Академический Документы
Профессиональный Документы
Культура Документы
A continuación, se muestran la probabilidad y el impacto de los riesgos detectados con relación a los
procesos de cobIT DS4, DS5, DS11 y sus objetivos de control respectivos DS4.9, DS5.4, DS11.5.
Cuadro de hallazgos para cada uno de los procesos evaluados con los ítems descritos.
REF
HALLAZGO 1
HHDN_O1
PROCESO PÁGINA
Mantenimientos Preventivos
AUDITADO 1 DE 1
RESPONSABLE DIEGO ALEJANDRO OSPINA DUARTE
MATERIAL DE
COBIT
SOPORTE
ADQUIRIR Y
ADQUISION E MANTENER
DOMINIO PROCESO
IMPLEMENTACION(AI) ARQUITECTURA
DE TI
DESCRIPCIÓN HALLAZGO:
No se tiene un cronograma para el desarrollo de los mantenimientos preventivos lo cual más
adelante puede que los equipos dejen de funcionar correctamente por polvo.
CAUSAS:
No Realizar el Cronograma para dar fechas a los mantenimientos preventivos que se van a hacer por
aérea de la empresa.
CONSECUENCIAS:
Daño de equipos de cómputo moderado o permanente como por ejemplo por acumulación de polvo
a los componentes electrónicos de los pc.
RECOMENDACIONES:
El grupo de trabajo del área de informática, realizar un cronograma de acuerdo a la cantidad de
equipos que se encuentra en la empresa, mirar cuantos equipos se van a hacer diariamente por
aéreas hasta terminar con todos los equipos de cómputo de la empresa.
EVIDENCIAS: REF_PT:
La información se recolectó por medio de entrevista verbal con el coordinador del área de sistemas
y algunos usuarios los cuales manifestaron que no tenían conciencia de que se les solicitará sus
equipos para un mantenimiento preventivo. Algunos manifestaron su descontento por la gran
cantidad de polución de estos.
REF
HALLAZGO 2
HHDN_O2
PÁGINA
PROCESO AUDITADO Copias de Seguridad
1 DE 1
RESPONSABLE DIEGO ALEJANDRO OSPINA DUARTE
MATERIAL DE
COBIT
SOPORTE
ENTREGAR Y
ADMINISTRACION
DOMINIO DAR SOPORTE PROCESO
DE DATOS
(DS)
DESCRIPCIÓN HALLAZGO:
No se generan copias de seguridad cada cierto tiempo si no cuando se requieren
CAUSAS:
El no contar en el grupo del área de informática con un cronograma para que una persona realice
backup de la información de la empresa.
CONSECUENCIAS:
Perdida permanente de la información.
RECOMENDACIONES:
Realizar el cronograma para realizar copias de seguridad ejemplo en programas que manejen
información diaria como registros, facturas, hacer copias diarias o por semana, tanto en programas
que tienen para ejecutar comandos para realizar backup, tanto como guardar información de
archivos en medios extraíbles.
EVIDENCIAS: REF_PT:
La información se recolectó por medio de entrevista verbal con el coordinador del área de sistemas,
algunos usuarios reportaron que no se hacen copias de seguridad de manera periódica.
HALLAZGO 1
HEARTI_O1
PROCESO PÁGINA
Infraestructura Tecnológica
AUDITADO 1 DE 1
MATERIAL DE
COBIT 4.1
SOPORTE
PO9 Evaluar y
Planear y
DOMINIO PROCESO administrar los
Organizar (PO)
riesgos de TI
DESCRIPCIÓN:
RECOMENDACIONES:
Elaborar un plan estratégico de mantenimiento de la infraestructura tecnológica y la
actualización de todos los equipos tecnológicos.
Implementar departamento de sistemas donde se cuente con un administrador de
sistemas y coordine toda el área tecnológica de la empresa.
Cuestionario: Evaluar y administrar los riesgos de TI
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
TOTAL 0 30
TOTAL CUESTIONARIO 30
Se presenta un riesgo a gran escala del 100%, se pueden dar por hecho que en cualquier momento se
consolidan los riesgos exponiendo a la empresa a pérdida total o parcial de la información sin ninguna
capacidad de volver a recuperar dicha información.
Se recomienda lo más urgente trabajar en los correctivos a cada uno de los riesgos planteados en los
cuestionarios.
REF
HALLAZGO 1
PROCES PÁGINA
Adquirir y Mantener Arquitectura de TI
O 1 DE 1
AUDITAD
O
RESPONSABLE
SERGIO ARMANDO ROMERO ABRIL
MATERIAL
DE COBIT 4.1
SOPORTE
ADQUISICIÓN E AI3
DOMINIO IDENTIFICAR
IMPLEMENTACIÓ PROCESO
N (AI) SOLUCIONES
DESCRIPCIÓN:
CAUSAS:
Ausencia de controles e interés en actualizar los softwares y la adquisición de
nuevas tecnologías conllevan a este resultado lo cual pone en riesgo la información y
seguridad de la misma.
Al no existir políticas de seguridad en cuanto a software se exponen a ataques
externos que pueden generar perdida o secuestro de información y perdida de
equipos destinados para el centro de datos.
Desactualizaciones en el software lo que hace que la empresa sea menos
competitiva y confiable hacia el usuario final.
Al no tener planes de contingencia se generarían retrasos en la prestación del
soporte y por ende perdidas en el tiempo de respuesta.
RECOMENDACIONES:
EVIDENCIAS - REF_PT:
ENTIDAD PAGINA
AUDITADA ALPES SOLUTIONS SAS
1 DE 1
PROCESO
AUDITADO Adquirir y Mantener Arquitectura de TI
MATERIAL DE
SOPORTE COBIT 4.1
ADQUISICIÓN
E AI3 IDENTIFICAR
DOMINIO PROCESO
IMPLEMENTA SOLUCIONES
CIÓN (AI)
OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
TOTAL 0 29
TOTAL CUESTIONARIO 29
Resultado:
Se evidencia un gran riesgo, la empresa no cuenta con los formatos y procesos requeridos para
mantener una buena infraestructura y cumplir con los objetivos de cuidar y proteger los equipos a su
disposición y por ende la información allí almacenada.
Se recomienda hacer los correctivos de forma inmediatamente y urgente para minimizar los riesgos
antes descritos.
VALORACIÓN DE RIESGOS
A continuación, se muestran la probabilidad y el impacto de los riesgos detectados con relación a los
procesos de cobIT DS4, DS5, DS11 y sus objetivos de control respectivos DS4.9, DS5.4, DS11.5.
Nro Descripción Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrófico
Categoría software
Fallas en los sistemas
R1 x X
operativos instalados.
Categoría seguridad lógica
No se aplican las políticas
de manejo de contraseñas
R2 X X
seguras para el manejo de
cuentas de usuario.
Se encuentran activas
cuentas de usuario de X X
R4
personal que ya no labora
en la empresa.
No se realizan copias de
seguridad de manera
X X
R5 periódica de los datos e
información de la
operación.
No se tiene implementado
un sistema de
identificación de X X
R8
empleados, visitantes,
acompañantes y registro de
visitantes.
Falencia en cuanto a las
políticas de la
R9 X X
implementación del
Sistema de Seguridad.
Categoría hardware
R10 Servidores de respaldo X X
Cuadro de hallazgos para cada uno de los procesos evaluados con los ítems descritos.
A continuación, se relacionan los hallazgos realizados al sistema de información de la Empresa.
REF
HALLAZGO # 1
HHDN_1
PÁGINA
PROCESO AUDITADO Antivirus informes y restricciones
1 DE 1
RESPONSABLE Raúl Jiménez Medina
MATERIAL DE
COBIT
SOPORTE
Garantizar la
DOMINIO Monitoreo(M) PROCESO confiabilidad de la
información
DESCRIPCIÓN:
No se realizan escaneos periódicos a los equipos y en el caso de los realizados no se lleva un buen
informe de estos, las políticas de antivirus permanecen desactualizadas permitiendo la conexión de
dispositivos extraíbles.
REF_PT: La información se recolecto por medio de encuestas realizadas a los encargados del área
las cuales deberían ser constatadas con soportes.
CONSECUENCIAS:
Se puede producir un acceso al sistema no autorizado y poner en peligro la integridad de la
información no solo del equipo involucrado sino de todos los equipos presentes en la red. También
se puede extraer información no autorizada con dispositivos extraíbles
RIESGO:
La probabilidad de que se tenga un acceso no autorizado por agentes externos no es muy alta, pero
si se combina con el hecho de no realizar el bloqueo de los dispositivos externos proponen este ítem
como un elemento crítico el cuál puede ocasionar la pérdida o alteración parcial o total de la
información por ello es un proceso crítico para la entidad ya que su sostenibilidad está en la
administración de la información de los clientes
RECOMENDACIONES:
Monitorear diariamente que todos los antivirus estén reportando a la consola su actualización de
políticas
Monitorear los intentos no autorizados de conexión de dispositivos externos y tomar los debidos
correctivos de acuerdo con el reglamento interno
Monitorear el acceso a los equipos por parte de los usuarios.
Realizar capacitaciones periódicas donde se involucre al usuario como agente principal de la
seguridad en la entidad y llevar control del proceso.
REF
HALLAZGO # 2
HHDN_2
DESCRIPCIÓN:
No se lleva un control de los mantenimientos preventivos a los equipos ni se tiene establecido un
cronograma de mantenimiento preventivo, el área se está limitando únicamente a realizar procesos
correctivos.
REF_PT:
La información se recolectó por medio de entrevista verbal con el coordinador del área de sistemas
y algunos usuarios los cuales manifestaron que no tenían conciencia de que se les solicitará sus
equipos para un mantenimiento preventivo. Algunos manifestaron su descontento por la gran
cantidad de polución de estos.
CONSECUENCIAS:
Daño de los equipos por deterioro o falla electrónica producida por entes externos impidiendo
garantizar la continuidad del servicio y el deterioro o perdida de la información
RIESGO:
Su probabilidad es muy alta y su impacto es crítico por las condiciones iniciales en el desarrollo de
la auditoria.
RECOMENDACIONES:
Monitorear que los cronogramas de mantenimiento preventivo se estén llevando a cabo en las
fechas acordadas
Realizar el seguimiento respectivo a los equipos identificando las áreas con más contaminación para
ir reformando el calendario de acuerdo a la necesidad de los equipos
Monitorear el diligenciamiento de los formatos de mantenimiento y hoja de vida de los equipos.
REF
HALLAZGO # 3
HHDN_1
DESCRIPCIÓN:
No se realizan copias de seguridad de manera periódica de los datos e información de la operación.
Estas copias son realizadas de forma diaria durante toda la semana, sin embargo, no se realiza una
consolidación de la información de forma mensual, es decir, no se organizan las copias de tal forma
que estas queden organizadas por mes y de estas NO existe un respaldo fuera de las instalaciones de
la clínica. No se aplica correctamente la política de seguridad de copias de datos e información.
REF_PT: La información se recolectó por medio de entrevista verbal con el coordinador del área
de sistemas de la empresa. Es importante resaltar que el acceso a la información y la aplicación de
los instrumentos de recolección fue una tarea muy complicada debido a las políticas de la clínica y a
la disponibilidad de los actores relacionados.
CONSECUENCIAS:
Se puede presentar una situación de daño o catástrofe donde se vea comprometida la información,
datos y elementos del sistema de información de la clínica, en esta situación se podrían ver
afectadas las copias de seguridad de datos que existen en las instalaciones y sería complicado
restaurar la información si no se cuenta con copias de respaldo almacenados de forma externa.
RIESGO:
En cuanto a la probabilidad de ocurrencia está clasificado en alto, en cuanto al impacto es
moderado.
RECOMENDACIONES:
Organizar las copias de seguridad de información diaria por semana y a su vez por mes.
Contar con los recursos de hardware necesarios para la realización de las copias de seguridad y
almacenarlas en unas instalaciones externas a la clínica.
Realizar una inspección periódica del estado y funcionamiento de los dispositivos de
almacenamiento donde se realizan las copias de seguridad.
REF
HALLAZGO # 4
HHDN_2
PÁGINA
PROCESO AUDITADO Administración de Cuentas del Usuario
1 DE 1
RESPONSABLE Raúl Jiménez Medina
MATERIAL DE
COBIT
SOPORTE
Garantizar la
Entregar y dar soporte
DOMINIO PROCESO Seguridad de los
(DS).
Sistemas.
DESCRIPCIÓN:
No se aplican correctamente las políticas de manejo de usuarios y contraseñas, algunos usuarios del
sistema comparten sus credenciales de acceso al sistema, en algunos casos existe un perfil de
usuario que es de acceso para varios usuarios del sistema de información.
REF_PT:
La información se recolectó por medio de entrevista verbal con el coordinador del área de sistemas
de la empresa estudiada, y algunos empleados que se encontraban de turno. Es importante resaltar
que el acceso a la información y la aplicación de los instrumentos de recolección fue una tarea muy
complicada debido a las políticas de la clínica y a la disponibilidad de los actores relacionados.
CONSECUENCIAS:
Acceso a la información por parte de personas no autorizadas.
Perdida y manipulación de información crítica.
Riesgo de ataques con software malintencionado.
RIESGO:
En cuanto a la probabilidad de ocurrencia está clasificado en media alto, en cuanto al impacto es
moderado.
RECOMENDACIONES:
Socializar la importancia de la política de seguridad para el manejo de usuarios y contraseñas
segura.
Concientizar al personal que tiene acceso al sistema en la aplicación se las políticas de seguridad
para el manejo de usuarios y contraseñas seguras.
Crear un usuario con credenciales únicas para cada usuario del sistema.
Realizar actualización de los perfiles de usuarios de forma periódica.