Академический Документы
Профессиональный Документы
Культура Документы
Risaralda
2017
INTRODUCCIN
A partir del Anlisis realizado en el trabajo colaborativo anterior y teniendo en cuenta el resultado de la matriz de riesgos
de cada uno de los procesos auditados, se determin mediante la elaboracin de unos cuadros que permiten realizar el
tratamiento que deben tener los riesgos encontrados, los cuales pueden estar en diferentes estados, como son el de poder
aceptarlos, controlarlos o transferirlos.
En este trabajo escrito se encuentran elaborados unos formatos de hallazgos de cada uno de los procesos auditados los
cuales fueron realizados a partir de la elaboracin de una matriz de riesgos, de cada uno de dichos procesos.
Estos formatos de hallazgos contienen informacin acerca del dominio de cada uno de los procesos, los respectivos
objetivos de control,
los riesgos que han sido asociados a cada uno de los hallazgos, as como tambin se ha hecho una descripcin, unas
recomendaciones y un anlisis sobre las causas y el nivel de riesgo al cual pertenece cada uno de los hallazgos.
Igualmente se han elaborado unos cuadros que permiten contener cada uno de los riesgos a los cuales se le ha asociado
unos controles que han sido propuestos y se han realizado una serie de controles para cada uno de ellos, los cuales pueden
ser del tipo preventivo, detectivo, correctivo o de recuperacin.
OBJETIVOS
Objetivos General:
Elaborar un documento que contenga unos formatos de anlisis de riesgos, hallazgos y de control que permitan
evidenciar el tratamiento que se debe realizar a los riesgos, estableciendo unos controles a cada uno de los hallazgos
encontrados en cada uno de los procesos auditados para el ente territorial de Sevilla Valle del Cauca.
Objetivos Especficos:
R8 Instalacin de X X
programas no
deseados, robo de
informacin
R9 Manipulacin de los
dispositivos personal X X
ajeno a sistemas
R10 Proteccin elctrica X X
(ups, red regulada)
R11 Respuesta ante alguna X X
falla de los
dispositivos
Matriz de Riesgos
Medio
31-60% R2, R3, R6 R6, R11
Bajo
0-30% R1, R5, R10 R7, R8, R9
IMPACTO
Zona de Zona de
riesgo Riesgo
Leve,
Zona de Moderado
riesgo
Tabla Hallazgos
REF
HALLAZGO 1
DESCRIPCIN:
Equipos de la infraestructura tecnolgica de la empresa obsoletos presentan
fallas constantes (switch y equipos de cmputo)
CONSECUENCIAS:
Atraso en las tareas de los usuarios
Perdida de informacion
RIESGO:
Probabilidad de ocurrencia: = 61% 100%
RECOMENDACIONES:
Actualizar y realizar el cambio de los equipos que llegaron a su vida til o repararlos
segn sea necesario
REF
HALLAZGO 2
PROCESO PGINA
Adquirir e implementar
AUDITADO 1 DE 1
RESPONSABLE Eduard Aristizabal
MATERIAL DE
COBIT
SOPORTE
AI3 Adquirir y
Adquirir e Mantener
DOMINIO PROCESO
implementar Infraestructura
Tecnolgica:
DESCRIPCIN:
Se evidencia que el servidor en el cual se almacena el sistema de informacin
que a hoy suple las necesidades de la empresa, se encuentran tambin otros 2
sistemas de informacin los cuales son una ERP y un sistema nuevo que a hoy
se encuentra en pruebas, por ende, se ven afectadas algunas operaciones que se
realizan en estos, continuas cadas de los sistemas y una muy pobre rapidez en
el manejo de estos.
RIESGO:
Probabilidad de ocurrencia: = 61% 100%
RECOMENDACIONES:
Distribuir los sistemas de informacin en los diferentes servidores asignados al
rea de informtica.
Comprar ms espacio de almacenamiento para cada uno de los servidores.
Asignar un servidor de pruebas para almacenar all los sistemas que se estn
desarrollando.
REF
HALLAZGO 3
MATERIAL DE
COBIT
SOPORTE
AI3 Adquirir y
Adquirir e Mantener
DOMINIO PROCESO
implementar Infraestructura
Tecnolgica:
DESCRIPCIN:
No se cuenta con un personal directamente encargado de las reas de
informtica, tanto de los servidores y salas de trabajo como tambin de la sala
en la que se encuentran todas las reservas de piezas y partes relacionadas con el
hardware, por ende, se puede dar paso a que all se encuentren personas no
autorizadas y peor an personal no perteneciente al rea de informtica.
CONSECUENCIAS:
Perdida de piezas importantes para el uso de los equipos informticos, causando
as una prdida de dinero y tiempo al momento de presentarse daos y no
encontrar posibles repuestos para suplirlos.
Extravi de informacin valiosa y confidencial, como documentos u objetos en
los que se almacena informacin (USB, CD),
Dao de equipos o servidores a causa de personas mal intencionadas o sin el
conocimiento suficiente para manipularlos.
RIESGO:
Probabilidad de ocurrencia: = 61% 100%
REF
HALLAZGO 4
DESCRIPCIN:
No existen perfiles ya establecidos para cada uno de los cargos, para as
determinar los permisos y accesos que van a llegar a tener cada uno de estos,
por ende, se obliga a los usuarios usar una mesa de ayuda por la cual deben
realizar las solicitudes de acceso a algunas funcionalidades que para ellos se
encuentran restringidas
REF_PT: referencia papel de trabajo
CONSECUENCIAS:
Entorpecimiento en el desarrollo de las actividades debido a la demora en el
trmite de las solicitudes realizadas a la mesa de ayuda
Permisos de acceso a usuarios sin las facultades suficientes para tenerlos
RIESGO:
Probabilidad de ocurrencia: = 31% 60%
RECOMENDACIONES:
Realizar un estudio de cargos y las acciones que las personas asociadas a este
deben realizar para as asignar perfiles de acuerdo a cada uno de los cargos con
sus respetivos permisos.
RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES
ENCONTRADOS CONTROL
Equipos de la infraestructura .
tecnolgica de la empresa Actualizar y realizar el cambio de los
obsoletos presentan fallas equipos que llegaron a su vida til o
constantes (switch y equipos CORRECTIVO repararlos segn sea necesario
de cmputo
Objetivos:
DS4.2. Planes de continuidad de TI.
DS4.3 Recursos crticos de TI.
RIESGOS:
1. La informacin contenida en los sistemas de informacin de la alcalda se puede perder al carecer de polticas de
aseguramiento a travs de copias de respaldo de la informacin.
2. Se debe fortalecer la creacin y socializacin de un sistema de gestin de la seguridad de la informacin SGSI.
3. Falta de actualizacin y configuracin adecuada del equipo servidor por parte del personal del rea de sistemas.
4. No se realiza un proceso de auditora a la seguridad informtica.
5. Prdida de informacin o el dao de los documentos generados.
6. Perdida de informacin por no realizar adecuadamente las copias de seguridad.
7. No hay un plan de contingencia con un segundo servidor de respaldo, vulnerabilidad del servidor frente a usuarios y
personal no autorizado.
8. Posible prdida en la trasmisin de algunos paquetes de datos.
9. Se puede ocasionar daos de carcter elctrico en los equipos de cmputo como sobre cargas y cortos elctricos.
IMPACTO
Medio R2, R9 R5
31-60%
Bajo R8
PROBABILIDAD
0-30%
Leve Moderado Catastrfico
IMPACTO
TRATAMIENTO DE RIESGOS: DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO.
N RIESGOS CONTROLES PROPUESTOS TIPO DE
CONTROL
R1 La informacin Almacenar la informacin de la
contenida en los empresa de manera automtica a
servidores del ente travs de la programacin de copias
territorial se puede en un servidor de respaldo.
perder al carecer de Almacenar fuera de las instalaciones
polticas de todos los medios de respaldo, Preventivo
aseguramiento a travs documentacin y otros recursos de TI
de copias de respaldo de crticos, necesarios para la
la informacin. recuperacin de TI y para los planes
de continuidad y operacin
administrativa.
R2 Aunque existe de un Es esencial que los cambios en los
SGSI, falta socializar el procedimientos y las
fin de este con los responsabilidades sean
usuarios del sistema y comunicados de forma clara y Preventivo
los dispositivos. oportuna.
Realizar y ejecutar un cronograma
de actividades.
R3 Falta de actualizacin y Capacitar personal adecuado en el
configuracin adecuada rea de sistemas para actualizaciones
del equipo por parte del y configuracin de sistemas de
personal del rea de informacin.
sistemas. Elaborar polticas de administracin y
organizacin de la informacin, lo Correctivo
cual se podra realizar a travs de la
contratacin de un ingeniero de
sistemas con experiencia en manejo
de servidores y seguridad para la
realizacin de esta labor.
R4 No se realiza un proceso Contratar personal adecuado para
de auditora a la supervisar y realizar las auditorias.
Correctivo
seguridad informtica.
R7 R1,R3,R4,R6
Alto
61-100%
Medio R2, R9 R5
31-60%
Bajo R8
PROBABILIDAD
0-30%
Leve Moderado Catastrfico
IMPACTO
Desarrollo formato de hallazgo:
REF
HALLAZGO
DESCRIPCIN:
En la alcalda de Sevilla valle del cauca, la poltica de seguridad informtica no est en su totalidad aplicada, faltan
ms actualizaciones y configuracin por parte del sistema de gestin del ente territorial, para ser ejecutada en el rea
de sistemas.
Los empleados del rea de sistemas carecen de un correcto conocimiento en el tema de seguridad informtica y
manejo del software.
Las copias de seguridad de la bases de datos se realizan por empresas privadas y los funcionarios como tambin
contratistas no realizan este proceso.
CONSECUENCIAS:
Perdida de informacin que pueden acarrear sanciones.
Mala administracin de los sistemas de informacin.
Vulnerabilidad a ataques informticos.
Omisin de procesos administrativos por parte del personal
RIESGO:
La probabilidad de ocurrencia est clasificada en alto
Probabilidad de ocurrencia: = 61% 100%
Impacto segn relevancia del proceso: Moderado
RECOMENDACIONES:
Definir de forma clara cuales son las polticas de seguridad de la informacin que deben seguir los usuarios del rea
de sistemas, de acuerdo al uso que se haga del mismo.
Realizar capacitaciones trimestrales, para socializar las polticas de la seguridad informtica definidas para cada tipo
de usuario que acceden al sistema y de las actualizaciones para un mejor manejo del software.
Se deben realizar copias de seguridad peridicas de la informacin administrada y de los sistemas de gestin que se
utiliza en el ente territorial.
TRATAMIENTO DE RIESGOS: DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO.
N RIESGOS CONTROLES PROPUESTOS TIPO DE
CONTROL
R1 La informacin Almacenar la informacin de la
contenida en los empresa de manera automtica a
servidores del ente travs de la programacin de copias
territorial se puede en un servidor de respaldo.
perder al carecer de Almacenar fuera de las instalaciones
polticas de todos los medios de respaldo, Preventivo
aseguramiento a travs documentacin y otros recursos de TI
de copias de respaldo de crticos, necesarios para la
la informacin. recuperacin de TI y para los planes
de continuidad y operacin
administrativa.
R2 Aunque existe de un Es esencial que los cambios en los
SGSI, falta socializar el procedimientos y las
fin de este con los responsabilidades sean
usuarios del sistema y comunicados de forma clara y Preventivo
los dispositivos. oportuna.
Realizar y ejecutar un cronograma
de actividades.
R3 Falta de actualizacin y Capacitar personal adecuado en el
configuracin adecuada rea de sistemas para actualizaciones
del equipo por parte del y configuracin de sistemas de
personal del rea de informacin.
sistemas. Elaborar polticas de administracin y
organizacin de la informacin, lo Correctivo
cual se podra realizar a travs de la
contratacin de un ingeniero de
sistemas con experiencia en manejo
de servidores y seguridad para la
realizacin de esta labor.
R4 No se realiza un proceso Contratar personal adecuado para
de auditora a la supervisar y realizar las auditorias.
Correctivo
seguridad informtica.
Probabilidad Impacto
N Descripcin
Baja Media Alta Leve Moderado Catastrfico
Clonacin o
R1 Robo de x x
Informacin
Daos en Los
R2 x x
Documentos
Falta de
R3 soporte en caso x x
de algn fallo
Perdida de
datos
esenciales para
R4 x x
el
funcionamiento
de la empresa
Ausencia de
licencias en
R5 x x
sistemas de
monitoreo
Amenazas de
virus y
personas
R6 x x
externas
manipulacin
archivos
Medio
R1,R2
31-60%
Bajo
R4
0-30%
PROBABILIDAD IMPACTO
RIESGOS/VALORACION A M B L M C
Hardware
R1 Clonacin o Robo de Informacin x x
R2 Daos en Los Documentos x x
Ausencia de licencias en
R5 Aceptarlo
sistemas de monitoreo
Amenazas de virus y
R6 personas externas Controlarlo
manipulacin archivos
FORMATO DE HALLAZGOS
REF
HALLAZGO 1
R1
PGINA
PROCESO AUDITADO Clonacin o Robo de Informacin
1 DE 1
RESPONSABLE Javier Andrs Castaeda Hernndez
MATERIAL DE SOPORTE COBIT
AI2 Adquirir y Mantener
DOMINIO Adquirir e Implementar (AI) PROCESO
Software Aplicativo.
DESCRIPCIN:
Encontramos poca seguridad en los equipos instalados en la empresa; no cuentas con usuarios protegidos, ni
contraseas, los equipos estn expuestos a cualquier manipulacin
REF_PT:
CONSECUENCIAS:
Robo de Informacin.
Instalacin de Software Malicioso.
Spyware.
Eliminacin de documentos o datos Importantes.
RIESGO:
Probabilidad de ocurrencia: 60 %
Impacto segn relevancia del proceso: Alto
RECOMENDACIONES:
Crear cuentas de Usuarios con contraseas seguras.
Instalacin de Cmaras de Seguridad.
FORMATO DE HALLAZGOS
REF
HALLAZGO 2
R1
REF_PT:
CONSECUENCIAS:
Perdida de datos importantes para la empresa
Daos del Software aplicativo Instalado
RIESGO:
Probabilidad de ocurrencia: 80 %
Impacto segn relevancia del proceso: Alto
RECOMENDACIONES:
Contratar Software aplicativo con licencias y soporte Tcnico.
FORMATO DE HALLAZGOS
REF
HALLAZGO 3
R1
REF_PT:
CONSECUENCIAS:
Instalacin de cualquier tipo de virus, poniendo en riesgo la informacin de la empresa, como clonacin o
eliminacin de documentos, la confidencialidad y los equipos.
RIESGO:
Probabilidad de ocurrencia: 85 %
Impacto segn relevancia del proceso: Alto
RECOMENDACIONES:
Adquirir Antivirus licenciados que presten seguridad a la empresa.
CONTROLES TIPO DE CONTROL
RIESGO
PROPUESTOS
PREVENTIVO DETECTIVO CORRECTIVO RECUPERACION
Controlar los
Clonacin o equipos con
Robo de usuarios y x
Informacin contraseas
seguras
Obtener
software
licencia y con
Daos en Los soporte tcnico
x
Documentos que no ponga en
riesgo la
documentacin
de la alcalda
actualizar
equipo de
Falta de cmputo o hacer
soporte en caso la migracin de x
de algn fallo los datos a un
equipo ms
moderno
Perdida de
realizar las
datos
copias de
esenciales para
seguridad de los x
el
documentos de
funcionamiento
cada empleado
de la empresa
adquirir las
Ausencia de
licencias en los
licencias en
sistemas de x
sistemas de
monitoreo de la
monitoreo
alcalda
Amenazas de adquirir un
virus y antivirus
personas licenciado y que
x
externas brinde
manipulacin seguridad a la
archivos alcalda de
posibles
amenazas
DESARROLLO DE ACTIVIDAD
Probabilidad Impacto
N Descripcin
Baja Media Alta Leve Moderado Catastrfico
Manipulacin
R1 de equipos por x x
terceros
Robo de
R2 x x
informacin
Amenazas de
R3 x x
virus
Manipulacin
R4 de servidores x x
por terceros
Perdida de
R5 x x
datos
Alto
R1 R5
61-100%
PROBABILIDAD
Medio
R2,R2
31-60%
Bajo
0-30%
PROBABILIDAD IMPACTO
RIESGOS/VALORACION A M B L M C
Hardware
R1 Manipulacin de equipos por terceros x x
R2 Robo de informacin x x
R3 Amenazas de virus x x
R5 Perdida de datos x x
ID. Tratamiento
Descripcin Riesgo
Riesgo Riesgo
Manipulacin de equipos
R1 Controlarlo
por terceros
R2 Robo de informacin Controlarlo
Manipulacin de
R4 Eliminarlo
servidores por terceros
REF
HALLAZGO 1
R1
PGINA
PROCESO AUDITADO Manipulacin de equipos por terceros
1 DE 1
RESPONSABLE Wilson Andrs Gutirrez Galeano
MATERIAL DE SOPORTE COBIT
DS5 Garantizar la
DOMINIO Entregar y Dar Soporte PROCESO
Seguridad de los Sistemas
DESCRIPCIN:
Encontramos poca seguridad en los equipos instalados en la empresa; no se cuenta con seguridad en equipos los cuales
pueden ser manipulados por terceros.
REF_PT:
CONSECUENCIAS:
Robo de informacin
Manipulacin de equipos
Instalacin de software no licenciado
Eliminacin de documentos
RIESGO:
Probabilidad de ocurrencia: 60 %
Impacto segn relevancia del proceso: Alto
RECOMENDACIONES:
Organizar en rack de comunicaciones los equipos.
Instalacin de Cmaras de Seguridad.
FORMATO DE HALLAZGOS
REF
HALLAZGO 2 R1
PGINA
Robo de informacin
PROCESO AUDITADO 1 DE 1
RESPONSABLE Wilson Andrs Gutirrez Galeano
MATERIAL DE SOPORTE COBIT
DS5 Garantizar la
DOMINIO Entregar y Dar Soporte PROCESO
Seguridad de los Sistemas
DESCRIPCIN: Se puede presentar robo de informacin por fcil manipulacin de equipos por personal diferente a
los colaboradores de TI.
REF_PT:
CONSECUENCIAS:
Perdida de datos importantes para la empresa
Dao de equipos de la empresa y/o robo de informacin.
RIESGO:
Probabilidad de ocurrencia: 80 %
Impacto segn relevancia del proceso: Alto
RECOMENDACIONES:
Aplicar seguridad a los equipos servidores y evitar manipulacin por terceros
FORMATO DE HALLAZGOS
REF
HALLAZGO 3
R1
PGINA
Amenazas de virus
PROCESO AUDITADO 1 DE 1
RESPONSABLE Javier Andrs Castaeda Hernndez
MATERIAL DE SOPORTE COBIT
DS5 Garantizar la
DOMINIO Entregar y Dar Soporte PROCESO
Seguridad de los Sistemas
DESCRIPCIN: Manipulacin de equipos por personal ajena a TI lo cual puede causar infeccin de equipos.
REF_PT:
CONSECUENCIAS:
Aseguramiento de sitio donde se encuentra los equipos para evitar manipulacin de los servidores
RIESGO:
Probabilidad de ocurrencia: 85 %
Impacto segn relevancia del proceso: Alto
RECOMENDACIONES:
Adquirir Antivirus licenciados que presten seguridad a la empresa.
CONTROLES TIPO DE CONTROL
RIESGO
PROPUESTOS
PREVENTIVO DETECTIVO CORRECTIVO RECUPERACION
Organizar en
Manipulacin rack de
de equipos comunicaciones x
por terceros los equipos.
Obtener
software
licencia y con
Robo de soporte tcnico
x
informacin que no ponga en
riesgo la
documentacin
de la alcalda
Adquirir
Antivirus
Amenazas de licenciados que
x
virus presten
seguridad a la
empresa.
Guardar Backup
Perdida de de documentos
x
datos importantes
para la empresa
Amenazas de
virus y
adquirir un
personas
antivirus x
externas
licenciado
manipulacin
archivos
Aporte EDGAR ADRIAN ORTIZ PARRA
TRATAMIENTO DE RIESGO
ID.
RIESGO DESCRIPCIN RIESGO TRATAMIENTO RIESGO
R1 No existe sistema de proteccin en descargas Controlarlo
elctricas.
R2 Descargas e instalacin de programas inapropiados Controlarlo
por falta de polticas de administracin.
R3 No hay control en el manejo de la informacin. Controlarlo
R4 No existe cuenta propia de usuario para el acceso a los Controlarlo
equipos.
R5 Almacenamiento de la informacin contable y Controlarlo
administrativa en un solo equipo.
R6 No hay personal apto para el manejo de la red y su Controlarlo
funcionamiento.
R7 No se cuenta con privacidad suficiente en los sitios de Controlarlo
trabajo.
R8 No se tiene control en acceso a internet. Controlarlo
R9 No existen antivirus licenciados. Transferirlo
R10 No se tiene software con licencia. Transferirlo
R11 Falta de capacitacin sobre la correcta utilizacin y Transferirlo
manejo de equipos de cmputo.
RIESGOS o TIPO DE SOLUCIONES O CONTROLES
HALLAZGOS CONTROL
ENCONTRADOS
No existe sistema de Controlarlo Adquirir equipos con la tecnologa
proteccin en adecuada para minimizar los riesgos.
descargas
elctricas.
Descargas e instalacin Controlarlo Concientizar al personal sobre el mal uso
de programas de los equipos e implementar
inapropiados por estrategias de restriccin con el fin de
falta de polticas de minimizar descarga de Software no
administracin. requeridos en la empresa.
No hay control en el Controlarlo Controlar el ingreso y salida de
manejo de la dispositivos de almacenamiento
informacin. externo
No existe cuenta Controlarlo Creacin de cuentas de usuario por cada
propia de usuario empleado.
para el acceso a los
equipos.
Almacenamiento de la Controlarlo Controlar el uso de equipos y servidores
informacin de almacenamiento
contable y
administrativa en
un solo equipo.
No hay personal apto Controlarlo Capacitar al personal de la organizacin
para el manejo de sobre la forma de utilizar y optimizar
la red y su los recursos.
funcionamiento.
No se cuenta con Controlarlo Asignar cuentas de Administrador y
privacidad Usuarios dependiendo del cargo
suficiente en los
sitios de trabajo.
No se tiene control en Controlarlo Restriccin en el uso de los navegadores,
acceso a internet. solo para ingreso a plataformas
institucionales.
No existen antivirus Transferirlo Adquirir licencia de antivirus, con el fin
licenciados. de evitar que los equipos se infecten y
provoquen perdida de informacin.
No se tiene software Transferirlo Contratar con una empresa la adquisicin
con licencia. de licencias para los software que se
manejan en la empresa.
Falta de capacitacin Transferirlo Contratacin de una persona con
sobre la correcta conocimientos en el rea informtica,
utilizacin y que capacite al personal sobre el buen
manejo de equipos uso de los equipos.
de cmputo.
Tabla Hallazgos
REF
Alcalda de
Sevilla Valle HALLAZGO 1
del Cauca O1
PGINA
PROCESO AUDITADO No existe sistema de proteccin en descargas elctricas.
1 DE 11
RESPONSABLE Edgar Adrin Ortiz Parra
MATERIAL DE SOPORTE COBIT
Definir un plan estratgico
DOMINIO Planear y Organizar (PO) PROCESO
de TI (PO1)
DESCRIPCIN:
Los equipos no cuentan con UPS que los proteja de las descargas.
Cableado en sitios no adecuados.
Tomas en mal estado.
Equipos elctricos en sitios no adecuados.
RIESGO:
Probabilidad de ocurrencia: = 55%
Impacto segn relevancia del proceso: Alto
RECOMENDACIONES:
REF
Alcalda de
Sevilla Valle HALLAZGO 2
del Cauca O2
DESCRIPCIN:
RIESGO:
Probabilidad de ocurrencia: = 55%
Impacto segn relevancia del proceso: Medio
RECOMENDACIONES:
REF
Alcalda de
Sevilla Valle HALLAZGO 3
del Cauca O3
PGINA
PROCESO AUDITADO No hay control en el manejo de la informacin
3 DE 11
RESPONSABLE Edgar Adrin Ortiz Parra
MATERIAL DE
COBIT
SOPORTE
Definir un plan estratgico
DOMINIO Planear y Organizar (PO) PROCESO
de TI (PO1)
DESCRIPCIN:
RIESGO:
Probabilidad de ocurrencia: = 55%
Impacto segn relevancia del proceso: Medio
RECOMENDACIONES:
REF
Alcalda de
Sevilla Valle HALLAZGO 4
del Cauca O4
DESCRIPCIN:
RIESGO:
Probabilidad de ocurrencia: = 55%
Impacto segn relevancia del proceso: Medio
RECOMENDACIONES:
REF
Alcalda de
Sevilla Valle HALLAZGO 5
del Cauca O5
DESCRIPCIN:
RIESGO:
Probabilidad de ocurrencia: = 15%
Impacto segn relevancia del proceso: Alto
RECOMENDACIONES:
Establecer conexin a un servidor donde se guarde copia de la informacin de todos los equipos.
Almacenamiento de informacin en la nube.
Tabla Hallazgos
REF
Alcalda de
Sevilla Valle HALLAZGO 6
del Cauca O6
DESCRIPCIN:
Falta de personal capacitado en redes e informtica, que pueda garantizar el normal funcionamiento del sistema
interno.
Falta de capacitacin al personal en el uso de los equipos.
RIESGO:
Probabilidad de ocurrencia: = 55%
Impacto segn relevancia del proceso: Medio
RECOMENDACIONES:
REF
Alcalda de
Sevilla Valle HALLAZGO 7
del Cauca O7
DESCRIPCIN:
RIESGO:
Probabilidad de ocurrencia: = 15%
Impacto segn relevancia del proceso: Alto
RECOMENDACIONES:
REF
Alcalda de
Sevilla Valle HALLAZGO 8
del Cauca O8
PGINA
PROCESO AUDITADO No se tiene control en acceso a internet.
8 DE 11
RESPONSABLE Edgar Adrin Ortiz Parra
MATERIAL DE SOPORTE COBIT
Definir un plan estratgico
DOMINIO Planear y Organizar (PO) PROCESO
de TI (PO1)
DESCRIPCIN:
Equipos con uso de navegadores, con acceso libre a todos los sitios web.
Equipos sin antivirus que alerten sobre seguridad de los sitios.
RIESGO:
Probabilidad de ocurrencia: = 55%
Impacto segn relevancia del proceso: Medio
RECOMENDACIONES:
REF
Alcalda de
Sevilla Valle HALLAZGO 9
del Cauca O9
PGINA
PROCESO AUDITADO No existen antivirus licenciados.
9 DE 11
RESPONSABLE Edgar Adrin Ortiz Parra
MATERIAL DE
COBIT
SOPORTE
Definir un plan estratgico
DOMINIO Planear y Organizar (PO) PROCESO
de TI (PO1)
DESCRIPCIN:
RIESGO:
Probabilidad de ocurrencia: = 30%
Impacto segn relevancia del proceso: Bajo
RECOMENDACIONES:
REF
Alcalda de
Sevilla Valle HALLAZGO 10
del Cauca 10
PGINA
PROCESO AUDITADO No se tiene software con licencia.
10 DE 11
RESPONSABLE Edgar Adrin Ortiz Parra
MATERIAL DE
COBIT
SOPORTE
Definir un plan estratgico
DOMINIO Planear y Organizar (PO) PROCESO
de TI (PO1)
DESCRIPCIN:
RIESGO:
Probabilidad de ocurrencia: = 30%
Impacto segn relevancia del proceso: Bajo
RECOMENDACIONES:
REF
Alcalda de
Sevilla Valle HALLAZGO 11
del Cauca 11
DESCRIPCIN:
RIESGO:
Probabilidad de ocurrencia: = 30%
Impacto segn relevancia del proceso: Bajo
RECOMENDACIONES:
La auditora es una herramienta que nos permite revisar y evaluar uno o varios procesos con el nimo
e corregir un error y proponer soluciones para mitigar sus causas.
Existen diversos aplicativos que permiten brindar apoyo a las auditorias de sistemas, realizando inventarios
equipos, seguridad en redes, auditora a bases de datos, criptografa, cifrado de cdigo, software sniffer,
y otras funciones ms.
Gracias a la matriz de riesgos se puede clasificar los riesgos gracias a su probabilidad e impacto.
BIBLIOGRAFIA
Solares, P., Baca, G., Acosta, E. (2010). Administracin informtica: Anlisis y evaluacin de tecnologas de la
informacin. Recuperado de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11013780