Академический Документы
Профессиональный Документы
Культура Документы
CÓDIGO: (90168A_611)
Presentado a:
FRANCISCO SOLARTE
Director de curso
Entregado por:
Grupo: 90168_47
ABRIL DE 2019
LETICIA- AMAZONAS
INTRODUCCION
OBJETIVOS
PROPUESTA FASE3
Ejercicios a desarrollar
OBJETIVO: El estudiante descubre las vulnerabilidades, amenazas y riesgos
informáticos a que se ve expuesta la organización empresarial para determinar las
causas que originan los riesgos y resolver los problemas mediante la definición y
aplicación de controles.
1. Diseñar y aplicar los instrumentos de recolección de información (entrevistas,
listas de chequeo, cuestionarios, pruebas) para descubrir vulnerabilidades,
amenazas y riesgos para cada proceso asignado.
1. Departamento de gerencia
2. Departamento de finanzas
3. Departamento de administración
4. Departamento de estadística
5. Departamento de jefe de personal
6. Departamento de disciplina y ética
7. Departamento de información general
8. Departamento de secretaria.
9. Departamento de Seguridad
10. Oficina de Operadores de Radio y Conductores
REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA VERSION
001 1
PAGINA
ENTIDAD AUDITADA CONTRASUR Industria y Comercio
1 DE 1
Verificar si la empresa cuenta con un manual de procedimientos
necesarios para contribuir al eficiente desarrollo de las funciones,
PROCESO AUDITADO actividades y tareas de los servicios informáticos para satisfacer los
requerimientos de sistemas de la empresa.( Definir arquitectura de
información )
RESPONSABLE SHIRLEY JASBLEIDY CURICO NORIEGA
MATERIAL DE SOPORTE COBIT
PO2.1 Modelo de Arquitectura de Información Empresarial
AUDITOR RESPONSABLE:
SHIRLEY JASBLEIDY CURICO NORIEGA
REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA VERSION
001 1
PAGINA
ENTIDAD AUDITADA CONTRASUR Industria y Comercio
1 DE 1
PROCESO AUDITADO Determinar la Dirección Tecnológica
AUDITOR RESPONSABLE:
FRANYER ALBERTO LOPEZ
REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA VERSION
001 1
PAGINA
ENTIDAD AUDITADA CONTRASUR Industria y Comercio
1 DE 1
PROCESO AUDITADO Identificar Soluciones Automatizadas
AUDITOR RESPONSABLE:
NESTOR GABRIEL PAIVA
REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA VERSION
001 1
PAGINA
ENTIDAD AUDITADA CONTRASUR Industria y Comercio
1 DE 1
PROCESO AUDITADO Administración de Operaciones
AUDITOR RESPONSABLE:
JORGE BALMORE PEREZ
REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA VERSION
001 1
PAGINA
ENTIDAD AUDITADA CONTRASUR Industria y Comercio
1 DE 1
PROCESO AUDITADO Monitorear y Evaluar el Control Interno
AUDITOR RESPONSABLE:
JUAN CAMILO RUBIANO
CUESTIONARIO DE PERCEPCION- DEPARTAMENTO DE GERENCIA
SI X NO
LISTA DE CHEQUEO - DEPARTAMENTO DE GERENCIA
CUMPLE
CUMPLE
NO
PROCESO IDENTIFICADOR OBSERVACIONES
COBIT
SI NO
1. ¿El Departamento Financiero tiene relación directa con las demás áreas
de la empresa?
X
SI NO
SI X NO
6. ¿El área cuenta con un software y libros auxiliares contables para las
acciones correspondientes del área?
SI X NO
X
SI NO
CUMPLE
NO
SI X NO
CUMPLE
CUMPLE
NO
PROCESO IDENTIFICADOR OBSERVACIONES
COBIT
SI NO X
SI X NO
SI NO
X
SI NO
X
SI NO
LISTA DE CHEQUEO - DEPARTAMENTO DE JEFE DE PERSONAL, DISCIPLINARIO Y
ETICO
CUMPLE
CUMPLE
NO
PROCESO IDENTIFICADOR OBSERVACIONES
COBIT
SI NO
SI NO
CUMPLE
CUMPLE
NO
PROCESO IDENTIFICADOR OBSERVACIONES
COBIT
SI NO
SI NO
LISTA DE CHEQUEO - XX
CUMPLE
CUMPLE
NO
PROCESO IDENTIFICADOR OBSERVACIONES
COBIT
SI NO
SI NO
LISTA DE CHEQUEO - XX
CUMPLE
CUMPLE
NO
PROCESO IDENTIFICADOR OBSERVACIONES
COBIT
SI NO
SI NO
LISTA DE CHEQUEO XXX
CUMPLE
CUMPLE
NO
PROCESO IDENTIFICADOR OBSERVACIONES
COBIT
En esta parte el equipo pretende aplicar una serie de pruebas que permitan
confirmar si la empresa CONTRASUR Industria y Comercio, se encuentra
expuestas a posibles riesgos el cual se detectara por medio de los instrumentos de
recolección diseñados.
1. Observación de cada una de las áreas con el fin de tener un cotejo de los
componentes de software, hardware y de la red que cuenta la empresa.
2. Entrevistas/Encuestas con cada una de las áreas y centro de cómputo.
3. Análisis de documentos de gestión y técnicos.
4. Análisis de las claves de acceso, control, seguridad, confiabilidad y
respaldos.
5. Evaluar las tecnologías de información tanto de hardware como del
software.
6. Evaluar el Plan de la infraestructura tecnológica que cuenta la empresa.
Exposición de
contraseñas.
PO2.1, PO2.3, PO2.4: En este proceso se enfocará hacia los errores que pueda
causar al usuario por el reconocimiento de información sobre los activos del sistema
en la empresa.
PO3.2 Plan de Infraestructura Tecnológica: En este proceso se enfocará desde la
normatividad corporativa a verificar la falta de normas o reglas de la empresa de los
cuales pueden llegar a producir un gran riesgo.
IMPACTO
PROBABILIDAD FACTORES DE RIESGO
Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrófico (5)
Actualmente no existen
políticas ni procedimientos
escritos para la gestión de la
Raro (1) seguridad física de la red. R1, R6
Mal manejo del sistemas y
herramienta
No existen políticas de
procedimientos escritos para
Improbable (2) R2
el mantenimiento.
No existen políticas, ni
procedimiento para
inventarios.
Manipulación de datos de
manera errónea
No existen políticas ni
procedimientos para la
asignación de
responsabilidades.
Probable (4) R4, R9 R5
No disponibilidad de
respaldos
Una vez se tiene la matriz de riesgos aplicada a cada uno de los procesos se indica las acciones que pueden realizarse
para el tratamiento de los riesgos de acuerdo a la siguiente tabla donde se indica por cada color, el tratamiento que se
puede aplicar en cada caso.
B Zona de riesgo Baja: Asumir el riesgo
M Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
A Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
E Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir
7. Elaborar el cuadro de tratamiento de riesgos para cada riesgo detectado.