Lista de vulnerabilidades, amenazas y riesgos informáticos detectados en la

empresa propuesta agrupados por categorías.

No. Vulnerabilidad Amenaza Riesgo Categoría

1 Uso de software Acceso de virus a Robo de información Software
pirata en la la compañía a sensible para la
compañía través de cracks compañía al instalar
software que no tiene
licencia con el uso de
activadores
2. Cuentas de Instalación de Propagación de virus Software
usuario en software sin por instalación de
sistema control por parte software malicioso
operativo no del área de TI
limitadas
3. Ausencia de Daño por Perdida de información Seguridad
control en deterioro, desastre vital para la continuidad Lógica
proceso de natural o robo de del proceso de la
copias de información por compañía
seguridad virus
4. Ausencia de Mal uso de Perdida de información Seguridad
claves por información de usuarios por accesos Lógica
usuario en de personas ajenas a
copias de quienes corresponde la
seguridad información
5. No existe Uso de recursos Acceso a virus, perdida Redes
control control tecnológicos de la de tiempo deliberada del
total de acceso compañía para uso persona
a contenido personal
web
6. Acceso no Acceso a Los recursos de red de Talento
autorizado a los dispositivos la compañía no se Humano
diferentes sensibles para el encuentran asegurados
Racks uso de datos mediante llave o
candado que limite el
acceso al personal del
área de TI
7. Cableado Daño físico La distribución de cable Redes
estructurado no no cumple con los
 cumple con los estándares y se
estándares encuentra expuesta a
deterioro y
manipulación

En el cuadro anterior se puede evidenciar que los activos informáticos más

impactados por los problemas detectados inicialmente son: la seguridad lógica, el
software dispuesto para seguridad del área y las redes en su orden. En este caso
el Objetivo de la auditoria sería: Evaluar la seguridad lógica, el software
instalado y el funcionamiento de la red y los servicios de red en la empresa
Avidesa de Occidente S.A de la ciudad de Buga.

Objetivo 1: Conocer la seguridad lógica, el software dispuesto para seguridad del

área, y el funcionamiento de la red de datos para conocer los problemas existentes,
analizando las vulnerabilidades y amenazas que originan los riesgos con el
propósito de obtener soluciones viables.
Objetivo 2: Elaborar el plan de auditoría para determinar actividades que se
desarrollan en la auditoria y la asignación de los recursos para cada actividad en el
tiempo establecido, elaborar los instrumentos de recolección de información que
permitan conocer otros riesgos que no han sido detectados inicialmente, diseñar las
pruebas que permitan evidenciar los riesgos, y determinar del estándar CobIT
cuales de los procesos tienen relación directa con el objetivo general y que serán
evaluados.
Objetivo 3: Ejecutar las pruebas y aplicar los instrumentos de recolección de
información que se han diseñado para encontrar los riesgos existentes para los
procesos de CobIT relacionados directamente con los activos a evaluar, y aplicar
las listas de chequeo para verificar los controles existentes (seguridad lógica, el
talento humano (empleados, seguridad, usuarios, empleados área informática), el
software instalado y el funcionamiento de la red y los servicios de red),
posteriormente hacer el análisis y evaluación de riesgos para determinar las
posibles causas que originan los riesgos y valorar los riesgos por probabilidad e
impacto para buscar las mejores soluciones que permitan mitigarlos.
Objetivo 4: Determinar los hallazgos encontrados cada uno con sus pruebas,
elaborar el dictamen de la auditoría para cada proceso de CobIT evaluado que
permita medir el nivel de madurez de la empresa, y así elaborar el informe final de
los hallazgos encontrados además de las recomendaciones de solución de esos
problemas en la empresa.
Para este caso, los alcances de la auditoria serán:
De la seguridad lógica:
- La asignación de login y password para acceso a las áreas.
 - El control de acceso a la información confidencial de la empresa
- El cambio periódico de claves y las claves usadas por los usuarios
De la red de datos se evaluará los siguientes aspectos:
- El inventario hardware de redes
- La obsolescencia del hardware y cableado estructurado
- El cumplimiento de normas de cableado estructurado
- La seguridad de acceso a los elementos de la red
- Configuración de los servicios de red disponibles
- La administración de los usuarios en la red
- Administración de seguridad en la red
Del talento humano
- Cumplimiento de funciones por los empleados del área informática
- Contratación de personal de seguridad para la empresa
- Controles de las visitas y acompañamiento de visitantes al interior de la
empresa
- Responsables de la seguridad física y lógica
- Responsables de información sensible de la empresa
- Formación en seguridad de los empleados
la seguridad física se evaluará:
- Los sistemas de seguridad existentes en la empresa
- El personal de seguridad en la entrada, salida y al interior de la empresa
- La demarcación de oficinas y zonas restringidas y el mapa de ubicación de
las oficinas