Unidad 3 Fase 4

Unidad 3: Fase 4 Ejecucin: Hallazgos de la auditoria, Tratamiento de riesgos, Controles
Risaralda
2017
INTRODUCCIN
A partir del Anlisis realizado en el trabajo colaborativo anterior y teniendo en cuenta el resultado de la matriz de riesgos
de cada uno de los procesos auditados, se determin mediante la elaboracin de unos cuadros que permiten realizar el
tratamiento que deben tener los riesgos encontrados, los cuales pueden estar en diferentes estados, como son el de poder
aceptarlos, controlarlos o transferirlos.
En este trabajo escrito se encuentran elaborados unos formatos de hallazgos de cada uno de los procesos auditados los
cuales fueron realizados a partir de la elaboracin de una matriz de riesgos, de cada uno de dichos procesos.
Estos formatos de hallazgos contienen informacin acerca del dominio de cada uno de los procesos, los respectivos
objetivos de control,
los riesgos que han sido asociados a cada uno de los hallazgos, as como tambin se ha hecho una descripcin, unas
recomendaciones y un anlisis sobre las causas y el nivel de riesgo al cual pertenece cada uno de los hallazgos.
Igualmente se han elaborado unos cuadros que permiten contener cada uno de los riesgos a los cuales se le ha asociado
unos controles que han sido propuestos y se han realizado una serie de controles para cada uno de ellos, los cuales pueden
ser del tipo preventivo, detectivo, correctivo o de recuperacin.
OBJETIVOS
Objetivos General:
Elaborar un documento que contenga unos formatos de anlisis de riesgos, hallazgos y de control que permitan
evidenciar el tratamiento que se debe realizar a los riesgos, estableciendo unos controles a cada uno de los hallazgos
encontrados en cada uno de los procesos auditados para el ente territorial de Sevilla Valle del Cauca.
Objetivos Especficos:
Realizar el cuadro de matriz de riesgos.

Disear, elaborar y diligenciar los formatos que hacen parte de los hallazgos encontrados en el proceso de auditora.
Disear, elaborar y diligenciar los cuadros de controles de riesgos de cada uno de los procesos auditados.
AMENAZAS Y RIESGOS DETECTADOS
En esta table se encuentra las vulnerabillidades, amenazas y riesgo detectados en la
Compaia Realizado por Eduard Aristizabal
CUADRO - VULNERABILIDADES, AMENAZAS, RISGOS
Vulnerabillidades Amenazas Riesgos
Ausencia de seguridad interna
2 Robo de equipos Acceso no autorizado al rea de sistemas
Robo del Hardware y perdida de la
Ausencia de planes para Vandalismo y informacin ocasionada por desastres
16 naturales. No existe un plan debidamente
recuperacin de informacin desastres naturales
detallado para estos casos
Perdida de
Informacin vital para el funcionamiento
18 Copia de seguridad informacin valiosa
diario de la empresa.
de la compaa
Base de datos con demasiada Las copias de base de
informacin, la cual se debe en datos son demasiado
gran parte a informacin extensas y grandes, Servidores sobresaturados en el manejo de
20 redundante y diferentes tablas abarcando un gran la informacin.
utilizadas para la misma espacio en la memoria
accin. de los servidores.
No existe control de acceso a Facilidad de acceso al sistema por parte de
37 Acceso no autorizado
la informacin usuarios malintencionados
No continuar con el debido Dao de la No existe un log en el que se guarde el
38 proceso y sancin del usuario informacin o registro del usuario que realizo
responsable. informacin operaciones en el sistema.
inconsistente sin un
responsable directo.
Modificacin de Perdida de informacin de usuarios,
40 Encriptacin de datos
archivos contraseas y dems
Se realizan operaciones las
No se cumple con las No existen perfiles adecuados para cada
cuales no corresponden al
58 cargo o se dejan de hacer por actividades de acuerdo cargo.
no tener acceso a estas. al cargo.
Polticas de control de Control en la
Descargas e instalacin programas
66 contenido, inseguro e utilizacin de los
inestable. equipos
No se permiten actualizacin
Fallos en los archivos Software sin licencia
68 para corregir errores del
software creados
Sin proteccin ante Instalacin de programas no deseados,
24 Sin Antivirus
virus robo de informacin
ANALISIS Y EVALUACIN DE RIESGOS

N Descripcin Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrfico
R1 Acceso no autorizado X X
al rea de sistemas
R2 Robo del Hardware y X X
perdida de la
informacin
ocasionada por
desastres naturales.
No existe un plan
debidamente detallado
para estos casos
R3 Informacin vital para X X
el funcionamiento
diario de la empresa.
(Copias de seguridad)
R4 Servidores X X
sobresaturados en el
manejo de la
informacin.
R5 Acceso a las reas X X
restringidas, perdida y
robo de la
informacin
R6 Descargas e X X
instalacin programas
R7 Software sin licencia X X
R8 Instalacin de X X
programas no
deseados, robo de
informacin
R9 Manipulacin de los
dispositivos personal X X
ajeno a sistemas
R10 Proteccin elctrica X X
(ups, red regulada)
R11 Respuesta ante alguna X X
falla de los
dispositivos
Matriz de Riesgos
Alto R1, R4 R2, R3, R5, R7, R8, R9,

61-100% R10
PROBABILIDAD
Medio
31-60% R2, R3, R6 R6, R11
Bajo
0-30% R1, R5, R10 R7, R8, R9
R1, R4, R6, R11
IMPACTO
Zona de Zona de
riesgo Riesgo
Leve,
Zona de Moderado
riesgo
Tabla Hallazgos
REF
HALLAZGO 1
PROCESO Infraestructura Tecnolgica algunos PGINA

AUDITADO equipos obsoletos 1 DE 1
RESPONSABLE Eduard Aristizabal
MATERIAL DE
COBIT
SOPORTE
AI3 Adquirir y
Adquirir e Mantener
DOMINIO implementar PROCESO
Infraestructura
Tecnolgica:
DESCRIPCIN:
Equipos de la infraestructura tecnolgica de la empresa obsoletos presentan
fallas constantes (switch y equipos de cmputo)
REF_PT: referencia papel de trabajo
CONSECUENCIAS:
Atraso en las tareas de los usuarios
Perdida de informacion
RIESGO:
Probabilidad de ocurrencia: = 61% 100%
Impacto segn relevancia del proceso: Moderado

RECOMENDACIONES:
Actualizar y realizar el cambio de los equipos que llegaron a su vida til o repararlos
segn sea necesario
REF
HALLAZGO 2
PROCESO PGINA
Adquirir e implementar
AUDITADO 1 DE 1
MATERIAL DE
COBIT
SOPORTE
AI3 Adquirir y
Adquirir e Mantener
DOMINIO PROCESO
implementar Infraestructura
Tecnolgica:
DESCRIPCIN:
Se evidencia que el servidor en el cual se almacena el sistema de informacin
que a hoy suple las necesidades de la empresa, se encuentran tambin otros 2
sistemas de informacin los cuales son una ERP y un sistema nuevo que a hoy
se encuentra en pruebas, por ende, se ven afectadas algunas operaciones que se
realizan en estos, continuas cadas de los sistemas y una muy pobre rapidez en
el manejo de estos.

CONSECUENCIAS:
La generacin de recibos se ve afectada con la saturacin del servidor ya que en
algunas ocasiones no se culminan por completo y quedan algunos dineros sin
identificar.
Lento a la hora de navegar por cada uno de los sitios, llevando por consiguiente
al entorpecimiento de tareas y a sus entregas tardas y no tan confiables.
Cargues y migracin de informacin a las bases de datos en horarios extra
laborales.
RIESGO:
RECOMENDACIONES:
Distribuir los sistemas de informacin en los diferentes servidores asignados al
rea de informtica.
Comprar ms espacio de almacenamiento para cada uno de los servidores.
Asignar un servidor de pruebas para almacenar all los sistemas que se estn
desarrollando.
REF
HALLAZGO 3
PROCESO Acceso a las reas restringidas, perdida y PGINA

AUDITADO robo de la informacin 1 DE 1
MATERIAL DE
COBIT
SOPORTE
AI3 Adquirir y
Adquirir e Mantener
DOMINIO PROCESO
Tecnolgica:
DESCRIPCIN:
No se cuenta con un personal directamente encargado de las reas de
informtica, tanto de los servidores y salas de trabajo como tambin de la sala
en la que se encuentran todas las reservas de piezas y partes relacionadas con el
hardware, por ende, se puede dar paso a que all se encuentren personas no
autorizadas y peor an personal no perteneciente al rea de informtica.
CONSECUENCIAS:
Perdida de piezas importantes para el uso de los equipos informticos, causando
as una prdida de dinero y tiempo al momento de presentarse daos y no
encontrar posibles repuestos para suplirlos.
Extravi de informacin valiosa y confidencial, como documentos u objetos en
los que se almacena informacin (USB, CD),
Dao de equipos o servidores a causa de personas mal intencionadas o sin el
conocimiento suficiente para manipularlos.
RIESGO:
Impacto segn relevancia del proceso: Catastrfico

RECOMENDACIONES:
Realizar inventario de todas las piezas que se encuentran en la sala de hardware
y destinar solo a un personal capacitado y especfico para su manipulacin.
Colocar carteles los cuales informen del acceso restringido a las salas
pertenecientes al rea de informtica y asignar un encargado de llaves el cual
ser el responsable de abrir y cerrar cada una de ellas.
REF
HALLAZGO 4
No existen perfiles adecuados para cada PGINA

PROCESO
cargo.
AUDITADO 1 DE 1

MATERIAL DE
COBIT
SOPORTE
AI3 Adquirir y
Adquirir e Mantener
DOMINIO PROCESO
Tecnolgica:
DESCRIPCIN:
No existen perfiles ya establecidos para cada uno de los cargos, para as
determinar los permisos y accesos que van a llegar a tener cada uno de estos,
por ende, se obliga a los usuarios usar una mesa de ayuda por la cual deben
realizar las solicitudes de acceso a algunas funcionalidades que para ellos se
encuentran restringidas
CONSECUENCIAS:
Entorpecimiento en el desarrollo de las actividades debido a la demora en el
trmite de las solicitudes realizadas a la mesa de ayuda
Permisos de acceso a usuarios sin las facultades suficientes para tenerlos
RIESGO:
RECOMENDACIONES:
Realizar un estudio de cargos y las acciones que las personas asociadas a este
deben realizar para as asignar perfiles de acuerdo a cada uno de los cargos con
sus respetivos permisos.
RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES
ENCONTRADOS CONTROL
Equipos de la infraestructura .
tecnolgica de la empresa Actualizar y realizar el cambio de los
obsoletos presentan fallas equipos que llegaron a su vida til o
constantes (switch y equipos CORRECTIVO repararlos segn sea necesario
de cmputo
Servidores sobresaturados en DETECTIVO, Distribuir los sistemas de informacin

el manejo de la informacin. CORRECTIVO en los diferentes servidores asignados
al rea de informtica.
Acceso a las reas PREVENTIVO Realizar inventario de todas las piezas y

restringidas, perdida y robo colocar carteles en sitios estratgicos
de la informacin para informar el acceso restringido a
ciertas reas
No existen perfiles CORRECTIVO Realizar un estudio de cargos y las
adecuados para cada cargo. acciones que las personas asociadas a
este deben realizar para as asignar
perfiles de acuerdo a cada uno de los
cargos con sus respetivos permisos
ANLISIS DE RIESGOS
Proceso CobIT seleccionadas realizado por Juan Camilo Castro Medina.
Empresa: Alcalda de Sevilla Valle
Dominio: Entregar y dar soporte (DS)

Proceso: DS4 Garantizar la continuidad del servicio.
Objetivos:
DS4.2. Planes de continuidad de TI.
DS4.3 Recursos crticos de TI.
RIESGOS:
1. La informacin contenida en los sistemas de informacin de la alcalda se puede perder al carecer de polticas de
aseguramiento a travs de copias de respaldo de la informacin.
2. Se debe fortalecer la creacin y socializacin de un sistema de gestin de la seguridad de la informacin SGSI.
3. Falta de actualizacin y configuracin adecuada del equipo servidor por parte del personal del rea de sistemas.
4. No se realiza un proceso de auditora a la seguridad informtica.
5. Prdida de informacin o el dao de los documentos generados.
6. Perdida de informacin por no realizar adecuadamente las copias de seguridad.
7. No hay un plan de contingencia con un segundo servidor de respaldo, vulnerabilidad del servidor frente a usuarios y
personal no autorizado.
8. Posible prdida en la trasmisin de algunos paquetes de datos.
9. Se puede ocasionar daos de carcter elctrico en los equipos de cmputo como sobre cargas y cortos elctricos.
MATRIZ PARA MEDICIN DE PROBABILIDAD E IMPACTO DE RIESGOS

Zona de Riesgo Zona de riesgo Zona de riesgo
Alto Moderado Importante Inaceptable
61-100%
Medio Zona de riesgo Zona de riesgo Zona de riesgo
31-60% Tolerable Moderado Importante
Bajo Zona de riesgo Zona de riesgo Zona de riesgo Moderado

PROBABILIDAD
0-30% Aceptable Tolerable

Leve Moderado Catastrfico
IMPACTO

N Descripcin Probabilidad Impacto
R1 La informacin contenida X X
en los servidores de la
compaa se puede
perder al carecer de
polticas de
aseguramiento a travs
de copias de respaldo
de la informacin.
R2 Se debe fortalecer la X X
creacin y
socializacin de un
sistema de gestin de
la seguridad de la
informacin SGSI.
R3 Falta de actualizacin y X X
configuracin
adecuada del equipo
por parte del personal
del rea de sistemas.
R4 No se realiza un proceso X X
de auditora a la
seguridad informtica.
R5 Prdida de informacin o X X
el dao de los
documentos
generados.
R6 Perdida de informacin X X
por no realizar
adecuadamente las
copias de seguridad.
R7 No hay un plan de X X
contingencia con un
segundo servidor de
respaldo,
vulnerabilidad del
servidor frente a
usuarios y personal no
autorizado.
R8 Posible prdida en la X X
trasmisin de algunos
paquetes de datos.
R9 Se puede ocasionar daos X X
de carcter elctrico
en los equipos de
cmputo como sobre
cargas y cortos
elctricos.
Resultado Matriz de riesgos para hardware
R7 R1, R3, R4,R6

Alto
61-100%
Medio R2, R9 R5
31-60%
Bajo R8
PROBABILIDAD
0-30%
IMPACTO
TRATAMIENTO DE RIESGOS: DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO.
N RIESGOS CONTROLES PROPUESTOS TIPO DE
CONTROL
R1 La informacin Almacenar la informacin de la
contenida en los empresa de manera automtica a
servidores del ente travs de la programacin de copias
territorial se puede en un servidor de respaldo.
perder al carecer de Almacenar fuera de las instalaciones
polticas de todos los medios de respaldo, Preventivo
aseguramiento a travs documentacin y otros recursos de TI
de copias de respaldo de crticos, necesarios para la
la informacin. recuperacin de TI y para los planes
de continuidad y operacin
administrativa.
R2 Aunque existe de un Es esencial que los cambios en los
SGSI, falta socializar el procedimientos y las
fin de este con los responsabilidades sean
usuarios del sistema y comunicados de forma clara y Preventivo
los dispositivos. oportuna.
Realizar y ejecutar un cronograma
de actividades.
R3 Falta de actualizacin y Capacitar personal adecuado en el
configuracin adecuada rea de sistemas para actualizaciones
del equipo por parte del y configuracin de sistemas de
personal del rea de informacin.
sistemas. Elaborar polticas de administracin y
organizacin de la informacin, lo Correctivo
cual se podra realizar a travs de la
contratacin de un ingeniero de
sistemas con experiencia en manejo
de servidores y seguridad para la
realizacin de esta labor.
R4 No se realiza un proceso Contratar personal adecuado para
de auditora a la supervisar y realizar las auditorias.
Correctivo
R5 Prdida de informacin Realizar copias de seguridad y

o el dao de los realizar recuperacin de documentos Correctivo
documentos generados. con software especial para el caso.
R6 Perdida de informacin Representar la activacin de sitios de
por no realizar respaldo, el inicio de procesamiento
adecuadamente las alternativo, la comunicacin a Preventivo
copias de seguridad. clientes y a los interesados, realizar
procedimientos de reanudacin.
R7 No hay un plan de Crear plan de contingencia con un
contingencia con un segundo servidor de respaldo.
segundo servidor de Controlar el acceso y bloqueo de
respaldo. Puertas pginas que no brindan ningn
hermticas: beneficio para el desarrollo de las
Motobomba, Pone en actividades laborales.
riesgo toda la integridad Control en el manejo de la
Correctivo
del sistema abriendo la informacin analizando el alcance
posibilidad de que un que debe tener cada empleado para
usuario poder cumplir con el desarrollo de sus
malintencionado pueda labores.
borrar, modificar o
sustraer informacin
valiosa para la empresa.
Resultado Matriz de riesgos para hardware
R7 R1,R3,R4,R6
Alto
61-100%
Medio R2, R9 R5
31-60%
Bajo R8
PROBABILIDAD
0-30%
IMPACTO
Desarrollo formato de hallazgo:
REF
HALLAZGO
DS4.2. Planes de continuidad TI PGINA

PROCESO AUDITADO
DS4.3 Recursos crticos de TI 1 DE 1
RESPONSABLE Juan Camilo Castro Medina
MATERIAL DE
COBIT
SOPORTE
DS4: Garantizar la
DOMINIO Entregar y dar soporte (DS) PROCESO
continuidad del servicio
DESCRIPCIN:
En la alcalda de Sevilla valle del cauca, la poltica de seguridad informtica no est en su totalidad aplicada, faltan
ms actualizaciones y configuracin por parte del sistema de gestin del ente territorial, para ser ejecutada en el rea
de sistemas.
Los empleados del rea de sistemas carecen de un correcto conocimiento en el tema de seguridad informtica y
manejo del software.
Las copias de seguridad de la bases de datos se realizan por empresas privadas y los funcionarios como tambin
contratistas no realizan este proceso.
CONSECUENCIAS:
Perdida de informacin que pueden acarrear sanciones.
Mala administracin de los sistemas de informacin.
Vulnerabilidad a ataques informticos.
Omisin de procesos administrativos por parte del personal
RIESGO:
La probabilidad de ocurrencia est clasificada en alto
RECOMENDACIONES:
Definir de forma clara cuales son las polticas de seguridad de la informacin que deben seguir los usuarios del rea
de sistemas, de acuerdo al uso que se haga del mismo.
Realizar capacitaciones trimestrales, para socializar las polticas de la seguridad informtica definidas para cada tipo
de usuario que acceden al sistema y de las actualizaciones para un mejor manejo del software.
Se deben realizar copias de seguridad peridicas de la informacin administrada y de los sistemas de gestin que se
utiliza en el ente territorial.
TRATAMIENTO DE RIESGOS: DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO.
CONTROL
R1 La informacin Almacenar la informacin de la
contenida en los empresa de manera automtica a
servidores del ente travs de la programacin de copias
territorial se puede en un servidor de respaldo.
perder al carecer de Almacenar fuera de las instalaciones
polticas de todos los medios de respaldo, Preventivo
aseguramiento a travs documentacin y otros recursos de TI
de copias de respaldo de crticos, necesarios para la
la informacin. recuperacin de TI y para los planes
de continuidad y operacin
administrativa.
R2 Aunque existe de un Es esencial que los cambios en los
SGSI, falta socializar el procedimientos y las
fin de este con los responsabilidades sean
usuarios del sistema y comunicados de forma clara y Preventivo
los dispositivos. oportuna.
Realizar y ejecutar un cronograma
de actividades.
R3 Falta de actualizacin y Capacitar personal adecuado en el
configuracin adecuada rea de sistemas para actualizaciones
del equipo por parte del y configuracin de sistemas de
personal del rea de informacin.
sistemas. Elaborar polticas de administracin y
organizacin de la informacin, lo Correctivo
cual se podra realizar a travs de la
contratacin de un ingeniero de
sistemas con experiencia en manejo
de servidores y seguridad para la
realizacin de esta labor.
R4 No se realiza un proceso Contratar personal adecuado para
de auditora a la supervisar y realizar las auditorias.
Correctivo
R5 Prdida de informacin Realizar copias de seguridad y

o el dao de los realizar recuperacin de documentos Correctivo
documentos generados. con software especial para el caso.
R6 Perdida de informacin Representar la activacin de sitios de
por no realizar respaldo, el inicio de procesamiento
Preventivo
adecuadamente las alternativo, la comunicacin a
copias de seguridad.
clientes y a los interesados, realizar
procedimientos de reanudacin.
R7 No hay un plan de Crear plan de contingencia con un

contingencia con un segundo servidor de respaldo.
segundo servidor de Controlar el acceso y bloqueo de
respaldo. Puertas pginas que no brindan ningn
hermticas: beneficio para el desarrollo de las
Motobomba, Pone en actividades laborales.
riesgo toda la integridad Control en el manejo de la
Correctivo
del sistema abriendo la informacin analizando el alcance
posibilidad de que un que debe tener cada empleado para
usuario poder cumplir con el desarrollo de sus
malintencionado pueda labores.
borrar, modificar o
sustraer informacin
valiosa para la empresa.
CONTROLES: DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO
ID. Descripcin Riesgo Tratamiento Riesgo

Riesgo
R1 La informacin contenida en los servidores del Controlarlo

ente territorial se puede perder al carecer
de polticas de aseguramiento a travs de
copias de respaldo de la informacin.
R3 Falta de actualizacin y configuracin Controlarlo
adecuada del equipo por parte del personal
del rea de sistemas.
R4 No se realiza un proceso de auditora a la Controlarlo
R5 Prdida de informacin o el dao de los Controlarlo
documentos generados.
R6 Perdida de informacin por no realizar Controlarlo

adecuadamente las copias de seguridad.
Aporte Javier Andres Castao
Probabilidad Impacto
N Descripcin
Clonacin o
R1 Robo de x x
Informacin
Daos en Los
R2 x x
Documentos
Falta de
R3 soporte en caso x x
de algn fallo
Perdida de
datos
esenciales para
R4 x x
el
funcionamiento
de la empresa
Ausencia de
licencias en
R5 x x
sistemas de
monitoreo
Amenazas de
virus y
personas
R6 x x
externas
manipulacin
archivos
Resultado de la Matriz de Riesgo para software

Alto
R5 R3,R6
61-100%
PROBABILIDAD
Medio
R1,R2
31-60%
Bajo
R4
0-30%
LEVE MODERADO CATASTROFICO

IMPACTO
Tratamiento del Riesgo
PROBABILIDAD IMPACTO
RIESGOS/VALORACION A M B L M C
Hardware
R1 Clonacin o Robo de Informacin x x
R2 Daos en Los Documentos x x
R3 Falta de soporte en caso de algn fallo x x
Perdida de datos esenciales para el x x

R4
funcionamiento de la empresa
Ausencia de licencias en sistemas de x x
R5
monitoreo
Amenazas de virus y personas externas x x
R6
manipulacin archivos
ID. Tratamiento
Descripcin Riesgo
Riesgo Riesgo
Clonacin o Robo de
R1 Controlarlo
Informacin
R2 Daos en Los Documentos Eliminarlo
Falta de soporte en caso de
R3 Controlarlo
algn fallo
Perdida de datos
esenciales para el
R4 Eliminarlo
funcionamiento de la
empresa
Ausencia de licencias en
R5 Aceptarlo
sistemas de monitoreo
Amenazas de virus y
R6 personas externas Controlarlo
manipulacin archivos
FORMATO DE HALLAZGOS
REF
HALLAZGO 1
R1
PGINA
PROCESO AUDITADO Clonacin o Robo de Informacin
1 DE 1
RESPONSABLE Javier Andrs Castaeda Hernndez
MATERIAL DE SOPORTE COBIT
AI2 Adquirir y Mantener
DOMINIO Adquirir e Implementar (AI) PROCESO
Software Aplicativo.
DESCRIPCIN:
Encontramos poca seguridad en los equipos instalados en la empresa; no cuentas con usuarios protegidos, ni
contraseas, los equipos estn expuestos a cualquier manipulacin
REF_PT:
CONSECUENCIAS:
Robo de Informacin.
Instalacin de Software Malicioso.
Spyware.
Eliminacin de documentos o datos Importantes.
RIESGO:
Probabilidad de ocurrencia: 60 %
Impacto segn relevancia del proceso: Alto
RECOMENDACIONES:
Crear cuentas de Usuarios con contraseas seguras.
Instalacin de Cmaras de Seguridad.
REF
HALLAZGO 2
R1
Perdida de datos esenciales para el funcionamiento de la PGINA

PROCESO AUDITADO empresa 1 DE 1
MATERIAL DE
COBIT
SOPORTE
DESCRIPCIN: Al Usar software que no cuenta con soporte tcnico se puede generar perdida de los datos
esenciales que maneja la empresa y ya que no cuenta con el soporte la perdida puede ser catastrfica
REF_PT:
CONSECUENCIAS:
Perdida de datos importantes para la empresa
Daos del Software aplicativo Instalado
RIESGO:
RECOMENDACIONES:
Contratar Software aplicativo con licencias y soporte Tcnico.
REF
HALLAZGO 3
R1
Amenazas de virus y personas externas manipulacin PGINA

PROCESO AUDITADO archivos 1 DE 1
MATERIAL DE
COBIT
SOPORTE
DESCRIPCIN: Los equipos no cuentan con un buen antivirus licenciado que proteja los equipos de posibles
manipulaciones fsicas o por medio de la navegacin.
REF_PT:
CONSECUENCIAS:
Instalacin de cualquier tipo de virus, poniendo en riesgo la informacin de la empresa, como clonacin o
eliminacin de documentos, la confidencialidad y los equipos.
RIESGO:
RECOMENDACIONES:
Adquirir Antivirus licenciados que presten seguridad a la empresa.
CONTROLES TIPO DE CONTROL
RIESGO
PROPUESTOS
PREVENTIVO DETECTIVO CORRECTIVO RECUPERACION
Controlar los
Clonacin o equipos con
Robo de usuarios y x
Informacin contraseas
seguras
Obtener
software
licencia y con
Daos en Los soporte tcnico
x
Documentos que no ponga en
riesgo la
documentacin
de la alcalda
actualizar
equipo de
Falta de cmputo o hacer
soporte en caso la migracin de x
de algn fallo los datos a un
equipo ms
moderno
Perdida de
realizar las
datos
copias de
esenciales para
seguridad de los x
el
documentos de
funcionamiento
cada empleado
de la empresa
adquirir las
Ausencia de
licencias en los
licencias en
sistemas de x
sistemas de
monitoreo de la
monitoreo
alcalda
Amenazas de adquirir un
virus y antivirus
personas licenciado y que
x
externas brinde
manipulacin seguridad a la
archivos alcalda de
posibles
amenazas
Aporte WILSON ANDRS GUTIRREZ GALEANO
DESARROLLO DE ACTIVIDAD
Probabilidad Impacto
N Descripcin
Manipulacin
R1 de equipos por x x
terceros
Robo de
R2 x x
informacin
Amenazas de
R3 x x
virus
Manipulacin
R4 de servidores x x
por terceros
Perdida de
R5 x x
datos
Resultado de la Matriz de Riesgo para Entregar y Dar Soporte
Alto
R1 R5
61-100%
PROBABILIDAD
Medio
R2,R2
31-60%
Bajo
0-30%

IMPACTO
Tratamiento del Riesgo
Hardware
R1 Manipulacin de equipos por terceros x x
R2 Robo de informacin x x
R3 Amenazas de virus x x
R4 Manipulacin de servidores por terceros x x
R5 Perdida de datos x x
ID. Tratamiento
Descripcin Riesgo
Riesgo Riesgo
Manipulacin de equipos
R1 Controlarlo
por terceros
R2 Robo de informacin Controlarlo
R3 Amenazas de virus Controlarlo
Manipulacin de
R4 Eliminarlo
servidores por terceros
R5 Perdida de datos Aceptarlo

REF
HALLAZGO 1
R1
PGINA
PROCESO AUDITADO Manipulacin de equipos por terceros
1 DE 1
RESPONSABLE Wilson Andrs Gutirrez Galeano
DS5 Garantizar la
DOMINIO Entregar y Dar Soporte PROCESO
Seguridad de los Sistemas
DESCRIPCIN:
Encontramos poca seguridad en los equipos instalados en la empresa; no se cuenta con seguridad en equipos los cuales
pueden ser manipulados por terceros.
REF_PT:
CONSECUENCIAS:
Robo de informacin
Manipulacin de equipos
Instalacin de software no licenciado
Eliminacin de documentos
RIESGO:
RECOMENDACIONES:
Organizar en rack de comunicaciones los equipos.
Instalacin de Cmaras de Seguridad.
REF
HALLAZGO 2 R1
PGINA
Robo de informacin
PROCESO AUDITADO 1 DE 1
RESPONSABLE Wilson Andrs Gutirrez Galeano
DS5 Garantizar la
DESCRIPCIN: Se puede presentar robo de informacin por fcil manipulacin de equipos por personal diferente a
los colaboradores de TI.
REF_PT:
CONSECUENCIAS:
Perdida de datos importantes para la empresa
Dao de equipos de la empresa y/o robo de informacin.
RIESGO:
RECOMENDACIONES:
Aplicar seguridad a los equipos servidores y evitar manipulacin por terceros
REF
HALLAZGO 3
R1
PGINA
Amenazas de virus
PROCESO AUDITADO 1 DE 1
DS5 Garantizar la
DESCRIPCIN: Manipulacin de equipos por personal ajena a TI lo cual puede causar infeccin de equipos.
REF_PT:
CONSECUENCIAS:
Aseguramiento de sitio donde se encuentra los equipos para evitar manipulacin de los servidores
RIESGO:
RECOMENDACIONES:
Adquirir Antivirus licenciados que presten seguridad a la empresa.
CONTROLES TIPO DE CONTROL
RIESGO
PROPUESTOS
PREVENTIVO DETECTIVO CORRECTIVO RECUPERACION
Organizar en
Manipulacin rack de
de equipos comunicaciones x
por terceros los equipos.
Obtener
software
licencia y con
Robo de soporte tcnico
x
informacin que no ponga en
riesgo la
documentacin
de la alcalda
Adquirir
Antivirus
Amenazas de licenciados que
x
virus presten
seguridad a la
empresa.
Guardar Backup
Perdida de de documentos
x
datos importantes
para la empresa
Amenazas de
virus y
adquirir un
personas
antivirus x
externas
licenciado
manipulacin
archivos
Aporte EDGAR ADRIAN ORTIZ PARRA
Tabla 1. Valoracin de riesgos

Hardware
R1 No existe sistema de proteccin en descargas X X
elctricas.
Redes
R2 Descargas e instalacin de programas X X
inapropiados por falta de polticas de
administracin.
R3 No hay control en el manejo de la X X
informacin.
R4 No existe cuenta propia de usuario para el X X
acceso a los equipos.
Seguridad fsica
R5 Almacenamiento de la informacin contable y X X
administrativa en un solo equipo.
Infraestructura
R6 No hay personal apto para el manejo de la red X X
y su funcionamiento.
R7 No se cuenta con privacidad suficiente en los X X
sitios de trabajo.
Seguridad lgica
R8 No se tiene control en acceso a internet. X X
Documentacin
R9 No existen antivirus licenciados. X X
R10 No se tiene software con licencia. X X
Personal del rea

R11 Falta de capacitacin sobre la correcta X X
utilizacin y manejo de equipos de
cmputo.
ALTA L: Leve
MEDIA M: Moderado
BAJA C: Catastrfico
Tabla 2 Matriz de Clasificacin de riesgo
ALTO (15%) R5- R7
R1- R2- R3- R4-

MEDIO (55%) R6- R8
BAJO (30%) R9- R10- R11
TRATAMIENTO DE RIESGO
ID.
RIESGO DESCRIPCIN RIESGO TRATAMIENTO RIESGO
R1 No existe sistema de proteccin en descargas Controlarlo
elctricas.
R2 Descargas e instalacin de programas inapropiados Controlarlo
por falta de polticas de administracin.
R3 No hay control en el manejo de la informacin. Controlarlo
R4 No existe cuenta propia de usuario para el acceso a los Controlarlo
equipos.
R5 Almacenamiento de la informacin contable y Controlarlo
administrativa en un solo equipo.
R6 No hay personal apto para el manejo de la red y su Controlarlo
funcionamiento.
R7 No se cuenta con privacidad suficiente en los sitios de Controlarlo
trabajo.
R8 No se tiene control en acceso a internet. Controlarlo
R9 No existen antivirus licenciados. Transferirlo
R10 No se tiene software con licencia. Transferirlo
R11 Falta de capacitacin sobre la correcta utilizacin y Transferirlo
manejo de equipos de cmputo.
RIESGOS o TIPO DE SOLUCIONES O CONTROLES
HALLAZGOS CONTROL
ENCONTRADOS
No existe sistema de Controlarlo Adquirir equipos con la tecnologa
proteccin en adecuada para minimizar los riesgos.
descargas
elctricas.
Descargas e instalacin Controlarlo Concientizar al personal sobre el mal uso
de programas de los equipos e implementar
inapropiados por estrategias de restriccin con el fin de
falta de polticas de minimizar descarga de Software no
administracin. requeridos en la empresa.
No hay control en el Controlarlo Controlar el ingreso y salida de
manejo de la dispositivos de almacenamiento
informacin. externo
No existe cuenta Controlarlo Creacin de cuentas de usuario por cada
propia de usuario empleado.
para el acceso a los
equipos.
Almacenamiento de la Controlarlo Controlar el uso de equipos y servidores
informacin de almacenamiento
contable y
administrativa en
un solo equipo.
No hay personal apto Controlarlo Capacitar al personal de la organizacin
para el manejo de sobre la forma de utilizar y optimizar
la red y su los recursos.
funcionamiento.
No se cuenta con Controlarlo Asignar cuentas de Administrador y
privacidad Usuarios dependiendo del cargo
suficiente en los
sitios de trabajo.
No se tiene control en Controlarlo Restriccin en el uso de los navegadores,
acceso a internet. solo para ingreso a plataformas
institucionales.
No existen antivirus Transferirlo Adquirir licencia de antivirus, con el fin
licenciados. de evitar que los equipos se infecten y
provoquen perdida de informacin.
No se tiene software Transferirlo Contratar con una empresa la adquisicin
con licencia. de licencias para los software que se
manejan en la empresa.
Falta de capacitacin Transferirlo Contratacin de una persona con
sobre la correcta conocimientos en el rea informtica,
utilizacin y que capacite al personal sobre el buen
manejo de equipos uso de los equipos.
de cmputo.
Tabla Hallazgos
REF
Alcalda de
Sevilla Valle HALLAZGO 1
del Cauca O1
PGINA
PROCESO AUDITADO No existe sistema de proteccin en descargas elctricas.
1 DE 11
RESPONSABLE Edgar Adrin Ortiz Parra
Definir un plan estratgico
DOMINIO Planear y Organizar (PO) PROCESO
de TI (PO1)
DESCRIPCIN:
Los equipos no cuentan con UPS que los proteja de las descargas.
Cableado en sitios no adecuados.
Tomas en mal estado.
Equipos elctricos en sitios no adecuados.
RIESGO:
Probabilidad de ocurrencia: = 55%
RECOMENDACIONES:
Revisar peridicamente las conexiones elctricas en sus puestos de trabajo.

Conformar un grupo determinado de funcionarios que evalen y estudien el desempeo de la red elctrica para con
ello tomen decisiones oportunas y adecuadas en la eventualidad de no cumplir objetivos planteados
Tabla Hallazgos
REF
Alcalda de
del Cauca O2
Descargas e instalacin de programas inapropiados por falta PGINA

PROCESO AUDITADO
de polticas de administracin. 2 DE 11
de TI (PO1)
DESCRIPCIN:
Los equipos no cuentan con restriccin de sitios Web.

Falta de educacin sobre el uso adecuado de los recursos.
Controles disciplinarios al personal.
RIESGO:
Impacto segn relevancia del proceso: Medio
RECOMENDACIONES:
No acceder a sitios Web no permitidos.

No instalar software sin previa autorizacin.
No conectar dispositivos sin antes ser analizados.
Tabla Hallazgos
REF
Alcalda de
del Cauca O3
PGINA
PROCESO AUDITADO No hay control en el manejo de la informacin
3 DE 11
MATERIAL DE
COBIT
SOPORTE
de TI (PO1)
DESCRIPCIN:
El personal no tiene en cuenta las normas para el uso adecuado de la informacin.

Falta de control en el uso de dispositivos de almacenamiento externo.
Posible prdida de informacin por virus.
RIESGO:
RECOMENDACIONES:
Crear usuarios para cada equipo.

Ejercer control sobre el uso de dispositivos de almacenamiento.
Uso de correos solo institucionales.
Tabla Hallazgos
REF
Alcalda de
del Cauca O4
No existe cuenta propia de usuario para el acceso a los PGINA

PROCESO AUDITADO
equipos. 4 DE 11
de TI (PO1)
DESCRIPCIN:
Los equipos no se encuentran asignados a una sola dependencia.

Equipos con informacin valiosa, expuestos al uso pblico.
RIESGO:
RECOMENDACIONES:
Crear cuentas de usuario.

Asignar equipos a cada dependencia.
Tabla Hallazgos
REF
Alcalda de
del Cauca O5
Almacenamiento de la informacin contable y administrativa PGINA

PROCESO AUDITADO
en un solo equipo. 5 DE 11
de TI (PO1)
DESCRIPCIN:
No existe respaldo de la informacin, para eventos catastrficos.

No hay servidor que contenga la informacin de inters de la empresa.
Mal uso de la red interna.
RIESGO:
RECOMENDACIONES:
Establecer conexin a un servidor donde se guarde copia de la informacin de todos los equipos.
Almacenamiento de informacin en la nube.
Tabla Hallazgos
REF
Alcalda de
del Cauca O6
No hay personal apto para el manejo de la red y su PGINA

PROCESO AUDITADO
funcionamiento. 6 DE 11
de TI (PO1)
DESCRIPCIN:
Falta de personal capacitado en redes e informtica, que pueda garantizar el normal funcionamiento del sistema
interno.
Falta de capacitacin al personal en el uso de los equipos.
RIESGO:
RECOMENDACIONES:
Contratar personal idneo que capacite a los empleados.

Incluir perfil de conocimiento informtico al momento de contratar.
Tabla Hallazgos
REF
Alcalda de
del Cauca O7
No se cuenta con privacidad suficiente en los sitios de PGINA

PROCESO AUDITADO
trabajo. 7 DE 11
de TI (PO1)
DESCRIPCIN:
Oficinas compartidas y sin control de ingreso.

Oficinas expuestas a ingreso de personal ajeno a la institucin.
Equipos sin claves de acceso.
RIESGO:
RECOMENDACIONES:
Organizar cubculos de divisin para cada dependencia.

Orientacin a los usuarios que ingresen a la instalacin.
Cerrar sesiones de equipos cuando se encuentren sin personal autorizado.
Tabla Hallazgos
REF
Alcalda de
del Cauca O8
PGINA
PROCESO AUDITADO No se tiene control en acceso a internet.
8 DE 11
de TI (PO1)
DESCRIPCIN:
Equipos con uso de navegadores, con acceso libre a todos los sitios web.
Equipos sin antivirus que alerten sobre seguridad de los sitios.
RIESGO:
RECOMENDACIONES:
Configurar navegadores donde se restrinja el ingreso a pginas no institucionales.

Supervisar el uso de equipos.
Tabla Hallazgos
REF
Alcalda de
del Cauca O9
PGINA
PROCESO AUDITADO No existen antivirus licenciados.
9 DE 11
MATERIAL DE
COBIT
SOPORTE
de TI (PO1)
DESCRIPCIN:
Los equipos no cuentan con software que los proteja.

Antivirus desactualizados.
RIESGO:
Impacto segn relevancia del proceso: Bajo
RECOMENDACIONES:
Actualizar y licenciar antivirus.

Evitar el uso de dispositivos externos.
Tabla Hallazgos
REF
Alcalda de
del Cauca 10
PGINA
PROCESO AUDITADO No se tiene software con licencia.
10 DE 11
MATERIAL DE
COBIT
SOPORTE
de TI (PO1)
DESCRIPCIN:
Los equipos no cuentan con la licencia para el uso de software.

Desactualizacin de los equipos.
Errores en la ejecucin de los procesos.
RIESGO:
RECOMENDACIONES:
Adquirir licencias para los software.

Actualizar sistemas operativos.
Tabla Hallazgos
REF
Alcalda de
del Cauca 11
Falta de capacitacin sobre la correcta utilizacin y manejo PGINA

PROCESO AUDITADO
de equipos de cmputo. 11 DE 11
de TI (PO1)
DESCRIPCIN:
Mal uso de los equipos informticos.

Daos en equipos de ltima tecnologa.
Vida til de los equipos reducida por el mal manejo.
RIESGO:
RECOMENDACIONES:
Ofrecer capacitaciones en el manejo informtico.

Concientizar al personal sobre el buen uso de los recursos.
Incentivar al personal que mantenga su equipo en buenas condiciones.
TRATAMIENTO DE RIESGOS: PO1 DEFINIR UN PLAN ESTRATEGICO DE TI.

CONTROL
R1 No existe sistema de Adquirir equipos con la tecnologa adecuada
proteccin en descargas para minimizar los riesgos. Preventivo
elctricas.
R2 Descargas e instalacin de Concientizar al personal sobre el mal uso de
programas inapropiados por los equipos e implementar estrategias de
falta de polticas de restriccin con el fin de minimizar descarga Preventivo
administracin. de Software no requeridos en la empresa.
R3 No hay control en el manejo Controlar el ingreso y salida de dispositivos

de la informacin. de almacenamiento externo Correctivo
R4 No existe cuenta propia de Creacin de cuentas de usuario por cada

usuario para el acceso a los empleado. Correctivo
equipos.
R5 Almacenamiento de la Controlar el uso de equipos y servidores de
informacin contable y almacenamiento
Correctivo
administrativa en un solo
equipo.
R6 No hay personal apto para el Capacitar al personal de la organizacin
manejo de la red y su sobre la forma de utilizar y optimizar los Preventivo
funcionamiento. recursos.
R7 No se cuenta con privacidad Asignar cuentas de Administrador y Usuarios

suficiente en los sitios de dependiendo del cargo Correctivo
trabajo.
R8 No se tiene control en acceso Restriccin en el uso de los navegadores, solo
a internet. para ingreso a plataformas institucionales. Preventivo
R9 No existen antivirus Adquirir licencia de antivirus, con el fin de

licenciados. evitar que los equipos se infecten y Preventivo
provoquen perdida de informacin.
R10 No se tiene software con Contratar con una empresa la adquisicin de

licencia. licencias para los software que se manejan en Preventivo
la empresa.
R11 Falta de capacitacin sobre la Contratacin de una persona con
correcta utilizacin y manejo conocimientos en el rea informtica, que
de equipos de cmputo. capacite al personal sobre el buen uso de los Preventivo
equipos.
CONCLUSIONES
La auditora es una herramienta que nos permite revisar y evaluar uno o varios procesos con el nimo
e corregir un error y proponer soluciones para mitigar sus causas.
Existen diversos aplicativos que permiten brindar apoyo a las auditorias de sistemas, realizando inventarios
equipos, seguridad en redes, auditora a bases de datos, criptografa, cifrado de cdigo, software sniffer,
y otras funciones ms.
Gracias a la matriz de riesgos se puede clasificar los riesgos gracias a su probabilidad e impacto.
BIBLIOGRAFIA
Astello, R. J. (2015). Auditoria en entornos informticos. Recuperado de http://es.slideshare.net/zhhane/auditoria-de-

sistemas-46686981
Solares, P., Baca, G., Acosta, E. (2010). Administracin informtica: Anlisis y evaluacin de tecnologas de la
informacin. Recuperado de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11013780
Macia, F. (2005). Desarrollo de grandes aplicaciones distribuidas sobre internet. Recuperado de

http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO%3aaci&genre=book&issn=&ISBN=9788479088156&volu
me=&issue=&date=20050101&spage=171&pages=171-
186&title=Desarrollo+de+Grandes+Aplicaciones+Distribuidas+Sobre+Internet&atitle=AUDITOR%c3%8dA+E+INFORM
%c3%81TICA%3a+ALGUNAS+T%c3%89CNICAS+ACTUALES.&aulast=Blanco+Encinosa%2c+L%c3%a1zaro+J.&id
=DOI%3a&site=ftf-live

Unidad 3 Fase 4

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Unidad 3 Fase 4

Загружено:

Авторское право:

Доступные форматы

Unidad 3: Fase 4 Ejecucin: Hallazgos de la auditoria, Tratamiento de riesgos, Controles

Realizar el cuadro de matriz de riesgos.

ANALISIS Y EVALUACIN DE RIESGOS

R7 Software sin licencia X X

Alto R1, R4 R2, R3, R5, R7, R8, R9,

R1, R4, R6, R11

PROCESO Infraestructura Tecnolgica algunos PGINA

REF_PT: referencia papel de trabajo

Impacto segn relevancia del proceso: Moderado

REF_PT: referencia papel de trabajo

Impacto segn relevancia del proceso: Moderado

PROCESO Acceso a las reas restringidas, perdida y PGINA

REF_PT: referencia papel de trabajo

Impacto segn relevancia del proceso: Catastrfico

No existen perfiles adecuados para cada PGINA

RESPONSABLE Eduard Aristizabal

Impacto segn relevancia del proceso: Moderado

Servidores sobresaturados en DETECTIVO, Distribuir los sistemas de informacin

Acceso a las reas PREVENTIVO Realizar inventario de todas las piezas y

Dominio: Entregar y dar soporte (DS)

MATRIZ PARA MEDICIN DE PROBABILIDAD E IMPACTO DE RIESGOS

Bajo Zona de riesgo Zona de riesgo Zona de riesgo Moderado

0-30% Aceptable Tolerable

ANALISIS Y EVALUACIN DE RIESGOS

Resultado Matriz de riesgos para hardware

R7 R1, R3, R4,R6

R5 Prdida de informacin Realizar copias de seguridad y

Resultado Matriz de riesgos para hardware

DS4.2. Planes de continuidad TI PGINA

R5 Prdida de informacin Realizar copias de seguridad y

R7 No hay un plan de Crear plan de contingencia con un

CONTROLES: DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO

ID. Descripcin Riesgo Tratamiento Riesgo

R1 La informacin contenida en los servidores del Controlarlo

R6 Perdida de informacin por no realizar Controlarlo

ANALISIS Y EVALUACIN DE RIESGOS

Resultado de la Matriz de Riesgo para software

LEVE MODERADO CATASTROFICO

Tratamiento del Riesgo

R3 Falta de soporte en caso de algn fallo x x

Perdida de datos esenciales para el x x

Perdida de datos esenciales para el funcionamiento de la PGINA

Amenazas de virus y personas externas manipulacin PGINA

Aporte WILSON ANDRS GUTIRREZ GALEANO

ANALISIS Y EVALUACIN DE RIESGOS

Resultado de la Matriz de Riesgo para Entregar y Dar Soporte

LEVE MODERADO CATASTROFICO

Tratamiento del Riesgo

R4 Manipulacin de servidores por terceros x x

R3 Amenazas de virus Controlarlo

R5 Perdida de datos Aceptarlo

Tabla 1. Valoracin de riesgos

Personal del rea

LEVE MODERADO CATASTROFICO

ALTO (15%) R5- R7

R1- R2- R3- R4-

BAJO (30%) R9- R10- R11

Revisar peridicamente las conexiones elctricas en sus puestos de trabajo.

Descargas e instalacin de programas inapropiados por falta PGINA

Los equipos no cuentan con restriccin de sitios Web.

No acceder a sitios Web no permitidos.

El personal no tiene en cuenta las normas para el uso adecuado de la informacin.

Crear usuarios para cada equipo.

No existe cuenta propia de usuario para el acceso a los PGINA