacin y recursos tecnolgicos
Recomendacin
Entre el rea de sistemas y recursos humanos debern definir la metodologa estndar que
ser usada para la ejecucin de las capacitaciones, tomando como base la cantidad de
empleados y las temticas que se van a tratar.
Para cada actividad de comunicacin y capacitacin se llevara un formato en donde se
registre el asunto de la capacitacin, fecha, hora de inicio y fin, nombre del instructor, y
cdigo, nombre, rea y firma de las personas asistentes.
Nivel de riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto
es moderado

Objetivo de control Evaluacin de entrenamiento recibido
Riesgos asociados R7, R8, R9, R10
Descripcin
Aunque desde el principio se realiza un plan y cronograma de trabajo para la
capacitacin no es llevado a cabalidad, lo que genera que muchos temas que tratar no se
realicen. Posterior a esto no se realiza seguimiento en las actividades de los empleados
para verificar que estn haciendo buen uso de los recursos y sistemas informticos
Causa
No se realiza un buen diseo en el cronograma, dejando por fuera temticas que son
importantes tratar, lo cual genera alteraciones en el tiempo de ejecucin.
Recursos afectados
Credibilidad de la empresa ante los clientes
Recomendacin
Hacer un estudio previo teniendo en cuenta las opiniones de los dems empleados, as se
podr tener una idea ms clara de los problemas que ms se presentan en las diferentes
reas, y as mismo poder realizar un cronograma que se acomode mejor con las
necesidades. Igualmente, con ayuda de las opiniones de los empleados se puede buscan
los mtodos de imparticin de conocimiento que ms se acomoden al grupo de usuarios y
temticas a tratar.
Nivel de riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto es
moderado
FORMATOS Y PROCESOS RAFAEL ALEJANDRO ROZO VEGA
ANLISIS DE RIESGOS
VULNERABILIDADES:
1. Falta de actualizacin de los programas en versiones compatibles con sistemas ms
avanzados.
2. No existen Backup de programas en rea electrnica.

3. Falta de controles para el acceso a internet.
4. No existe inventario de equipos.
5. Cables de red en mal estado.
6. No hay UPS en los equipos de planta.
AMENAZA:
1. programas no corren y generan errores.
2. No se puede actualizar el sistema operativo.
3. Usuarios pueden borrar archivos importantes.
4. Falta de precaucin y control de acceso.
5. Perdidas de equipos.
6. No acceso al internet.
7. Cortes de luz inesperados.
RIESGOS:
1. Daos en programas.
2. Computador desactualizado.
3. Perdida de informacin en caso de dao.
4. No contar con procedimientos para la administracin de la informacin.

5. no existe inventario de equipos.
6. Robo de informacin.
7. Robo o perdidas de equipos.
8. Demoras en los procesos.
9. Apagados inesperados y perdidas de informacin.
ANALISIS DE RIESGOS
Baja Media Alta Leve Moderado Catastrfico
R1 Daos en programas. x x
R2 Computador
x x
desactualizado.
R3 Perdida de informacin
x x
en caso de dao.
R4 No contar con
procedimientos para la
X x
administracin de la
informacin.
R5 No existe inventario de
x x
equipos
R6 Robo de informacin. X x
R7 Robo o perdidas de
X x
equipos.
R8 Demoras en los procesos. X x
R9 Apagados inesperados y
x x
perdidas de informacin.
Resultado Matriz de riesgos para hardware
R7, R8 R6
Alto
61-100%
Medio R2 R5 R3, R4
31-60%
PROBABILIDAD
Bajo R9 R1
0-30%
IMPACTO
Menor impacto o probabilidad de ocurrencia
Probabilidad y ocurrencia media
Alta probabilidad de ocurrencia

Programa De Auditoria
Dominio: Adquisicin e Implementacin
Proceso: Adquisicin y mantenimiento de la infraestructura tecnolgica (AI3)
- AI3.1 Plan de Adquisicin de Infraestructura Tecnolgica
- AI3.2 Proteccin y Disponibilidad del Recurso de Infraestructura
- AI3.3 Mantenimiento de la Infraestructura
Objetivo de control: El objetivo es proporcionar infraestructura apropiada para soportar las
diferentes aplicaciones que son necesarias para el desarrollo de operaciones en la empresa Yazaki
Ciemel S.A., mediante la realizacin de una evaluacin del desempeo del hardware y software,
y la compatibilidad entre los dos elementos, la provisin de mantenimiento preventivo de hardware
y la instalacin, seguridad y control del software del sistema, de esta manera actualizar y mejorar
todos aquellos problemas que pueden generar fallas de rendimiento.
Dominio: Entregar y Dar Soporte
Proceso: Administracin de las instalaciones (DS12)

- DS12.2 Medidas de seguridad fsica
- DS12.3 Acceso Fsico
- DS12.4 Proteccin Contra Factores Ambientales
- DS12.5 Administracin de Instalaciones Fsicas
Objetivo de control: Proporcionar un ambiente fsico conveniente que proteja al equipo y al
personal de TI contra peligros naturales (fuego, polvo, calor excesivo), fallas humanas (mala
manipulacin del equipo), robos de equipos; con la instalacin de controles fsicos, ambientales y
de seguridad.
CUESTIONARIO PARA HARDWARE Y SOFTWARE
Empresa Yazaki Ciemel S. A
Cuestionario de Control: C1
Proceso AI3: Adquirir y mantener la arquitectura tecnolgica
Pregunta Si No OBSERVACION
ES
Se cuenta con un inventario de equipos de cmputo? 3
Si existe inventario contiene los siguientes tems?
Nmero del computador
Fecha
Ubicacin
Responsable
Caractersticas (memoria, procesador, monitor, disco
duro)
Se posee un registro de fallas detectadas en los equipos? 5
En el registro de fallas se tiene en cuenta con los
siguientes datos?
Fecha
Hora
Nmero del computador
Encargado
Al momento de presentar una falla en el equipo, la De un da a 5 das
atencin que se presta es?
Inmediata
De una a 24 horas
De un da a 5 das
Ms de 5 das
Se cuenta con servicio de mantenimiento para todos los 3
equipos?
Qu tipo de mantenimiento se lleva a cabo? Correctivo
Mantenimiento preventivo
Mantenimiento correctivo
Los empleados pueden instalar y desinstalar programas 5
en el computador?
Al finalizar el horario de trabajo, se hace una revisin 3
de los equipos?
El personal que se encarga del mantenimiento es 4
personal capacitado?
Se lleva un procedimiento para la adquisicin de nuevos 3
equipos?
La infraestructura tecnolgica de los equipos soporta la 3
instalacin de diferentes sistemas operativos?
Son compatibles software y hardware? 4
Los equipos se encuentra con software actualizado? 3
TOTALES 25 13
Porcentaje de riesgo parcial = (Total SI * 100) / Total
Porcentaje de riesgo parcial = (22*100) /38
Porcentaje de riesgo parcial = 65.79
Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial
Porcentaje de riesgo = 100 65.79
Porcentaje de riesgo = 34.21

RIESGO:
Porcentaje de riesgo parcial = 65.79
Porcentaje de riesgo = 34.21
Impacto segn relevancia del proceso = Riesgo medio
Dominio Entregar y Dar Soporte
Proceso DS12: Administracin de las instalaciones

Pregunta Si No OBSERVACIONES
existen cmaras de seguridad? 4
Las oficinas se encuentran ventiladas? 3
Son hmedas las oficinas? 3
la empresa cuenta con accesos restringidos? 4
Con que frecuencia se presentan apagones? Casi nunca
Todos los das
Una vez a la semana
Una vez al mes
Casi nunca
Las oficinas cuentan con detectores de Humo, fuego? 3
tiene medios para la extincin del fuego? 4
tienen sistemas de seguridad para evitar la extraccin de 3
equipos de las oficinas?
En qu estado se encuentra el cableado de los equipos? Regular
Malo
Bueno
regular
TOTALES 18 6
Porcentaje de riesgo parcial = (Total SI * 100) / Total
Porcentaje de riesgo parcial = (18*100) /24
Porcentaje de riesgo parcial = 75

Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial
Porcentaje de riesgo = 100 75
Porcentaje de riesgo = 25
RIESGO:
Porcentaje de riesgo parcial = 75
Porcentaje de riesgo = 25
Impacto segn relevancia del proceso = Riesgo bajo

LISTA DE CHEQUEO PARA HARDWARE
F-CHK 01
Fecha: 21 de abril de 2016
Realizado por:
Check
Existe sistema de ventilacin
El cableado elctrico est protegido
Los conectores de alimentacin de energa estn en buen
estado
Los equipos de cmputo tienen todas sus partes
Hay equipos con tecnologa obsoleta
Los equipos que se encuentren en mal estado
El cableado estructurado se encuentra en buen estado
Existe un sistema de seguridad
El cableado que corresponde al equipo est protegido

GUIA DE PRUEBA
Aulas de informtica Facultad de Ingeniera
ID Gua de Prueba: GP1
Dominio Dominio: Adquisicin e Implementacin
Proceso: Adquisicin y mantenimiento de la infraestructura
Proceso tecnolgica (AI3)
Objetivo de Control - AI3.1 Plan de Adquisicin de Infraestructura Tecnolgica
- AI3.2 Proteccin y Disponibilidad del Recurso de Infraestructura
- AI3.3 Mantenimiento de la Infraestructura
ID Riesgos Asociados R1, R2, R5, R7, R8
No. Evidencia Descripcin
1 Segn lo observado en el No se encuentra con un inventario de los equipos al da, lo
cuestionario C1 no se cuenta con cual hace que se presente una desactualizacin la cual
un inventario apropiado puede ocasionar perdidas de equipos de algunas oficinas
2 Segn el cuestionario podemos observar que se realiza

Se realiza mantenimiento de los
mantenimiento correctivo, pero no se crea un historial de
equipos
fallas por equipo
3 Al finalizar el horario de trabajo,
No muchos de los empleados al finalizar su trabajo da un
los empleados realizan una
reporte sobre el estado del equipo
revisin del equipo a cargo
4 La infraestructura tecnolgica El cuestionario indica que hay algunos problemas en la
de los equipos tiene problemas infraestructura tecnolgica ya que hay problemas de
de compatibilidad con diferentes compatibilidad entre sistemas operativos y software
sistemas operativos aplicativo.
Aulas de informtica Facultad de Ingeniera 207-208
Dominio Dominio: Entregar y Dar Soporte
Proceso Proceso: Administracin de las instalaciones (DS12)
Objetivo de Control - DS12.3 Acceso Fsico
- DS12.4 Proteccin Contra Factores Ambientales
- DS12.5 Administracin de Instalaciones Fsicas
ID Riesgos Asociados R9

1 La empresa no cuenta con un sistema de seguridad
Sistema de seguridad ineficaz
completo, tanto en oficinas y dems lugares de la empresa.
ENTREVISTAS
FORMATOS DE ENTREVISTA PARA HARDWARE Y SOFTWARE
REF
PLAN
ENTIDAD Empresa Yazaki Ciemel S. A PAGINA
AUDITADA
1 D 1
OBJETIVO
AUDITORA
PROCESO Indicadores de funcionamiento del hardware y software
AUDITADO
RESPONSABLE
MATERIAL DE SOPORTE COBIT
DOMI PROCE
NIO SO
ENTREVISTADO
CARGO
1. Las caractersticas del equipo son suficientes para el desempeo de su trabajo?
_____________________________________________________________________
2. Qu hace en caso de que el equipo falle? a quin acude? ____________________
_____________________________________________________________________
3. Cuntos Mantenimiento se le han realizado al equipo? ________________________
4. Qu nivel de conocimientos tiene en el manejo de un Computador y/o Mvil?
_____________________________________________________________________
5. Qu tipos de programas utiliza a diario? ___________________________________
_____________________________________________________________________
6. Cunto tiempo dura el equipo encendido? __________________________________
_____________________________________________________________________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA
FORMATOS Y PROCESOS JOSE ROBERTO QUECAN
ANLISIS DE RIESGOS
VULNERABILIDAD
1. Falta de actualizacin de los programas en versiones compatibles con sistemas ms
avanzados.
2. Sistema operativo no compatible con programas de rea de tableros.
3. No existen Backup de programas en rea electrnica.

4. No hay un control para los accesos de usuarios.
5. No existen planes de contingencia en caso de prdidas de informacin.
6. No se realizan copias de seguridad de manera peridica de los recursos crticos.
7. Falencia en cuanto a las polticas de la implementacin del Sistema de Seguridad.
8. Falta de controles para el acceso a internet.
9. No hay ups en los equipos de planta.
10. Falta de capacitacin de manejo de equipos para personal nuevo.
11. Falta de capacitacin para manejo de programas empresariales
12. No existe inventario de equipos.
13. Ruteo de cables para accesorios no es la adecuada.
14. Cables de red en mal estado.
15. Falta de actualizacin de datos.
16. Falta de mantenimiento peridico.
17. Pocas restricciones en el contenido del servicio de internet
18. Falta de capacitacin en temas relacionados con seguridad informtica y otros
19. Desconocimiento de medidas bsicas de seguridad del rea de T.I
AMENAZAS
1. Programas no corren y genera errores.
2. Usuarios pueden borrar archivos importantes.
3. Cualquier usuario puede ingresar a realizar cambios
4. Dao de equipos o mala manipulacin de los mismos.
5. No establecer polticas de seguridad de la informacin.
6. Cortes de luz inesperados.

7. Personal no calificado para operar equipos .
8. Perdidas de equipos
9. Posibilidad de corto circuito por cables mal instalados .
10. Humedad y polvo.
11. Recalentamiento.
12. Malware (virus, troyanos, gusanos informticos, bombas lgicas, etc.)
13. Intercepcin de seales
14. Fallas en el fluido elctrico.
RIESGOS
1. Dao en programas.
2. Perdida de informacin en caso de dao.
3. No contar con procedimientos para la administracin de la informacin.
4. Ausencia de planes para recuperacin de informacin.
5. Ausencia de un Sistema de Gestin de Seguridad de la Informacin.
6. Robo de informacin.
7. Apagado inesperado de los equipos lo que genera perdida de informacin.
8. Prdida de equipo y de informacin adems de demora en el proceso.
9. Se desconecta seguido y esto demora los procesos.
10. Retraso en los procesos debido a la lentitud de los equipos.
11. Retraso en la prestacin de servicios de T.I

MATRIZ DE PROBABILIDAD DE IMPACTO
Matriz de probabilidad de ocurrencia e impacto segn relevancia del proceso
Zona de Riesgo Zona de riesgo Zona de riesgo
Alto Moderado Importante Inaceptable
61-100%
Medio Zona de riesgo Zona de riesgo Zona de riesgo
31-60% Tolerable Moderado Importante

PROBABILIDAD
Bajo Zona de riesgo Zona de riesgo Zona de riesgo Moderado
0-30% Aceptable Tolerable
IMPACTO
ANALISIS DE RIESGOS
R1 Dao en programas X X
R2 Perdida de informacin en X X
caso de dao
R3 No contar con X X
administracin de la
informacin
R4 Ausencia de planes para X X
recuperacin de
informacin
R5 Ausencia de un Sistema de X X
Gestin de Seguridad de la
Informacin
R6 Robo de informacin X X
R7 Apagado inesperado de X X
los equipos lo que genera
perdida de informacin
R8 Prdida de equipo y de X X
informacin adems de
demora en el proceso
R9 Se desconecta seguido y X X
esto demora los procesos

R10 Retraso en los procesos X X
debido a la lentitud de los
equipos
R11 Retraso en la prestacin de X X
servicios de T.I
Resultado Matriz de riesgos
R8 R1,R2
Alto
61-100%
Medio R3 R4,R5,R6,R7,R11 R9,R10
31-60%
PROBABILIDAD
Bajo
0-30%
IMPACTO

La estructura del estndar Cobit
Se divide en dominios que son agrupaciones de procesos que corresponden a una
responsabilidad personal, procesos que son una serie de actividades unidas con delimitacin o
cortes de control y objetivos de control o actividades requeridas para lograr un resultado
Dominio: Monitorear y evaluar
Monitorear todos los procesos para asegurar que se sigue la direccin provista
Procesos:
M1 Monitorear y evaluar el proceso de TI:
Objetivo: El objetivo es asegurar el logro de los objetivos establecidos para los procesos
de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de
desempeo gerenciales y la implementacin de sistemas de soporte as como la atencin
regular a los reportes emitidos.

La auditoria se realizo en las instalaciones de Yazaki Ciemel .EL personal que se audito
y a quienes e les aplico la encuesta y la entrevista fueron :
ING.Erica MArtinez (jefa de rea )
Camilo Jimenez (tcnico encargado)
Dominio Monitorear y evaluar
Proceso M1 Monitorear y evaluar el proceso de TI:
Pregunta Si No OBSERVACION
ES
Se realiza mantenimientos a equipos de la planta? 5
El tcnico encargado realiza backups en los equipos 5
de la compaa?
el jefe del rea revisa que las incidencias presentadas 3
por los usuarios

El jefe de rea revisa que se cierren las incidencias 2
generadas por los usuarios?
Existen registros para el arreglo de los equipos? 1
Se cuenta con tcnicos suficientes para resolver los 2
inconvenientes?
EL personal tcnico est capacitado para realizar las 5
tareas?
Existe un cronograma para las actividades diarias? 5
Tiene plan de mantenimiento, preventivo y correctivo? 5
Los servidores cuentan con la capacidad suficiente? 3
Se capacita al personal que se le asigna un equipo? 3
Se lleva un control para el acceso de usuarios a 2
equipos?
Se tiene un control sobre la instalacin de nuevos 1
programas?
Existen backups de los equipos? 5
Se cuenta con las herramientas indicadas para dar 3
soporte?
Se cuenta con soporte externo para programas 3
especiales?
TOTALES 21 31
PORCENTAJE DE RIESGO:
Porcentaje de riesgo parcial = (21*100)/52= 40,38 (Total SI * 100) / Total
Porcentaje de riesgo = (100-40.38)= 59,62( 100 - Porcentaje de riesgo parcial)
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorizacin:
1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto

DE acuerdo a esto anlisis se obtuvieron los siguientes resultados:
RIESGO:
Porcentaje de riesgo parcial: = 40,38%
Porcentaje de riesgo = 59,62
Impacto segn relevancia del proceso: Riesgo Medio
LISTA DE CHEQUEO
YAZAKI CIEMEL
Fecha: 25 de ABRIL de 2016
Realizado por: JOSE ROBERTO QUECAN
Check
Se Realizan Planes De Mantenimiento
El Cableado Elctrico Est Protegido Y En Buen Estado
Los Conectores De Alimentacin De Energa Estn En Buen
Estado
Los Equipos De Cmputo Tienen Todas Sus Partes
Se Cuenta Con Discos Para Realizar Backups
Los Equipos Que Se Encuentren En Mal Estado
Se Cuenta Con Hojas De Vida De Los Equipos
GUIA DE PRUEBA
Instalaciones Yazaki Ciemel
Dominio Dominio: Monitorear y evaluar
Proceso: M1 Monitorear y evaluar el proceso de TI

Proceso
Objetivo de Control El objetivo es asegurar el logro de los objetivos establecidos para los
procesos de TI.
ID Riesgos Asociados R4,R6,R8
1 Segn el cuestionario no se No estn realizando backups de seguridad para la
tiene un sistema para guardar informacin almacenada en el rea
informacin
2 No se cuenta con un
No hay un encargado para el mantenimiento de los
mantenimiento
equipos del rea de elctrica
3 No hay una designacin de usuarios par esta rea por tal

No se cuenta con seguridad para
motivo cualquier usuario puede ingresar y realizar
los equipos del rea de elctrica
cambios en los equipos .
OBJETIVO Asegurar el logro de los objetivos establecidos para los procesos de TI.
AUDITORA
PROCESO Proceso en rea de elctrica
AUDITADO
RESPONSABLE JOSE REOBERTO QUECAN
MATERIAL DE SOPORTE COBIT
DOMI Monitorear y evaluar PROCE M1 Monitorear y evaluar el proceso
NIO SO de TI
ENTREVISTADO Erika Martinez
CARGO Supervisor Area de electrica
7. Las caractersticas de los equipos son suficientes para el desempeo de los programas en el
rea de trabajo?
Considero que hacen falta que actualicen los equipos ya que tenemos equipos para que
funcione un solo programa ya que no es compatible con otros programas
8. Qu hace en caso de que algn programa falle? a quien acude?
Cuando se presenta alguna falla se llama al departamento de sistemas para que enven un
tcnico y de acuerdo a la gravedad del dao ellos acuden al llamado
9. Cuntos mantenimientos programados realiza al ao?
En el ao realizan un solo mantenimiento

10. Qu nivel de conocimientos tiene el personal tcnico encargado de un Computador?
Se ve que tiene manejo aunque hay problemas que no pueden resolver y deben acudir a su
jefe o en ocasiones buscan ayuda externa .
11. Necesita de ayuda exterior para solucionar inconvenientes?
Si en ocasiones
12. Los inconvenientes son solucionados con qu frecuencia ?
Se demoran en resolver los problemas y esto retrasa los procesos de elctrica
13. Es consciente que un dao en los equipos genera que la planta pare actividades ?
El personal es consiente aunque en ocasiones no ayudan mucho y no le dan el privilegio
que se necesita
14. Qu actividades realiza en su trabajo diario?
Me del mantenimiento del rea elctrica
15. Cmo resuelve los problemas encontrados en el Software en los equipos de timbrado
elctrico?
Si el dao es fsico se resuelve con ayuda del equipo y si es algo del referente al
software busco apoyo en el proveedor y el equipo de sistemas .
Erica Martinez Jose Quecan
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE

TRABAJO COLABORATIVO 3 LISTAS DE CHEQUEO
LISTAS DE CHEQUEO
Listas de Chequeo Oscar Delgado

Proceso AI2: Adquirir y mantener software aplicativo
Auditor Oscar Javier Delgado Villamil
Punto de Evaluacin Cumple OBSERVACIONES

Si No
Existe un plan de pruebas del proyecto
y un proceso de aprobacin del X
usuario
Los materiales de soporte y referencia
para usuarios, as como las
instalaciones de ayuda en lnea estn
disponibles
Son autorizadas y probadas las
X
correcciones realizadas
Se posee un registro de fallas
X
detectadas en los equipos
Existen procesos de adquisicin y
mantenimiento de aplicaciones, con El proceso de Adquirir y
diferencias pero similares, en base a la X Mantener Software Aplicativo
experiencia dentro de la operacin de est en el nivel de madurez
TI.
Se da el proceso de reevaluacin
siempre que ocurren discrepancias
tecnolgicas y/o lgicas significativas
Se cuenta con servicio de
X
mantenimiento para todos los equipos
Se lleva a cabo actualmente un plan de
mantenimiento para la solucin del
sistema de informacin
Existe un proceso claro, definido y de
comprensin general para la Dar a conocer el proceso de
adquisicin y mantenimiento de adquisicin y mantenimiento del
X
software aplicativo. Este proceso va de Sistema de Informacin
acuerdo con la estrategia de TI y del (software) y aplicaciones
negocio
tiene el sistema de informacin
manuales tcnicos, de operacin y de
X
usuario
El personal que se encarga del

X
mantenimiento es personal capacitado
Se lleva un procedimiento para la
X
adquisicin de nuevos equipos
Existe una metodologa formal y bien
comprendida que incluye un proceso Determinar la metodologa
de diseo y especificacin, un criterio X formal para la documentacin
de adquisicin, un proceso de prueba y del software en uso.
requerimientos para la documentacin
Son compatibles software y hardware X

Proceso DS7: Educar y entrenar a los usuarios

Si No
Se establece el plan de
entrenamiento teniendo en
Se establece un plan de entrenamiento
X cuenta la informacin y los
para cada grupo de empleados
recursos a los que puede acceder
cada grupo de empleados
Se actualizan los programas
Se actualizan de forma regular los teniendo en cuenta los anlisis
X
programas de entrenamiento de factibilidad y opiniones de los
usuarios
Se inculcan los valores
Para la realizacin del programa de
corporativos en las actividades
entrenamiento se tienen en cuenta los X
de entrenamiento y
valores corporativos de la empresa
capacitaciones
Si, se realiza capacitaciones
Los programas de entrenamiento
antes de empezar a implementar
incluyen la descripcin de nuevo X
nuevo software o al adquirir
software e infraestructura de TI
nuevos activos de TI
Se cuenta con las habilidades, perfiles No se cuenta con personal
y certificaciones necesarias para X capacitado para la ejecucin de
impartir el entrenamiento a usuarios los programas de entrenamiento
Se cuenta con el lugar adecuado,
Se cuentan con los espacios y el
accesibilidad y tiempo para realizar las X
tiempo para la realizacin
actividades de capacitacin
Se identifican los mtodos de
No hay mtodos definido para la
imparticin eficientes teniendo en X
imparticin de conocimiento
cuenta los grupos objetivo
No se realizan con tiempo
Se designan los instructores y se
suficiente puesto que no hay
organiza el entrenamiento con tiempo X
metodologas para la
suficiente
designacin de instructores
Se lleva un registro de asistencia para
X No se cuenta con dicho registro
cada capacitacin
Se lleva un registro de las Se llevan a cabo revisiones
evaluaciones de desempeo X posteriores pero no hay registros
desarrolladas definidos
Se evala el contenido del
No se realizan las evaluaciones
entrenamiento respecto a la relevancia,
de contenido frente a la
calidad efectividad , percepcin y X
efectividad,
retencin del conocimiento, costo y
y retencin de conocimiento
valor
Los resultados de la evaluacin del
entrenamiento son tenidos en cuenta
X No se tienen en cuenta
para la definicin futura de los planes
de estudio y sesiones de entrenamiento
Dominio Entregar y dar soporte (DS)

Proceso DS5: Garantizar la seguridad de sistemas

Si No
Se cuentan con dispositivos para la Equipos para las copias de
realizacin de backups seguridad tanto en cada agencia
como en un Data Center.
Entregar a cada empleado su usuario Conocimiento de las polticas de
con su contrasea nica e prstamo y divulgacin de
intransferible. contraseas
Los equipos solo cuentan con el Revisiones peridicas.
software autorizado.
Cuentan con correos u otro medio para Mantener actualizada la
estar en constante comunicacin con informacin.
sistemas
Conocimiento de todos los empleados Divulgacin de las polticas y los
sobre las polticas de seguridad de la cambios realizados
informacin
Se cuentan con planes de contingencia Canales de comunicacin
para mantener la informacin en caso estables
de fallas.
Software legales y actualizados Realizar actualizaciones cuando
sea necesario
Conocimiento de todos los empleados Divulgacin de las polticas y los
sobre las polticas de divulgacin de la cambios realizados
informacin.
Los equipos no permiten la lectura de Bloqueo de puertos usb y
ningn dispositivo de almacenamiento extraccin de informacin.
externo.
Lista de Chequeo Jos Quecan

LISTA DE CHEQUEO
REFERENCIA P/T: F-CHK 01
FECHA: Mayo de 2016
REALIZADO POR: Jos Roberto Quecn
PROCESO EVALUADO: M1 Monitorear y evaluar el proceso de TI
DESCRIPCIN CONTROLES EXISTENTES EN EL PROCESO SI NO
Gerente del rea realiza controles internos
Se revisa las actividades de los tcnicos encargados X
Se reportan daos a equipos por parte de tcnicos
Existen formatos de mantenimientos a equipos
El tcnico encargado realiza los backups en equipos
El desempeo de los tcnicos es el indicado
Se tiene control con el mantenimiento preventivo
Se tiene control con el mantenimiento correctivo
La gerencia tiene inventario de los equipos en las rea
Los equipos del rea se encuentran actualizados
Lista de Chequeo Rafael Alejandro Rozo
LISTA DE CHEQUEO
FECHA: 10 de mayo de 2016
REALIZADO POR: Rafael Alejandro Rozo Vega
PROCESO EVALUADO: Adquisicin y mantenimiento de la infraestructura
tecnolgica (AI3)
Existe inventario de equipos de computo
Los conectores de alimentacin de energa estn en buen
estado
Los equipos de cmputo tienen todas sus partes
Las partes de los equipos estn en buen estado
Hay equipos con tecnologa obsoleta X
El cableado que corresponde al equipo est protegido
Se realiza mantenimiento preventivo
Los equipos que adquiere la empresa son econmicos, pero
no son los indicados para las funciones que necesita la
empresa
LISTA DE CHEQUEO
FECHA: 10 de mayo de 2016
REALIZADO POR: Rafael Alejandro Rozo Vega
PROCESO EVALUADO: Administracin de las instalaciones (DS12)
Existe sistema de ventilacin
El cableado elctrico est protegido X
Hay un horario en cada oficina asignado
El cableado estructurado se encuentra en buen estado
Existe un sistema de seguridad en cada oficina
Existe sistemas anti incendio
RIESGOS DETECTADOS:
Riesgos Detectados Oscar Delgado
DOMINIO Adquisicin e implementacin (ai)

PROCESO EVALUADO Ai2 adquirir y mantener software aplicativo
AUDITOR Oscar Javier Delgado Villamil
Riesgos / Valoracin Probabilidad Impacto
A M B C M L
R1 falta de mantenimiento de los equipos X X
R2 Equipos con bajo rendimiento X X
No se ha asignado un espacio locativo para
R3 el ejercicio del mantenimiento preventivo y X X
correctivo.
No se ha definido un protocolo para la
organizacin de los equipos dependiendo que
R4 X X
clase de mantenimiento se proceder a
efectuar
No hay una hoja de vida de la existencia
R5 X X
de los equipos
R6 Sobrecalentamiento de equipos de computo X X
No existe monitorio continuo de software
R7 X X
Salida de informacin por accesos no
R8 autorizados X X
Sistemas operativos mal configurados
R9 X X
y mal organizados
El Software no cumple con los estndares de
R10 seguridad requeridos pues nunca fue diseado X
Daos al software y sistema operativo de los
R11 X
R12 Software sin licencia X
aplicativos cumplan con los requerimientos
R13 X
del negocio
No hay plan de gestin de riesgos de
R14 X
Probabilidad Impacto
A: Alta C: Catastrfico
M: Media M: Moderado
B: Baja L: Leve

R4, R7, R10, R11,
Alto R1, R12,
R13, R14
Medio R2, R5, R6,
Bajo R3, R7 R9,
DOMINIO Entregar y dar soporte (DS)

PROCESO EVALUADO DS7: Educar y entrenar a los usuarios
A M B C M L
No se cuenta con personal capacitado para la
R15 X X
ejecucin de las capacitaciones
No hay metodologas definidas para la planeacin
R16 X X
de las capacitaciones
R17 No se lleva registro de llamadas a soporte tcnico X X
No se especifican mtodos para la imparticin de
R18 X X
conocimiento
No hay mtodo definido para la seleccin de
R19 X X
instructores de capacitacin
No existe registro de usuarios que han recibido
R20 X X
capacitacin
No hay registro sobre los acuerdos de
R21 X X
confidencialidad
No hay proceso definido para la evaluacin de
R22 X X
desempeo en las capacitaciones
No se lleva a cabalidad los planes diseados para
R23 X X
la capacitacin
No se realiza evaluacin de la efectividad tiempo
R24 despus de haber sido realizadas las X X
capacitaciones
No hay conocimiento de los usuarios sobre las
R25 X X
polticas de seguridad de la informacin
Desconocimiento de medidas bsicas de
R26 seguridad del rea de tecnologas de la X X
informacin
B: Baja L: Leve

Alto R23 R16, R20, R24
Medio R18, R22 R17, R19, R25 R21, R26
Bajo R15

PROCESO EVALUADO DS5: Garantizar la seguridad de sistemas
A M B C M L
R1 No se cuenta con dispositivos para copias de X X
seguridad.
R2 Usurpacin de usuarios y contraseas. X X
R3 Instalacin de software no autorizado o X X
malicioso.
R4 Prdida total de la informacin X X
R5 Cambio sobre el estado de la seguridad del X X
sistema
R6 Desconocimiento de las polticas de seguridad X X
por parte de los usuarios
R7 Fallas en el sistema de seguridad que administra X X
la red
R8 Falta de software actualizado para la deteccin X X
de virus o de procedimientos.
R9 Divulgacin de informacin confidencial a X X
terceros.
R10 Mal manejo de dispositivos de almacenamiento X X
externo.
B: Baja L: Leve

Alto R6 R3, R8, R9, R10
Medio R2 R4, R7
Bajo R5 R1
Riesgos Detectados Jos Quecn

R1 Dao en programas X X
R2 Perdida de X X
informacin en
caso de dao
R3 No contar con X X
procedimientos
para la
administracin de
la informacin
R4 Ausencia de planes X X
para recuperacin
de informacin
R5 Ausencia de un X X
Sistema de Gestin
de Seguridad de la
Informacin
R6 Robo de X X
informacin
R7 Apagado X X
inesperado de los
equipos lo que
genera perdida de
informacin
R8 Prdida de equipo y X X
de informacin
adems de demora
en el proceso
R9 Se desconecta X X
seguido y esto
demora los
procesos
R10 Retraso en los X X
procesos debido a
la lentitud de los
equipos
R11 Retraso en la X X
prestacin de
servicios de T.I
Riesgos Detectados Rafael Alejandro Rozo Vega
R1 Daos en programas. x x
R2 Computador
x x
desactualizado.
R3 Perdida de informacin
x x
en caso de dao.
R4 No contar con
X x
administracin de la
informacin.
R5 No existe inventario de
x x
equipos
R6 Robo de informacin. X x
R7 Robo o perdidas de
X x
equipos.
R8 Demoras en los procesos. X x
R9 Apagados inesperados y
x x
perdidas de informacin.
Resultado Matriz de riesgos
R8 R1,R2
Alto
61-100%
PROBABILIDAD
Medio R3 R4,R5,R6,R7,R11 R9,R10

31-60%
Bajo
0-30%
IMPACTO

TRATAMIENTO DE RIESGOS:
Tratamiento de riesgos Oscar Delgado

ID. Descripcin Riesgo Tratamiento Riesgo
Riesgo
R1 Falta de mantenimiento de los equipos Controlarlo
R2 Equipos con bajo rendimiento Transferirlo
No se ha asignado un espacio locativo para el
R3 ejercicio del mantenimiento preventivo y Aceptarlo
correctivo.
No se ha definido un protocolo para la
R4 organizacin de los equipos dependiendo que Controlarlo
clase de mantenimiento se proceder a efectuar
No hay una hoja de vida de la existencia
R5 Aceptarlo
de los equipos
R6 Sobrecalentamiento de equipos de computo Controlarlo
No existe monitorio continuo de software
R7 Aceptarlos
R8 Salida de informacin por accesos no
autorizados Controlarlos
Sistemas operativos mal configurados y
R9 Controlarlos
mal organizados
El Software no cumple con los estndares de
R10 seguridad requeridos pues nunca fue diseado Transferirlo
Daos al software y sistema operativo de los
R11 Controlarlo
R12 Software sin licencia Controlarlo
Aplicativos cumplan con los requerimientos del
R13 Controlarlo
negocio
No hay plan de gestin de riesgos de
R14 Aceptarlo
Entregar y dar soporte (DS)
DOMINIO
Riesgo
No se cuenta con personal capacitado para la
R16 Transferirlo
ejecucin de las capacitaciones
No hay metodologas definidas para la planeacin
R17 Controlarlo
R17 No se lleva registro de llamadas a soporte tcnico Controlarlo
No se especifican mtodos para la imparticin de
R18 Aceptarlo
conocimiento
No hay mtodo definido para la seleccin de
R19 Transferirlo
instructores de capacitacin
No existe registro de usuarios que han recibido
R20 Controlarlo
capacitacin
No hay registro sobre los acuerdos de
R21 Controlarlo
confidencialidad
No hay proceso definido para la evaluacin de
R22 Aceptarlo
desempeo en las capacitaciones
No se lleva a cabalidad los planes diseados para la
R23 Controlarlo
capacitacin
No se realiza evaluacin de la efectividad tiempo
R24 Controlarlo
despus de haber sido realizadas las capacitaciones
No hay conocimiento de los usuarios sobre las
R25 Controlarlo
polticas de seguridad de la informacin
Desconocimiento de medidas bsicas de seguridad
R26 Controlarlo
del rea de tecnologas de la informacin
Riesgo
No se cuenta con dispositivos para copias de Ejercer Controles
R1
seguridad.
R2 Usurpacin de usuarios y contraseas. Ejercer Controles
R3 Instalacin de software no autorizado o malicioso. Ejercer Controles
R4 Prdida total de la informacin Ejercer Controles
R5 Cambio sobre el estado de la seguridad del sistema Transferirlo
Desconocimiento de las polticas de seguridad por Aceptarlo
R6
parte de los usuarios
Fallas en el sistema de seguridad que administra la Transferirlo
R7
red
Falta de software actualizado para la deteccin de Transferirlo
R8
virus o de procedimientos.
Divulgacin de informacin confidencial a Ejercer Controles
R9
terceros.
Mal manejo de dispositivos de almacenamiento Ejercer Controles
R10
externo.
Tratamiento de riesgos Jos Quecan

ID. Riesgo Descripcin Riesgo Tratamiento Riesgo
R1 Dao en programas Controlarlo
R2 Perdida de informacin en caso de dao Controlarlo
R3 No contar con procedimientos para la Aceptarlo
administracin de la informacin
R4 Ausencia de planes para recuperacin de Controlarlo
informacin
R5 Ausencia de un Sistema de Gestin de Controlarlo
Seguridad de la Informacin
R6 Robo de informacin Controlarlo
R7 Apagado inesperado de los equipos lo Controlarlo
que genera perdida de informacin
R8 Prdida de equipo y de informacin Controlarlo
adems de demora en el proceso
R9 Se desconecta seguido y esto demora Controlarlo
los procesos
R10 Retraso en los procesos debido a la Transferirlo
lentitud de los equipos
R11 Retraso en la prestacin de servicios de Controlarlo
T.I
Tratamiento de riesgos Rafael Alejandro Rozo Vega
Id Riesgo Tratamiento riesgo
R1 Daos en programas. Controlarlo
R2 Computador desactualizado. Controlarlo
R3 Perdida de informacin en caso de dao. Controlarlo
R4 No contar con procedimientos para la administracin Aceptarlo
de la informacin.
R5 No existe inventario de equipos Controlarlo
R6 Robo de informacin. Controlarlo
R7 Robo o perdidas de equipos. Controlarlo
R8 Demoras en los procesos. Transferirlo
R9 Apagados inesperados y perdidas de informacin. controlarlo

CONTROLES PROPUESTOS
Controles propuestos Oscar Delgado

RIESGOS O HALLAZGOS TIPO DE SOLUCIONES O CONTROLES
ENCONTRADOS CONTROL
Inspeccionar los equipos, tanto de
funcionamiento como de limpieza y
calibracin, que deben llevarse a
Falta de mantenimiento de
los equipos cabo en forma peridica con base en
Preventivo
un plan de aseguramiento y control
de calidad. Su propsito es prevenir
las fallas, manteniendo los equipos
en ptima operacin.
Realizar Acciones y tareas peridicas
que se ejecutan a un ordenador para
Equipos con bajo
rendimiento Preventivo ayudar a optimizar su
funcionamiento y prevenir fallas,
prolongando as su vida til.
No se ha asignado un
Crear un espacio locativo donde est
espacio locativo para el
presente el ejercicio del
ejercicio del Correctivo
Mantenimiento preventivo y
mantenimiento preventivo
correctivo.
y correctivo.
No se ha definido un
Control en el manejo de la
protocolo para la
informacin analizando el alcance
organizacin de los equipos
Preventivo que debe tener cada empleado para
dependiendo que clase de
poder cumplir con el desarrollo de
mantenimiento se proceder
sus labores.
a efectuar
No hay una hoja de Crear un registro de todas las
Correctivo
vida de la existencia de intervenciones sobre los equipos y
los equipos las herramientas del taller, que
comprenden una reparacin o
cambio de algn elemento o
repuesto del mismo.
Mantener el ordenador funcionando
de la manera ms satisfactoria
posible. Para esto hay que hacer una
que otra prueba de vez en cuando,
Sobrecalentamiento de
equipos de computo Preventivo mientras ms sistemticos seamos
ms indoloro es el proceso. Todo con
el objetivo de evitar la mayor
cantidad de problemas, o de mitigar
el dao en caso de una falla
El sistema debe generar informacin
y reportes para el control de equipos
No existe monitorio continuo
de cmputo, tambin es esencial un
de software instalado en los Preventivo
mecanismo de recopilacin de datos
equipos de computo
y un seguimiento regular para la
retroalimentacin y control).
Elaborar y capacitar al personal sobre
Salida de informacin por planes de contingencia con el fin de
accesos no autorizados Preventivo
estar preparados en el momento de
un eventual siniestro.
Almacenar la informacin de la
empresa de manera automtica a
travs de la programacin de copias
en un servidor de respaldo. Para
Sistemas operativos corregir el problema se realiza un
mal configurados y Correctivo diagnostico revisando las
mal organizados caractersticas del problema y poder
descartar primero fallas fsicas
(hardware) y solucionar fallas
operativas de software, por ejemplo
presencia de un virus.
Desarrollar e implementar polticas
de seguridad que estn relacionadas
El Software no cumple con
directamente con las actividades
los estndares de seguridad
reales de una organizacin.
requeridos pues nunca fue Preventivo
Mejorar constante los sistemas de
diseado para dar soporte a
seguridad por medio de su monitoreo
una organizacin.
y anlisis, as como la adquisicin y
actualizacin de tecnologas.
Iniciar un Mantenimiento del
Daos al software y sistema
software con el fin de evitar daos en
operativo de los equipos de Preventivo
el sistema operativo de la empresa y
la empresa
una posible prdida de informacin
por falta de un buen antivirus que se
est actualizando continuamente y
preferiblemente de pago ya que el
software gratuito trae serias
limitaciones con respecto a las
versiones full o completas.
Compra de antivirus licenciados con
el fin de minimizar el riesgo de
Software sin licencia Correctivo
infecciones y malware en los equipos
de cmputo de la organizacin.
Adquirir algn aplicativo se verifica
si se ajusta a los requerimientos del
Aplicativos cumplan con los
Detectivo negocio, despus de establecer esto
requerimientos del negocio
se entra a hacer un estudio de
costo/beneficio
Desarrollar un programa de
No hay plan de
seguimiento, que permita identificar
gestin de riesgos
Preventivo el estado de ejecucin del plan y
de seguridad de la
resolver las dificultades que se
aplicacin
presenten.

ENCONTRADOS CONTROL
Solicitar apoyo de analistas de sistemas o
empresas proveedoras para que ellos
No se cuenta con personal
mismos sean los que dirijan las
capacitado para la ejecucin Preventivo
capacitaciones, para que contaran con ms
conocimiento sobre el manejo del
software o hardware a implementar
Se deber definir una metodologa
estndar entre las reas designadas para
realizar la para la planeacin y ejecucin
No hay metodologas de las capacitaciones y actividades de
definidas para la planeacin de Correctivo comunicacin (rea de sistemas y
las capacitaciones departamento de recursos humanos),
tomando como base la cantidad de
empleados y las temticas que se van a
tratar.
No se lleva registro de Disear e implementar formato en donde
Correctivo
llamadas a soporte tcnico se registre fecha, hora, rea lo que solicita,
descripcin del soporte realizado, nombre
de la persona que realizo el soporte y
firmas que hagan constar que se cumpli
con el soporte de forma satisfactoria.
Identificar los mtodos de imparticin de
conocimiento que se adapten mejor
No se especifican mtodos
teniendo en cuenta la cantidad de personal
para la imparticin de Preventivo
que ser capacitado, buscando que sea de
conocimiento
manera didctica mediante talleres,
aprendizaje practico y trabajos en grupo.
Teniendo en claro la temtica de la
capacitacin, se deber realizar una
evaluacin entre el personal del rea de
No hay mtodo definido para
sistemas o el rea designada para
la seleccin de instructores de Correctivo
determinar el nivel de conocimiento que
capacitacin
se tiene sobre el tema. En caso de no
encontrar a nadie capacitado, se debe
pedir apoyo a empresas externas.
Se deber diseas e implementar un
formato que ser utilizado en cada
actividad de comunicacin y capacitacin
No existe registro de usuarios
Correctivo en el cual se debe registrar el asunto de la
que han recibido capacitacin
capacitacin, fecha, hora de inicio y fin,
nombre del instructor, y cdigo, nombre,
rea y firma de las personas asistentes.
Disear acuerdo de confidencialidad que
deber ser aceptado y firmado por los
empleados que tenga acceso a la
No hay registro sobre los
Correctivo informacin de la empresa, con el fin de
acuerdos de confidencialidad
regular y evitar la divulgacin de
informacin confidencial relacionada con
la empresa
Diseas planes de capacitacin ms
didcticos en donde no solo sea una charla
No hay proceso definido para
o se dicte una teora, sino que se evalu el
la evaluacin de desempeo en Preventivo
desempeo por medio de exmenes,
las capacitaciones
conversatorios y aprendizaje basado en
casos.
Realizar estudios previos teniendo en
cuenta las opiniones de los empleados con
el fin de conocer los problemas que se
No se lleva a cabalidad los
presentan con mayor frecuencia, as se
planes diseados para la Preventivo
podr tener una idea ms clara de los
capacitacin
temas que se deben tratar en las
capacitaciones, y de acuerdo a ello
realizar el cronograma.
Realizar labores de supervisin en las
No se realiza evaluacin de la
diferentes reas de la empresa sin previo
efectividad tiempo despus de
aviso para evaluar el desempeo de los
haber sido realizadas las
empleados en su puesto de trabajo como
capacitaciones
lo realizaran cualquier da.
Implementar un modelo de seguridad
informtica, con el objetivo de garantizar
un marco adecuado de proteccin de la
informacin a lo largo de toda la
No hay conocimiento de los organizacin.
usuarios sobre las polticas de Preventivo Realizar con frecuencia capacitaciones
seguridad de la informacin para mitigar las vulnerabilidades que
comprometen la fuga de informacin.
Segn el perfil y nivel de acceso a la
informacin, para que adhieran y cumplan
con esa poltica.
Correctivo Realizar campaas de manera habitual
Desconocimiento de medidas para que los empleados identifiquen los
bsicas de seguridad del rea activos informticos que hay que proteger
de tecnologas de la y sus vulnerabilidades y que conozcan las
informacin consecuencias que traera la perdida de
datos.

ENCONTRADOS CONTROL
No se cuenta con dispositivos Preventivo Instalar los respectivos dispositivos para
para copias de seguridad. realizacin de Backus permanentes tanto
en cada oficina como en un Datacenter
especializado para garantizar la seguridad
de la informacin.
Usurpacin de usuarios y Detectivo Establecer polticas claras sobre la
contraseas. confidencialidad de las claves,
contraseas de los usuarios, realizar
cambios constantes.
Instalacin de software no Correctivo Revisin constante por parte del
autorizado o malicioso. departamento de sistemas para la
desinstalacin de cualquier software no
autorizado.
Prdida o dao total de la Preventivo Instalar los respectivos dispositivos para
informacin realizacin de Backus permanentes tanto
en cada oficina como en un Datacenter
especializado para garantizar la seguridad
de la informacin.
Cambios sobre el estado de la Correctivo Informar mediante correos o llamadas los
seguridad del sistema cambios presentados para su
conocimiento y toma de desiciones.
Desconocimiento de las Preventivo Establecer polticas claras sobre la
polticas de seguridad por confidencialidad de la informacin que se
parte de los usuarios maneja y divulgarla por todos los medios
a los miembros de la entidad.
Fallas en el sistema de Correctivo Informar mediante correos o llamadas a
seguridad que administra la los usuarios las fallas presentadas para
red proceder a realizar copias de seguridad.
Software y antivirus Correctivo Chequear, actualizar y revisar mnimo
desactualizado cada 8 das el funcionamiento de los
software correctamente
Divulgacin de informacin Detectivo Establecer polticas claras sobre la
confidencial a terceros. confidencialidad de la informacin que se
maneja.
Mal manejo de dispositivos de Correctivo Bloqueo de la lectura de dispositivos
almacenamiento externo. como USB, CDROM o cualquier
dispositivo que permita extraer
informacin confidencial.
Controles Propuestos Jos Quecan
RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES

ENCONTRADOS CONTROL
Dao en programas PREVENTIVO Capacitar al personal que opera los equipos para
tenga ms cuidado con los programas. Adicional
el equipo de sistemas debe revisar que el equipo
est en condiciones idneas con antivirus activos
para que no existan problemas.
Perdida de informacin PREVENTIVO Programar los equipos para que una vez por
en caso de dao semana realicen un Backup de forma automtica
y lo almacene en un servidor seguro y as est
disponible en cualquier momento
Ausencia de planes PREVENTIVO Generar un instructivo de trabajo en el cual este
para recuperacin de especificado que debe hacer el tcnico
informacin encargado en caso que se presente una perdida
de la informacin.
Ausencia de un CORRECTIVO Creacin de cuentas de usuario por cada
Sistema de Gestin de empleado.
Seguridad de la
Informacin
Robo de informacin CORRECTIVO Habilitar ciertos permisos en el equipo que solo
permita ingreso de informacin y si es necesario
bajar informacin esta sea supervisada y
autorizada por personal del departamento de
sistemas
Apagado inesperado CORRECTIVO Implementar en equipos ups que permitan
de los equipos lo que realizar un apagado normal para que losequipos
genera perdida de no sufran daos en caso de apagado.
informacin
Controles Propuestos Rafael Alejandro Rozo Vega

Riesgos Tipo de control Soluciones o controles
Daos en programas. Correctivo Capacitacin de empleados para el
manejo de los programas
Computador Preventivo Mantenimiento peridico de los
desactualizado. equipos de computo
Perdida de informacin en Preventivo Implementar la creacin de copias de
caso de dao. seguridad de los equipos de computo
No existe inventario de Correctivo Verificar la informacin que en los
equipos actualizado inventarios existentes y registrar los
equipos que no aparecen en ellos
Robo de informacin. Preventivo Implementar un sistema de seguridad
tanto fsico como a nivel de software
Robo o perdidas de Preventivo Implementar ms seguridad como
equipos. cmaras y crear un sistema de registro
de entrada y salida de equipos
Apagados inesperados y Correctivo Implementar una planta de energa
perdidas de informacin. para las oficinas y ups para cada
equipo, de esa manera no se
ocasionarn daos de equipos y
perdidas de informacin
TRABAJO FINAL DICTAMEN
DICTAMEN DE LA AUDITORIA
A continuacin, se presentan los resultados definitivos de la auditoria y las recomendaciones de

mejoramiento por cada proceso COBIT auditado, una vez revisadas las observaciones y
aclaraciones hechas por la empresa al grupo auditor:
PROCESO COBIT: AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
a. Objetivo de la auditoria: Desarrollar una estrategia y un plan para el mantenimiento de

aplicaciones de software.
b. Dictamen
Se considera como nivel de madurez 5 Optimizado por cuanto las prcticas de adquisicin
y mantenimiento de software aplicativo se alinean con el proceso definido. El enfoque es
con base en componentes, con aplicaciones predefinidas y estandarizadas que
corresponden a las necesidades de la empresa. El enfoque se extiende para toda la empresa.
La metodologa de adquisicin y mantenimiento presenta un buen avance y permite un
posicionamiento estratgico rpido, que permite un alto grado de reaccin y flexibilidad
para responder a requerimientos cambiantes del negocio. La metodologa de adquisicin e
implantacin de software aplicativo ha sido sujeta a mejora continua y se soporta con bases
de datos internas y externas que contienen materiales de referencia y las mejores prcticas.
La metodologa produce documentacin dentro de una estructura predefinida que hace
eficiente la produccin y mantenimiento.
c. Hallazgos que soportan el Dictamen:

No se cuenta con un Software que permita la seguridad de los programas y la restriccin
y/o control del acceso de los mismos.
Las modificaciones a los programas son solicitadas generalmente sin notas internas, en
donde se describen los cambios o modificaciones que se requieren.
No cuenta con documentaciones tcnicas del sistema integrado de la Empresa y tampoco

no cuenta con un control o registro formal de las modificaciones efectuadas.
Software sin licencia.
Falta de planes y Programas Informticos
d. Recomendaciones:
Evaluar e implementar un software que permita mantener el resguardo de acceso de los
archivos de programas y de los programadores.
Implementar y conservar todas las documentaciones de prueba de los sistemas, como as

tambin las modificaciones y aprobaciones de programas realizadas por los usuarios.
Elaborar la documentacin tcnica correspondiente a los sistemas implementados y

establecer normas y procedimientos para los desarrollos en forma peridica y su
actualizacin.
Utilizar software gratuito o sacar crdito con banco para evitar posibles multas. Debe ser
resuelto inmediatamente.
Aplicar la solucin ms efectiva posible.
PROCESO COBIT: DS5 GARANTIZAR LA SEGURIDAD DE SISTEMAS
a. Objetivo de la auditoria: Evaluar los parmetros necesarios tales como seguridad lgica
y fsica del sistema para as realizar planes de contingencia que brinden soluciones precisas
que garanticen la seguridad del sistema.
b. Dictamen:
Nivel de madurez 4 Administrada: Se clasifica en este nivel de madurez ya que garantizar
la seguridad de los sistemas es posible mediante el constante monitoreo por parte del
usuario y de un administrador encargado a los procedimientos. Estos procedimientos son
evaluados para as verifica el cumplimiento de las normas establecidas y evaluando si algo
no est funcionando efectivamente.
Adicionalmente el sistema est en constante actualizacin de software y control de

seguridad para evitar diferentes tipos de ataques, los riesgos que pueden afectar la
seguridad del sistema pueden ser corregidos y manejados en un tiempo prudente. Los
usuarios cuentan con capacitaciones sobre la importancia de la seguridad de los sistemas
y de la informacin lo cual les permite permanecer alerta.
c. Hallazgos que soportan el dictamen:

Algunos antivirus se encuentran desactualizados lo cual hace posible que se puedan sufrir
algunos ataques maliciosos al sistema.
Se podran presentar perdidas de informacin al no contar con los equipos necesarios para
la realizacin de backups cada determinado tiempo.
Aunque los canales de comunicacin son muy estables no se descarta la posibilidad de una
prdida de comunicacin y fallas en la red que impliquen la filtracin de ataques o prdida
de los canales de comunicacin, lo cual impedira la trasmisin de informacin.
Se cuentan con polticas establecidas sobre la seguridad de la informacin y del sistema,

las cuales deben ser acatadas por los usuarios.
Algunos usuarios no estn completamente capacitados en cuanto a manejo total del

sistema.
d. Recomendaciones:
Mantener con licencia original y actualizados todos los sistemas operativos y software
necesarios para las operaciones que se realicen. As como tambin constantes monitoreos
por parte de personal autorizado y capacitado para que realicen las verificaciones.
Instalacin de equipos para realizar copias de seguridad constantemente y evitar la prdida

de cualquier dato.
Implementacin de programas que incentiven las buenas prcticas en los usuarios en

cuanto al cuidado tanto interno como externo de los recursos, as como lo correspondiente
capacitacin sobre el manejo del sistema.
Establecer polticas claras sobre el manejo y confidencialidad de la informacin, realizar

monitoreo para que se cumplan a cabalidad por los usuarios.
PROCESO COBIT: DS7 EDUCAR Y ENTRENAR A LOS USUARIOS
a. Objetivo de la auditoria: Capacitacin y educacin sobre controles en los sistemas de

informacin. Minimizar existencias de riesgos en el uso de Tecnologa de informacin.
b. Dictamen:
Se califica un nivel de madurez 2 REPETIBLE PERO INTUITIVO, hay conciencia sobre

la necesidad de un programa de entrenamiento y educacin, y sobre los procesos asociados
a lo lardo de toda la organizacin. El entrenamiento est comenzando a identificarse en los
planes de desempeo individuales de los empleados. Los procesos se han desarrollado
hasta la fase en la cual se imparte entrenamiento informal por parte de diferentes
instructores, cubriendo los mismos temas de materias con diferentes puntos de vista.
Algunas clases abordan los temas de conducta tica y de conciencia sobre prcticas y
actividades de seguridad en los sistemas. Hay una gran dependencia del conocimiento de
los individuos. Sin embargo, hay comunicacin consiente sobre los problemas globales y
sobre la necesidad de atenderlos.
En la empresa no hay personal con el capacitado o con conocimiento suficiente para

poder impartir las capacitaciones, por lo cual, tampoco se tiene establecida una
metodologa para su seleccin.
La empresa no ha definido mtodos de imparticin de conocimiento.
No se lleva registro de los empleados que reciben capacitacin y los temas que son
tratados en las actividades de comunicacin.
Las capacitaciones no cumplen a cabalidad con el plan de capacitacin.
La empresa realiza seguimiento en las actividades de los empleados para verificar que
estn haciendo buen uso de los recursos y sistemas informticos.
La empresa no tiene procedimientos definidos para evaluar el desempeo en las

actividades de comunicacin.
d. Recomendaciones:
Se recomienda que el rea de sistemas se est actualizando constantemente sobre uso de
herramientas informticas y las nuevas tecnologas, solicitando apoyo de empresas
externas que tengan ms conocimiento sobre esos temas (Analistas de sistemas, empresas
desarrolladoras de software, proveedores de hardware y servicios de TI).
Las reas de la empresa encargadas de llevar a cabo las actividades de entrenamiento

debern definir las metodologas a usar en las capacitaciones teniendo en cuenta los
diferentes grupos de empleados y las actividades que realizan dentro de la empresa, para
esto se debern apoyar de un registro de empleados y los temas sobre los que se le ha
brindado capacitacin.
Se deber disear un formato donde se registre el asunto de la capacitacin, fecha, hora de

inicio y fin, nombre del instructor, y cdigo, nombre, rea y firma de las personas asistentes
en cada actividad de capacitacin.
Se deber realizar estudios previos teniendo en cuenta las opiniones de los empleados con
el fin de conocer los problemas que se presentan con mayor frecuencia, as se podr tener
una idea ms clara de los temas que se deben tratar en las capacitaciones, y de acuerdo a
ello realizar el cronograma.
El rea de sistemas deber realizar campaas de manera habitual para que los empleados
identifiquen los activos informticos que hay que proteger y sus vulnerabilidades y que
conozcan las consecuencias que traera la prdida de datos.
PROCESO COBIT: M1 Monitorear y evaluar el proceso de TI
a. Objetivo de la Auditoria: Verificar que todos los procesos estn evaluados regularmente
a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos
de control.
b. Dictamen:
Se califica un nivel de madurez 2 Repetible, ya que los procedimientos estn en un estndar
y los tcnicos lo realizan, pero hace falta un control ms frecuente por parte de personal
como jefes de rea, no se estn realizando las actividades al pie de la letra lo que puede
ocasionar que se pierda informacin valiosa, falta un cumplimiento. No existen
cronogramas para la verificacin y mantenimientos de los equipos.

No existe un tcnico encargado para realizar labores de Backups de Informacin
en los Bancos, no saben quin realiza esta actividad.
Revisando papelera con el gerente del rea se encuentra que no hay cronogramas
para los mantenimientos preventivos como predictivos, falta ms control y
exigencia al momento de realizar las actividades.
d. Recomendaciones:
Realizar un cronograma en el que se especifique fechas de los mantenimientos
preventivos que se han programado en ella se debe especificar la frecuencia con la
que se estn realizando, ya sea semanal o mensual.
Realizar un cronograma y tener un encargado para realizar los backups a los

equipos.
Realizar un formato en cual se evidencia los das en los que se realiza los backups,
revisado por el jefe inmediato.
PROCESO COBIT: AI3 ADQUISICION Y MANTENIMIENTO DE LA

INFRAESTRUCTURA TECNOLOGICA
a. Objetivo de la auditoria: Desarrollar una estrategia y un plan para el mantenimiento de

equipos de cmputo.
b. Dictamen
Tiene un nivel de madurez 3 definido por cuanto las prcticas de adquisicin y
mantenimiento de infraestructura. El enfoque es con base en inventarios, equipos de
cmputo y dems equipos que hacen parte de la infraestructura tecnolgica (router,
servidores, etc.), las cuales corresponden a la empresa, es recomendable el monitoreo de
inventarios para su respectiva correccin he implementacin.
Adems, es necesario la actualizacin de los equipos de cmputo ya que algunos de ellos
se encuentran desactualizados y adems ya son equipos con mucho tiempo d uso.

No se cuenta con un inventario completo.
Hay equipos obsoletos, por tiempo (son muy viejos).
Algunos equipos no cuentan con el software necesario.
Perdida de equipos.
d. Recomendaciones:
Conformar un grupo determinado de funcionarios que registren los equipos que faltan las piezas
que hacen parte de ellos.
Revisar los equipos que aparecen en el inventario, para hallar inconsistencias.
Elaborar la documentacin tcnica correspondiente a los equipos y establecer normas y

procedimientos para la adquisicin.
Actualizar los sistemas de los equipos que se encuentran desactualizados en la empresa.
PROCESO COBIT: DS12 ADMINISTRACION DE LAS INSTALACIONES
a. Objetivo de la auditoria: Evaluar los parmetros necesarios tales como seguridad fsica
de las oficinas para as evitar la prdida de equipos e informacin y realizar las respectivas
investigaciones en un caso eventual de perdida.
b. Dictamen:
Nivel de madurez 4 Administrada: Se clasifica en este nivel de madurez ya que para
garantizar la seguridad de las oficinas se cuentan con distintos medios, pero faltan algunos,
es posible mediante el constante monitoreo por parte de los usuarios y de un equipo de
seguridad se eviten perdidas de equipos y de informacin.
Adicionalmente la empresa requiere de aumentar su seguridad en caso de incendios, ya

que el que hay es insuficiente, as se evitara cualquier riesgo en caso de algn incendio.

Algunas oficinas no cuentan con cmaras de seguridad.
Las oficinas no cuentan con un sistema anti-incendias efectivo.
Se pueden presentar cortos por mal estado de algunos cables.
No se cuentan con registros de ingresos y salidas de equipos.
d. Recomendaciones:
Revisar el cableado de las oficinas para evitar cualquier inconveniente.
Instalacin de sistemas anti-incendios, como de detectores de humo.
Crear un sistema de registro eficiente para el ingreso y salida de equipos, donde se pida el
nombre de la persona que ingresa el equipo, el documento de identidad, el serial del equipo,
la marca del equipo, la referencia; y al momento de que la persona salga se valide la
informacin del equipo que va a salir, si este no concuerda se realizara su respectiva
denuncia.
Revisar a todas las personas que ingresen a las oficinas cuando estas vallan a entrar o a
salir.
CONCLUSIONES
Con la informacin suministrada por la empresa logramos obtener un buen trabajo

obteniendo como resultado un Dictamen final, logrando sacar las recomendaciones para
que la empresa siga contribuyendo con un excelente servicio.
BIBLIOGRAFA
IT Governance Institute. COBIT 4.1. 2007, Recuperado de:

http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
Francisco Nicols solarte. (2012). Auditoria informtica y de sistemas. De Sitio web:

http://auditordesistemas.blogspot.com.co/
Gonzlez A(2010). Evaluacin Del sistema del control interno.

http://datateca.unad.edu.co/contenidos/90168/CONTROL_INTERNO
_SEGMENTO_CCC.pdf
Ranz Eduardo. (2007). Evaluacin del control interno en sistemas informticos.

http://datateca.unad.edu.co/contenidos/90168/CONTROL_INTERNO
_INFORMATICO_CCC.pdf

90168A 288 TFinal 36

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

90168A 288 TFinal 36

Загружено:

Авторское право:

Доступные форматы

INFORME FINAL DE LOS RESULTADOS DE LA AUDITORIA

TUTOR: RAMSES RIOS

GRUPO No. 90168_36

OSCAR JAVIER DELGADO VILLAMIL COD.80217860

JOSE ROBERTO QUECAN SANCHEZ -COD.1072638132

RAFAEL ALEJANDRO ROZO -COD.1073534051

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

El presente informe se realiza para desarrollar el entendimiento de los conceptos generales de la

Realizar el Objetivo de la auditoria

Problemas o limitaciones para conseguir la informacin

Obtener un Dictamen (Riesgos Detectados)

Encontrar Hallazgos que soportan el dictamen

Dar Recomendaciones (Controles que proponen)

Empresa: Yazaki ciemel s.a

Actividad econmica: fabricacin de arns para vehculo.

Ubicacin: autopista norte kilmetro 21 va la caro.

rea informtica: El departamento de sistemas es el encargado de mantener los

computadores os sistemas de timbrado y accesos a la intranet

Activos informticos: 20 computadores, 2 impresoras

Sistemas de informacin: SAP

TRABAJO COLABORATIVO 1 PLAN DE AUDITORIA

1. LISTA DE VULNERABILIDADES, AMENAZAS Y RIESGOS AGRUPADOS POR

N Vulnerabilidad Amenazas Riesgo Categora

1 Falta de actualizacin de Programas no corren Dao en programas Software

los programas en y genera errores

2 Sistema operativo no No se puede Computador Software

compatible con actualizar sistema desactualizado

programas de rea de operativo.

programas en rea borrar archivos informacin en

electrnica importantes caso de dao.

4 No hay un control para Cualquier usuario No saber que Seguridad en sistema

los accesos de usuarios puede ingresar a usuario hizo que

5 No existen planes de Dao de equipos o No contar con Seguridad lgica

contingencia en caso de mala manipulacin procedimientos

prdidas de informacin. de los mismos . para la

6 No se realizan copias de Dao de equipos o Ausencia de planes Seguridad lgica

seguridad de manera mala manipulacin para recuperacin

peridica de los recursos de los mismos. de informacin

7 Falencia en cuanto a las No establecer Ausencia de un Manejo y control de

polticas de la polticas de Sistema de Gestin personal

implementacin del seguridad de la de Seguridad de la

Sistema de Seguridad. informacin. Informacin

8 Uso indebido del correo La mala utilizacin Fuga de Seguridad lgica

de electrnico del correo, ya que no informacin

se utiliza solo para

9 Falta de controles para el Falta de precaucin y Robo de Seguridad lgica

acceso a internet. control de acceso informacin

10 No hay ups en los Cortes de luz Apagado Seguridad

equipos de planta inesperados inesperado de los

11 Falta de capacitacin de Personal no Perdida de Personal y seguridad

manejo de equipos para calificado para informacin

personal nuevo operar equipos

12 Falta de capacitacin Personal no Perdida de Personal y seguridad

para manejo de calificado para informacin

programas operar equipos

13 No existe inventario de Perdidas de equipos Prdida de Seguridad

accesorios n es la circuito por cables de informacin

adecuada mal instalados adems de demora

15 Cables de red en mal No acceso al Se desconecta Hardware

estado intranet seguido y esto

16 Falta de actualizacin Contactar a personal Varios usuarios no Personal

de datos. que no se encuentre saben cmo

all trabajando por contactarse ni