Академический Документы
Профессиональный Документы
Культура Документы
Entregado por:
Grupo: 90168_30
Presentado a:
Francisco Nicolás Solarte
Tutor
La responsabilidad en los controles de las TI por parte del personal que requieren
sus áreas.
Informe de Construcción Grupal.
ESTUDIANTE PROCESO
MATERIAL DE
COBIT
SOPORTE
Verificar en los
inventarios las
actas de
Ingeniero de Sistemas, adquisición de los
encargado del área. softwares y los Se implementarán pruebas
números en las de intrusión, para
Soportes de las licencias de licencias comprobar la efectividad
las aplicaciones. proporcionadas de la protección de la
Soportes de las fechas de que sean información, y pruebas de
actualizaciones, actualizados. testeo con el fin de
mantenimientos y Revisión de las verificar la calidad del
configuraciones a cualquier fechas de software.
software adquirido. mantenimientos, de
configuraciones y
actualizaciones de
los softwares.
ENTIDAD PAGINA
Oficina Provincial de Presupuesto
AUDITADA 1 DE 1
PROCESO
Funcionamiento del aspecto físico de la red de datos
AUDITADO
RESPONSABLE Grupo colaborativo N° 30
MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE. (DS5).
PROCESO DS5 Garantizar la Seguridad de los Sistemas
FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES
CONOCIMIENTO DE ANALISIS DE EJECUCION
Verificar en los
Soportes de las licencias inventarios las actas Se implementarán pruebas de
de los softwares de de adquisición de intrusión, para comprobar la
seguridad. los softwares de efectividad de la protección
Reportes de las pruebas seguridad, y que los de la información, y pruebas
de actualizaciones de las números en las de testeo con el fin de
cuentas de usuario. licencias sean verificar la calidad del
Documentos de actualizados. software, pruebas de
implementación de las Revisión de las seguridad en redes, para
IPs en la empresa. fechas de contar con la seguridad
actualizaciones de necesaria en la red evaluada.
las cuentas de
usuario.
Verificación de la
implementación de
las IPs
2. ¿Cuándo ha tenido las caídas conserva la información sobre la cual se trabaja o no?
No, si uno no la ha estado guardando se borra.
Formato de entrevista.
ENTREVISTA
Adquirir e Implementar AI2 Adquirir y Mantener
DOMINIO PROCESO
(AI). Software Aplicativo
OBJETIVO DE CONTROL 4. Seguridad y Disponibilidad de las Aplicaciones.
N° CUESTIÓN RESPUESTA
1 ¿Cada vez que se accede al sistema se Es un poco lento, pero todas las
puede trabajar de manera inmediata en aplicaciones abren solo hay que darles
la aplicación que requiere? tiempo.
2 ¿Si alguna aplicación presenta fallas, Si la falla es sencilla si, pero hay ocasiones
se soluciona de forma rápida y eficaz? en que las fallas no se solucionan el mismo
día.
OBJETIVO DE CONTROL 5. Configuración e Implementación de Software Aplicativo
Adquirido.
¿Cuándo se implementó el software Si claro, a todo el personal contable.
3 nuevo, desarrollaron jornadas de
capacitación?
Hubo un tiempo de prueba de más de 2
¿Desde el momento en que se meses, durante ese periodo se caía mucho la
4 implementó el software ha tenido fallas plataforma, en ese caso los ingenieros se
en su funcionamiento? ¿Como las hicieron cargo, y ahora se cae de vez en
solucionaron? cuando, pero pienso que eso pasa en todos
lados.
OBJETIVO DE CONTROL 6. Actualizaciones Importantes en Sistemas Existentes.
5 ¿Cada cuánto tiempo se implementan Cada año, aproximadamente.
actualizaciones del sistema?
¿Cuándo se realizan las actualizaciones Se realizan con la versión más actualizada
6 las realizan con la misma versión u del sistema, debido a que muchas veces se
otra? ¿Con cuál, porque cambian la mejoran las actualizaciones de seguridad y
versión? también otros beneficios
7 ¿Al realizar las actualizaciones, se No.
brindan nuevas capacitaciones?
OBJETIVO DE CONTROL 8. Aseguramiento de la Calidad del Software.
¿Se implementaron pruebas para Si, como le dije anteriormente hubo 2
8 corroborar la calidad del software, meses de prueba.
antes de que fuese definitiva su
adquisición?
ENTREVISTA
¿Cuánto tiempo pasa antes de hacer Cada 3 meses, debido a que tenemos
3 una actualización en el nombre de empleados temporales el sistema se
usuario y contraseña? Explique. mantiene actualizando.
REF
Si
Cuales productos alimenticios:
Gaseosas, jugos, empanadas, pan, desayunan, almuerzan.
3. ¿Las computadoras permite a los usuarios descargar programas directamente de internet?
No permite.
4. ¿Qué restricciones tiene la computadora con los usuarios a la hora de acceder a internet?
Si
Cual antivirus:
Avast free antivirus
6. Las computadoras se apagan
Si
Por qué:
Por qué el turno dura 8 horas, las computadoras solo se utilizan para cuando el personal está
activo, por tanto, si no esta no hay necesidad de utilizarlas.
7. ¿La pantalla está ubicada en el escritorio o está pegada en la pared o en otra área diferente?
En el escritorio
8. Los trabajadores pueden ingresar discos cd o memorias USB a la computadora
Si
Faisuli Gómez
OBJETIVO Reconocer nuevos riesgos que de la empresa que se pudieron pasar por alto. En
AUDITORÍA la primera auditoria
Si
2. El establecimiento cuenta con señalización para evacuar en caso de incendio o un desastre natural.
Si
Señalización para evacuación en caso de incendio, terremoto e inundación, están ubicadas en las paredes
de la empresa con flechas o signos indicando donde ir.
Como:
Utiliza un carnet, para cada trabajador, que los identifica y certifica que son trabajadores de la empresa.
Sin esto no puede pasar a las oficinas.
Los departamentos administrativos que son los mayores consumidores de estos recursos y la tecnología
informática (departamento de sistemas) que están conformados por 3 personas y computadores.
6. Quien se encarga de verificar que el computador este completo con sus partes (ratón, teclado,
pantalla, micrófonos, auriculares, impresoras etc.)
Departamento de sistemas encargada la ingeniera de sistemas que tiene bajo su poder a los técnicos, para
verificar cada activo del departamento ti.
ENTREVISTA
ME2 Monitorear y evaluar el
DOMINIO Monitorear y Evaluar (ME) PROCESO
control interno
Verificar que el establecimiento cuenta con los recursos
OBJETIVO DE CONTROL necesarios para que tenga un buen funcionamiento y
evitar futuros daños.
Nº CUESTIÓN RESPUESTA
1 ¿se realiza una evaluación antes de Si se realiza
acomodar la señalización de evacuación
de la organización?
2 ¿se cambian regularmente las tomas Si se hace una revisión cada 2 meses
eléctricas y el UPS?
3 ¿se verifica que los equipos estén en Si cada 3 meses
buen estado, para estar preparados a los
posibles incendios?
4 ¡La empresa realiza capacitaciones de Si 3 veces en el año
evacuación a sus trabajadores?
Entrevista: Entregar y Dar Soporte
ENTREVISTA
Entregar y Dar Soporte DS7 Entrenar y educar a los
DOMINIO PROCESO
(DS) usuarios
Verificar los procesos que se desarrollan para el
OBJETIVO DE CONTROL trabajador cuide su herramienta de trabajo en este caso
la computadora.
Nº CUESTIÓN RESPUESTA
1 ¿Los computadores fueron ubicados Si
estratégicamente, para a largar su vida?
2 ¿Se presentan normas establecidas para Si se presentan
el cuidado de los computadores?
3 ¿Se evalúa las causas de los daños que Si, se realiza todos los meses
tiene la computadora?
4 ¿La empresa cuenta con sanciones para No existen sanciones si se re
los empleados que no cumplen con las
normas de cuidado para las
computadoras?
ENTREVISTA
1 ¿El lugar donde se desempeñará cuenta Si, se cuenta con los espacios
con los espacios y adecuaciones
suficientes para el óptimo
funcionamiento de los equipos de
cómputo?
ENTREVISTA
2 ¿Se verifican las condiciones para la Si, se hacen las verificaciones por parte del
adquisición de los servicios de comité jurídico
navegación?
ENTREVISTA
Lista De Chequeo
LISTA CHEQUEO
Adquirir e Implementar. AI2 Adquirir y Mantener
DOMINIO PROCESO
(AI). Software Aplicativo
OBJETIVO DE CONTROL 4. Seguridad y Disponibilidad de las Aplicaciones.
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
¿Las aplicaciones que usted necesita en su
Algunas no son tan estables, pero
1 trabajo son estables en su uso diario? X
la mayoría sí.
LISTA CHEQUEO
Entregar Y Dar Soporte DS5 Garantizar la Seguridad
DOMINIO PROCESO
(DS). de los Sistemas
OBJETIVO DE CONTROL 3. Administración de Identidad.
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
¿Tienen programas anti-espías? Me parece que esos softwares son
1 X
muy costosos.
OBJETIVO DE CONTROL 4. Administración de Cuentas del Usuario.
¿Entre compañeros se prestan sus equipos En ocasiones, cuando algunos
2 X
de trabajo? equipos están lentos
Lista Chequeo
Dominio Entregar y Dar Soporte (DS) Proceso DS7 Entrenar y educar a los usuarios
DS7.1 identificación de necesidades de entrenamiento y
Objetivo de control
educación.
conforme
Nº Aspecto evaluado Observación
SI NO
¿se realizó un análisis de los hábitos
El análisis fue discreto, puesto
que tiene cada trabajador en su turno
1 x que no se quería molestar a los
de 8 horas frente a la computadora?
trabajadores
Lista Chequeo
Monitorear y Evaluar ME2 Monitorear y evaluar el
Dominio Proceso
(ME) control interno
Objetivo de control ME2.1 Monitoreo del marco de trabajo de control interno
conforme
Nº Aspecto evaluado Observación
SI NO
se realizó una inspección del entorno El análisis se realizó en toda la
1 Ti y el entorno administrativo x organización para ver en qué
estado está estos dos entornos
Objetivo de control ME2.2 Revisiones de Auditoria
Se realizo un análisis del control que
Si se revisó la dependencia que
2 tiene el departamento Ti sobre el x
tiene este entorno del entorno ti
administrativo
Objetivo de control ME2.3 Excepciones de Control
Exististe un control de ingreso para Los trabajadores tienen un
3 x
los trabajadores carnet de identificación
Objetivo de control ME2.4 Control de Auto Evaluación
La gerencia toma y recapacita sobre
los contratos que tiene el
4 departamento de ti y es consiente para x
que son utilizados
Lista Chequeo
ENTREGAR Y DAR DS12: Administración del
Dominio Proceso
SOPORTE (DS), ambiente físico
Objetivo de control DS12.1 Selección y Diseño del Centro de Datos
conforme
Nº Aspecto evaluado Observación
SI NO CP
¿El lugar donde se desempeña cuenta
1 con los espacios y adecuaciones x
suficientes para el óptimo
funcionamiento de los equipos de
cómputo?
Lista Chequeo
ME3: Garantizar el
MONITOREAR Y
Dominio Proceso cumplimiento con
EVALUAR (ME)
requerimientos externos
ME3.1 Identificar los Requerimientos de las Leyes,
Objetivo de control
Regulaciones y Cumplimientos Contractuales
conforme
Nº Aspecto evaluado Observación
SI NO CP
¿Se establecen las pautas y cláusulas
1 de permanencia para contratar los x
servicios de internet?
¿Se verifican las condiciones para la
2 adquisición de los servicios de x
navegación?
Formato Cuestionario.
Oficina Provincial de presupuesto Central Administrativa y Contable Florencia
Cuestionario de Control: C1
Dominio Adquirir e Implementar. (AI).
Pregunta Si No OBSERVACIONES
¿Usted cree que las el funcionamiento de las aplicaciones con En ocasiones generan
las que interactúa a diario, tienen todos los elementos que mucha lentitud en los
8
necesita para desarrollar con efectividad su trabajo? equipos.
TOTALES 18 21
RIESGO:
Porcentaje de riesgo parcial: = 46.16%
Porcentaje de riesgo = 53.84%
Impacto según relevancia del proceso: Riesgo Medio
Cuestionario de Control: C1
Dominio Entregar Y Dar Soporte (DS).
Pregunta Si No OBSERVACIONES
En ocasiones ocupamos
¿Los equipos son herramientas de trabajo individuales? otros, cuando se pone lento
7
alguno
TOTALES 22 17
RIESGO:
Porcentaje de riesgo parcial: = 23.41%
Porcentaje de riesgo = 76.58%
Impacto según relevancia del proceso: Riesgo Alto
Cuestionario de Control: C1
Pregunta Si No OBSERVACIONE
S
¿El lugar donde se desempeñara cuenta con los espacios y 4
adecuaciones suficientes para el óptimo funcionamiento de
los equipos de cómputo?
DS12.5 Administración de
Proceso
Instalaciones Físicas
RIESGO:
Porcentaje de riesgo parcial: = 74.35%
Porcentaje de riesgo = 25.65
Impacto según relevancia del proceso: Riesgo Medio
Cuestionario de Control: C1
Dominio MONITOREAR Y EVALUAR (ME)
Pregunta Si No OBSERVACIONE
S
¿Se establecen las pautas y cláusulas de permanencia para 5
contratar los servicios de internet?
RIESGO:
Porcentaje de riesgo parcial: = 81.08%
Porcentaje de riesgo = 18.92
Impacto según relevancia del proceso: Riesgo Medio
Cuestionario Cuantitativo.
OBJETIVO DE CONTROL
N pregunta SI NO NA REF
1 ¿Están innovando las aplicaciones de trabajo? 8
2 ¿Realizan capacitaciones en sistemas? 4
3 ¿Tienen programas alternos para cuando hay 7
algún inconveniente con las aplicaciones
principales?
TOTAL, CUESTIONARIO 25
Porcentaje de riesgo parcial = (12 * 100) / 25= 48 %
Porcentaje de riesgo total = 100 – 48 = 52 %
OBJETIVO DE CONTROL
N pregunta SI NO NA REF
1 ¿Existe un marco de referencia para la 3
evaluación sistemática de los riesgos a los que
está expuesta la infraestructura tecnológica de la
institución?
2 ¿Se realiza la evaluación de los riesgos que 3
pueden afectar la infraestructura tecnológica
mediante la utilización de una metodología?
3 ¿Se realiza actualización de los diferentes tipos 3
de riesgos que pueden afectar la infraestructura
tecnológica?
4 ¿Se utilizan métodos cualitativos o cuantitativos 4
para medir la probabilidad e impacto de los
riesgos que pueden afectar la infraestructura
tecnológica?
TOTAL 10 09
TOTAL CUESTIONARIO 19
Porcentaje de riesgo parcial = (10 * 100) / 19= 52.63 %
Porcentaje de riesgo total = 100 – 52,63 = 47.37 %
Al final se interpreta el resultado obtenido: Por lo tanto, el proceso se encuentra en un grado de exposición
al riesgo medio de acuerdo a los resultados 47,37 % (Riesgo Medio)
Análisis De Riesgos
Proceso.
AI2 Adquirir y Mantener Software Aplicativo.
R3 Capacitación del X X
personal.
R4 Caída del sistema, X X
esporádicamente.
R5 Falta de actualizaciones X X
con más frecuencia.
Alto R7
61-100%
Medio R2, R5,
31-60% R8.
Bajo R1, R3,
0-30% R4, R6.
Leve Moderado Catastrófico
PROBABILIDAD
IMPACTO
Proceso.
DS5 Garantizar la Seguridad de los Sistemas.
Supervisión al personal
encargado del área de
R7 X X
sistemas.
IMPACTO
R5 Ingreso de comidas X X
Falta de sanciones por
ingresar comidas cuando
están enfrente de un
computador
R6 Sanciones X X
Crear sanciones para los
empleado por no cumplir
con las normas
R7 Daños X X
La empresa no cuenta con
un plan b para cuando
halla daños que dañen
totalmente las
instalaciones de
administración y ti
Resultado Matriz de riesgos para hardware
BILIDA
PROBA
R5
D
Alto
61-100%
Medio R6 R3, R2,R4,R7
31-60%
Bajo R1
0-30%
Leve Moderado Catastrófico
IMPACTO
Alto
61-100%
Eliminación indebida de La no existencia de
contenidos de copias de respaldo
información
PROBABILIDAD
Medio Configuración
inadecuada de los
31-60%
sistemas informáticos
No existe control en el Uso de software no
acceso a los equipos licenciado en la
empresa
Ingresos no autorizados
Bajo
0-30%
Leve Moderado Catastrófico
IMPACTO
R2 Configuración inadecuada x x
de los sistemas
informáticos
R3 Ausencia de x x
actualizaciones
R4 No existe control en el x x
acceso a los equipos
R5 Ausencia en la x x
capacitación de personal
R6 Uso de software no x x
licenciado en la empresa
R7 Eliminación indebida de x x
contenidos de
información
R8 La no existencia de copias x x
de respaldo
R9 Ingresos no autorizados x x
R3 R5, R7 R1,R8
Alto
61-100%
Medio R2, R4,R9 R6
31-60%
Bajo R9
0-30%
PROBABILIDAD
RIESGOS:
1. Riesgo de choque eléctrico, posible pérdida de la información , falta de copias de seguridad y
backups
2. Riesgos de niveles inadecuados de energía eléctrica posible pérdida de la información , falta plan
de contingencia en copias de seguridad y backups
3. Riesgo en la administración de la información, saboteo, robo, o perdida, falta plan de
contingencia en copias de seguridad y backups
4. Riesgo de pérdida de información por el uso incorrecto en el almacenaje de la misma , falta plan
de contingencia en copias de seguridad y backups en equipos externos
5. Riesgo de interrupción en la comunicación , y transferencia de datos, algunos cables de red se
encuentran al alcance de usuarios, lo que podría presentar manipulación no deseada
6. Robo , o destrucción de la información , falta plan de contingencia en copias de seguridad y
backups en equipos externos
7. Riesgo Posible inhabilitación de equipos de cómputo, pérdida o robo de información
8. Riesgo posibles accesos a tomas de red que son libres y no son controladas
9. Riesgo l área del servidor para las conexiones de red de los equipos no se encuentra con ningún
tipo de seguridad
10. Riesgo Falta de controles y restricciones para el acceso a internet.
11. El empleado o trabajador puede ser una víctima directa o indirecta de una agresión externa en
contra de la Empresa.
12. El Ingeniero encargado la administración de los sistemas de la empresa, no cumple con las
funciones de administración de la seguridad del sistema y tampoco tiene implementados controles
de seguridad por lo que se han presentado ataques al sistema
ANALISIS Y EVALUACIÓN DE RIESGOS
R1,R3
Alto
61-100%
Medio R2,R4,R6,
31-60% R7,R12
Bajo R5,R8,R9,
0-30% R10,R11
Leve Moderado Catastrófico
PROBABILIDAD
IMPACTO
CONCLUSIONES.
REFERENCIAS BIBLIOGRAFICAS