VALORACIÓN DE RIESGOS

A continuación, se muestran la probabilidad y el impacto de los riesgos detectados con relación a los
procesos de cobIT DS4, DS5, DS11 y sus objetivos de control respectivos DS4.9, DS5.4, DS11.5.

Nr Descripción Probabilidad Impacto

o Baj Medi Alt Lev Moderad Catastrófic
a a a e o o
Categoría software
Fallas en los
R1 sistemas operativos x X
instalados.
Mantenimientos
R2 x X
preventivos a los Pc
Categoría seguridad lógica
No se aplican las
políticas de manejo
de contraseñas
R3 X X
seguras para el
manejo de cuentas
de usuario.
Falta de protección
a las aplicaciones de
R4 equipos médicos en X X
la red local con
contraseña.
Se encuentran
activas cuentas de
R5 usuario de personal X X
que ya no labora en
la empresa.
No se realizan
copias de seguridad
de manera
R6 X X
periódica de los
datos e información
de la operación.
No contar con copia
de respaldo de
R7 información en las X X
afueras de la
instalación.
R8 Los usuarios del X X
 sistema comparten
las contraseñas de
su perfil de usuario.
Categoría Manejo y control de personal.
No se tiene
implementado un
sistema de
identificación de
R9 empleados, X X
visitantes,
acompañantes y
registro de
visitantes.
Falencia en cuanto
a las políticas de la
R1
implementación del X X
0
Sistema de
Seguridad.
Categoría hardware
R1 Servidores de
X X
1 respaldo
No existe control de
R1 los dispositivos de
X X
2 almacenamiento
(usb, cd, discos).

Matriz de Clasificación de riesgo

A continuación, se muestra el consolidado de los riesgos de acuerdo a la clasificación de su

probabilidad e impacto.

LEVE MODERADO CATASTRÓFICO

ALTO R3, R5, R7, R8, R12 R2
MEDIO R10, R6 R1
BAJO R4, R11, R9

Tratamiento de los riesgos

ID. Riesgo Descripción Riesgo Tratamiento Riesgo
R1 Fallas en los sistemas operativos instalados. Controlarlo
R2 Mantenimientos preventivos de los pc Controlarlo
R3 No se aplican las políticas de manejo de Controlarlo
 contraseñas seguras para el manejo de cuentas de
usuario.
R4 Falta de protección a las aplicaciones de equipos Aceptarlo
médicos en la red local con contraseña.
R5 Se encuentran activas cuentas de usuario de Controlarlo
personal que ya no labora en la empresa.
R6 No se realizan copias de seguridad de manera Aceptarlo
periódica de los datos e información de la
operación.
R7 No contar con copia de respaldo de información en Controlarlo
las afueras de la instalación.
R8 Los usuarios del sistema comparten las Controlarlo
contraseñas de su perfil de usuario.
R9 No se tiene implementado un sistema de Transferirlo
identificación de empleados, visitantes,
acompañantes y registro de visitantes.
R10 Falencia en cuanto a las políticas de la Controlarlo
implementación del Sistema de Seguridad.
R11 Servidores de respaldo Aceptarlo
R12 No existe control de los dispositivos de Controlarlo
almacenamiento (usb, cd, discos).

Cuadro de hallazgos para cada uno de los procesos evaluados con los ítems descritos.
REF
HALLAZGO 1
HHDN_O1

PROCESO PÁGINA
Mantenimientos Preventivos
AUDITADO 1 DE 1
RESPONSABLE DIEGO ALEJANDRO OSPINA DUARTE
MATERIAL DE
COBIT
SOPORTE
ADQUIRIR Y
ADQUISION E MANTENER
DOMINIO PROCESO
IMPLEMENTACION(AI) ARQUITECTURA
DE TI

DESCRIPCIÓN HALLAZGO:
No se tiene un cronograma para el desarrollo de los mantenimientos preventivos lo cual más
adelante puede que los equipos dejen de funcionar correctamente por polvo.

CAUSAS:
No Realizar el Cronograma para dar fechas a los mantenimientos preventivos que se van a hacer por
aérea de la empresa.

CONSECUENCIAS:
Daño de equipos de cómputo moderado o permanente como por ejemplo por acumulación de polvo
a los componentes electrónicos de los pc.

RECOMENDACIONES:
El grupo de trabajo del área de informática, realizar un cronograma de acuerdo a la cantidad de
equipos que se encuentra en la empresa, mirar cuantos equipos se van a hacer diariamente por
aéreas hasta terminar con todos los equipos de cómputo de la empresa.

EVIDENCIAS: REF_PT:
La información se recolectó por medio de entrevista verbal con el coordinador del área de sistemas
y algunos usuarios los cuales manifestaron que no tenían conciencia de que se les solicitará sus
equipos para un mantenimiento preventivo. Algunos manifestaron su descontento por la gran
cantidad de polución de estos.

REF
HALLAZGO 2
HHDN_O2

PÁGINA
PROCESO AUDITADO Copias de Seguridad
1 DE 1
RESPONSABLE DIEGO ALEJANDRO OSPINA DUARTE
MATERIAL DE
COBIT
SOPORTE
ENTREGAR Y
ADMINISTRACION
DOMINIO DAR SOPORTE PROCESO
DE DATOS
(DS)

DESCRIPCIÓN HALLAZGO:
No se generan copias de seguridad cada cierto tiempo si no cuando se requieren

CAUSAS:
El no contar en el grupo del área de informática con un cronograma para que una persona realice
backup de la información de la empresa.
CONSECUENCIAS:
Perdida permanente de la información.

RECOMENDACIONES:
Realizar el cronograma para realizar copias de seguridad ejemplo en programas que manejen
información diaria como registros, facturas, hacer copias diarias o por semana, tanto en programas
que tienen para ejecutar comandos para realizar backup, tanto como guardar información de
archivos en medios extraíbles.

EVIDENCIAS: REF_PT:
La información se recolectó por medio de entrevista verbal con el coordinador del área de sistemas,
algunos usuarios reportaron que no se hacen copias de seguridad de manera periódica.

Definición de controles y tipos de control para los riesgos detectados.

RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES

ENCONTRADOS CONTROL
Fallas en los sistemas Preventivo Tener los antivirus actualizados diariamente.
operativos instalados. Verificar estados de Ups ya que por apagones
se pueden dañar los sistemas operativos.
Mantenimientos preventivos Preventivo Cronograma por parte del área de informática
de los pc para realizar los respectivos mantenimientos a
todos los equipos de cómputo cada 6 meses.
No se aplican las políticas de Correctivo Capacitar a los usuarios de la empresa para
manejo de contraseñas que usen contraseñas en los equipos con una
seguras para el manejo de buena seguridad por ejemplo manejando
cuentas de usuario. mayúsculas, minúsculas, un carácter especial y
números.
Falta de protección a las Correctivo Poner restricciones en los equipos, en un
aplicaciones de equipos dominio para que los usuarios no instalen
médicos en la red local con programas que pueden dañar los equipos.
contraseña.
Se encuentran activas cuentas Detectivo
de usuario de personal que ya
no labora en la empresa.
No se realizan copias de Preventivo
seguridad de manera periódica
de los datos e información de
la operación.
No contar con copia de Preventivo
respaldo de información en las
afueras de la instalación.
Los usuarios del sistema Detectivo
comparten las contraseñas de
su perfil de usuario.
No se tiene implementado un Detectivo
sistema de identificación de
empleados, visitantes,
acompañantes y registro de
visitantes.
Falencia en cuanto a las Preventivo
políticas de la implementación
del Sistema de Seguridad.
Servidores de respaldo Preventivo
No existe control de los Correctivo
dispositivos de
almacenamiento (usb, cd,
discos).
Una persona encargada del área de informática
que esté informada con la aérea de recurso
humano con las personas que han renunciado
o despedido para así eliminar los usuarios del
dominio.
Dejar encargada una persona que haga copias
de seguridad a los programas que se manejan
en la empresa ya sea por comandos
diariamente, y también guardar archivos a
través de medios extraíbles y una vez por
semana.
Realizar copias de información por medio de
discos duros extraíbles al menos una vez por
mes y que la persona encargada siempre se
lleve el disco duro a su casa por si llega pasar
un accidente natural como inundaciones,
incendios, terremotos.
Verificar que los usuarios solo puedan iniciar
su sesión por un solo equipo esto se podría
hacer poniendo una restricción en el dominio.
Implementar estrategias que permitan
controlar la identificación de los empleados de
la empresa facilitando la identificación de las
personas de cada área, creando sistemas de
seguridad que permitan controlar la salida e
ingreso del personal y visitantes.
Promover encuentros que permitan al personal
capacitarse periódicamente permitiendo
conocer la importancia de la seguridad del
sistema orientado y aplicando las normas
establecidas por la empresa en su política de
seguridad.
Implementar el uso de un servidor o los que
sean necesarios para delegar las funciones de
respaldo al servidor o servidores principales.
Desde el dominio en los que están los equipos
poner por aérea los equipos que puedan
utilizar usb y los que no poner esta restricción
para que al poner ellos medios extraíbles no
los reconozca y así evitar contagio de virus y
amenazas que pueden traer estos medios.
 REF

HALLAZGO 1
HEARTI_O1

PROCESO PÁGINA
Infraestructura Tecnológica
AUDITADO 1 DE 1

RESPONSABLE Jhonnathan Jessyd Hernandez Bautista

MATERIAL DE
COBIT 4.1
SOPORTE

PO9 Evaluar y
Planear y
DOMINIO PROCESO administrar los
Organizar (PO)
riesgos de TI

DESCRIPCIÓN:

 No existen políticas de seguridad que puedan prevenir amenazas.

 No existen políticas para el control y cuidado de los equipos tecnológicos.

Esto se debe a que no cuentan con planificación en el cuidado y la supervisión tanto de

seguridad como de hardware de los equipos tecnológicos

CAUSAS: La falta de planes periódicos de evaluación de riegos y mantenimiento y

actualización de equipos tecnológicos. Sumado a esto la falta de cuidado en la
planificación de renovación y adecuación tecnológica.
  AL no existir planeación alguna se puede incurrir en daños en la infraestructura
tecnológica y física de la empresa.
 Al no existir políticas de seguridad se incurre en pérdidas de información sensible
e importante que talvez nunca se podrá recuperar .

VALORACIÓN DEL RIESGO:

 Probabilidad de ocurrencia: = 100%

 Impacto según relevancia del proceso: Alto

RECOMENDACIONES:
 Elaborar un plan estratégico de mantenimiento de la infraestructura tecnológica y la
actualización de todos los equipos tecnológicos.
 Implementar departamento de sistemas donde se cuente con un administrador de
sistemas y coordine toda el área tecnológica de la empresa.
Cuestionario: Evaluar y administrar los riesgos de TI

CUESTIONARIO CUANTITATIVO REF

ENTIDAD ALPES SOLUTIONS SAS PAGINA

AUDITADA
1 DE 1

PROCESO Infraestructura Tecnológica

AUDITADO

RESPONSABLES Jhonnathan Jessyd Hernandez Bautista

MATERIAL DE COBIT 4.1

SOPORTE

DOMINIO Planear y Organizar PROCESO PO9 Evaluar y

(PO) administrar los riesgos
de TI

OBJETIVO DE CONTROL

N PREGUNTA SI NO NA REF

1 ¿Existen Formatos para la evaluación o 4

protocolos de evaluación periódicos de
los riesgos a los que se expone la
infraestructura tecnológica de la
empresa?

2 ¿Se realiza la evaluación de los riesgos 5

que pueden afectar la infraestructura
tecnológica mediante la utilización de
métodos o protocolos?

3 ¿Se lleva a cabo pruebas de los 4

diferentes riesgos que pueden afectar la
infraestructura tecnológica de la
empresa?
 4 ¿Se utilizan metodologías para medir 4
riesgos que pueden afectar la
infraestructura tecnológica de la
empresa?

5 ¿Existe un plan de contingencia para 4

minimizar los riesgos que pueden
afectar a la infraestructura tecnológica
de forma segura?

6 ¿Se realizan seguimientos constantes al 5

plan de acción de riesgos de la
infraestructura tecnológica de la
empresa?

TOTAL 0 30

TOTAL CUESTIONARIO 30

Porcentaje de riesgo parcial = (0 * 100) / 30 = 0

Porcentaje de riesgo total = 100 – 0 = 100

PORCENTAJE RIESGO 100% (Riesgo Alto)

Interpretar este resultado

Se presenta un riesgo a gran escala del 100%, se pueden dar por hecho que en cualquier momento se
consolidan los riesgos exponiendo a la empresa a pérdida total o parcial de la información sin ninguna
capacidad de volver a recuperar dicha información.
Se recomienda lo más urgente trabajar en los correctivos a cada uno de los riesgos planteados en los
cuestionarios.
 REF

HALLAZGO 1

PROCES PÁGINA
Adquirir y Mantener Arquitectura de TI
O 1 DE 1
AUDITAD
O
RESPONSABLE
SERGIO ARMANDO ROMERO ABRIL
MATERIAL
DE COBIT 4.1
SOPORTE

ADQUISICIÓN E AI3
DOMINIO IDENTIFICAR
IMPLEMENTACIÓ PROCESO
N (AI) SOLUCIONES

DESCRIPCIÓN:

 No se tiene control de software instalados en los equipos.

 No existen repuestos para una eventualidad.
 No se cuenta con planes de contingencia en caso de falla de equipos.

Se debe a la falta de planeación y compromiso de la empresa auditada para adquirir los

software y herramientas necesarias para un optimo rendimiento y soporte en caso de
eventualidad y protección de la información ya sea por causas externas, internas o
catástrofes naturales.

CAUSAS:
Ausencia de controles e interés en actualizar los softwares y la adquisición de
nuevas tecnologías conllevan a este resultado lo cual pone en riesgo la información y
seguridad de la misma.
 Al no existir políticas de seguridad en cuanto a software se exponen a ataques
externos que pueden generar perdida o secuestro de información y perdida de
equipos destinados para el centro de datos.
Desactualizaciones en el software lo que hace que la empresa sea menos
competitiva y confiable hacia el usuario final.
Al no tener planes de contingencia se generarían retrasos en la prestación del
soporte y por ende perdidas en el tiempo de respuesta.

VALORACIÓN DEL RIESGO:

 Probabilidad de ocurrencia: = 100%

 Impacto según relevancia del proceso: Alto

RECOMENDACIONES:

 Elaboración de planes de contingencia para posibles soportes antes

mencionados.
 Adquirir licencias para evitar perdida de información y ataques externos o
internos.
 Adquirir nuevas y mejores tecnologías para mejorar seguridad de la información.
 Elaboración de formatos para soportar gestión las actividades realizadas.

EVIDENCIAS - REF_PT:

CUESTIONARIO CUANTITATIVO (ANEXO 1)

Cuestionario: Evaluar y administrar los riesgos de TI

CUESTIONARIO CUANTITATIVO REF

ENTIDAD PAGINA
AUDITADA ALPES SOLUTIONS SAS
1 DE 1

PROCESO
AUDITADO Adquirir y Mantener Arquitectura de TI

RESPONSABLES SERGIO ARMANDO ROMERO ABRIL

MATERIAL DE
SOPORTE COBIT 4.1

ADQUISICIÓN
E AI3 IDENTIFICAR
DOMINIO PROCESO
IMPLEMENTA SOLUCIONES
CIÓN (AI)

OBJETIVO DE CONTROL

N PREGUNTA SI NO NA REF

1 ¿Existen Formatos de soporte para los 5

mantenimientos preventivos y/o correctivos
de los equipos de cómputo?

2 ¿Existen formatos para adquirir equipos o 5

nueva tecnología?

3 ¿Los equipos cumplen con las características 4

requeridas para un buen funcionamiento del
data center?
 4 ¿Se utiliza algún software para evitar 5
ataques externos que afecten la
seguridad de la información?

5 ¿Se cuenta con repuestos e insumos para 5

dar soporte técnico en caso de fallas de
los equipos?

6 ¿Se tiene algún plan de contingencia o de 5

acción en caso de falla en los equipos de
cómputo?

TOTAL 0 29

TOTAL CUESTIONARIO 29

Porcentaje de riesgo parcial = (0 * 100) / 30 = 0

Porcentaje de riesgo total = 100 – 0 = 100

PORCENTAJE RIESGO 100% (Riesgo Alto)

Resultado:

Se evidencia un gran riesgo, la empresa no cuenta con los formatos y procesos requeridos para
mantener una buena infraestructura y cumplir con los objetivos de cuidar y proteger los equipos a su
disposición y por ende la información allí almacenada.
Se recomienda hacer los correctivos de forma inmediatamente y urgente para minimizar los riesgos
antes descritos.

VALORACIÓN DE RIESGOS
A continuación, se muestran la probabilidad y el impacto de los riesgos detectados con relación a los
procesos de cobIT DS4, DS5, DS11 y sus objetivos de control respectivos DS4.9, DS5.4, DS11.5.
Nro Descripción Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrófico
Categoría software
Fallas en los sistemas
R1 x X
operativos instalados.
Categoría seguridad lógica
No se aplican las políticas
de manejo de contraseñas
R2 X X
seguras para el manejo de
cuentas de usuario.

Falta de protección a las

aplicaciones de equipos X X
R3
médicos en la red local con
contraseña.

Se encuentran activas
cuentas de usuario de X X
R4
personal que ya no labora
en la empresa.

No se realizan copias de
seguridad de manera
X X
R5 periódica de los datos e
información de la
operación.

No contar con copia de

respaldo de información en X X
R6
las afueras de la
instalación.
Los usuarios del sistema
R7 comparten las contraseñas X X
de su perfil de usuario.
Categoría Manejo y control de personal.

No se tiene implementado
un sistema de
identificación de X X
R8
empleados, visitantes,
acompañantes y registro de
visitantes.
Falencia en cuanto a las
políticas de la
R9 X X
implementación del
Sistema de Seguridad.
 Categoría hardware
R10 Servidores de respaldo X X

No existe control de los

dispositivos de X X
R11
almacenamiento (usb, cd,
discos).

Matriz de Clasificación de riesgo

A continuación, se muestra el consolidado de los riesgos de acuerdo a la clasificación de su

probabilidad e impacto.

LEVE MODERADO CATASTRÓFICO

ALTO R2, R4, R6, R7,
R11
MEDIO R9, R5 R1
BAJO R3, R10, R8

Tratamiento de los riesgos de la matriz de riesgos.

El tratamiento de los riesgos hace referencia a la acción que se deberá ejecutar de acuerdo al nivel de
probabilidad y ocurrencia de los riesgos encontrados, en este sentido los riesgos pueden ser aceptados,
transferidos o se debe ejercer controles sobre ellos.
En este caso, los riesgos que se encuentran en color verde (debajo de la diagonal) como son de baja
probabilidad e impacto moderado, se aceptan, para los riesgos que están en color amarillo (diagonal) y
los riesgos que están en color rojo (encima de la diagonal) cuya probabilidad es media o alta y el
impacto es moderado o catastrófico se debe transferir o ejercer controles según sea el caso.

ID. Descripción Recursos Tratamiento

Causa
Riesgo Riesgo afectados Riesgo
R1 -Ataques informáticos.
Fallas en los -Falta de mantenimientos.
sistemas -Falta de sistema de
Computadores Controlar
operativos protección ante fallas de
instalados. suministro de energía
eléctrica.
R2 No se aplican
las políticas de
manejo de
Software, Falta de concientización en el
contraseñas
información y uso de las políticas de Controlar
seguras para el
datos. seguridad.
manejo de
cuentas de
usuario.
R3
Falta de
protección a
las Software, Falta de concientización en el
aplicaciones de información y uso de las políticas de Aceptar
equipos datos. seguridad.
médicos en la
red local con
contraseña.
R4 Controlar
Se encuentran
activas cuentas Software,
No se aplican los controles y
de usuario de información y
políticas de usuario.
personal que datos.
ya no labora en
la empresa.
R5
No se realizan
copias de
No se aplica correctamente la
seguridad de
Información y política de seguridad de
manera Aceptar
datos. copias mensuales de datos e
periódica de
información.
los datos e
información de
la operación.
R6
No contar con
No se aplica correctamente la
copia de
Información y política de seguridad de
respaldo de Controlar
datos. copias diarias de datos e
información en
información.
las afueras de
la instalación.
R7 Los usuarios
del sistema
Software, Falta de concientización en el
comparten las
información y uso de las políticas de Controlar
contraseñas de
datos. seguridad.
su perfil de
usuario.
R8
No se tiene
implementado
un sistema de
Hardware, Falta de una política de
identificación
software, datos e control de acceso. Transferirlo
de empleados,
información.
visitantes,
acompañantes
y registro de
visitantes.
 R9 Falencia en
cuanto a las
Hardware,
políticas de la Falta de concientización y
software, datos e Controlar
implementació compromiso del personal.
información.
n del Sistema
de Seguridad.
R10 No se implementa
Hardware,
Servidores de correctamente las políticas de
software, datos e Aceptar
respaldo seguridad de respaldo de
información.
información.
R11
No existe No se aplican las políticas de
control de los se seguridad, al no restringir
Software, datos
dispositivos de el acceso a los equipos por Controlar
e información.
almacenamient medio de los dispositivos de
o (usb, cd, almacenamiento.
discos).

Cuadro de hallazgos para cada uno de los procesos evaluados con los ítems descritos.
A continuación, se relacionan los hallazgos realizados al sistema de información de la Empresa.
REF
HALLAZGO # 1
HHDN_1

PÁGINA
PROCESO AUDITADO Antivirus informes y restricciones
1 DE 1
RESPONSABLE Raúl Jiménez Medina
MATERIAL DE
COBIT
SOPORTE
Garantizar la
DOMINIO Monitoreo(M) PROCESO confiabilidad de la
información

DESCRIPCIÓN:
No se realizan escaneos periódicos a los equipos y en el caso de los realizados no se lleva un buen
informe de estos, las políticas de antivirus permanecen desactualizadas permitiendo la conexión de
dispositivos extraíbles.

REF_PT: La información se recolecto por medio de encuestas realizadas a los encargados del área
las cuales deberían ser constatadas con soportes.

CONSECUENCIAS:
Se puede producir un acceso al sistema no autorizado y poner en peligro la integridad de la
información no solo del equipo involucrado sino de todos los equipos presentes en la red. También
se puede extraer información no autorizada con dispositivos extraíbles
RIESGO:
La probabilidad de que se tenga un acceso no autorizado por agentes externos no es muy alta, pero
si se combina con el hecho de no realizar el bloqueo de los dispositivos externos proponen este ítem
como un elemento crítico el cuál puede ocasionar la pérdida o alteración parcial o total de la
información por ello es un proceso crítico para la entidad ya que su sostenibilidad está en la
administración de la información de los clientes

RECOMENDACIONES:
Monitorear diariamente que todos los antivirus estén reportando a la consola su actualización de
políticas
Monitorear los intentos no autorizados de conexión de dispositivos externos y tomar los debidos
correctivos de acuerdo con el reglamento interno
Monitorear el acceso a los equipos por parte de los usuarios.
Realizar capacitaciones periódicas donde se involucre al usuario como agente principal de la
seguridad en la entidad y llevar control del proceso.

REF
HALLAZGO # 2
HHDN_2

Mantenimiento preventivo de PÁGINA

PROCESO AUDITADO
equipos 1 DE 1
RESPONSABLE Raúl Jiménez Medina
MATERIAL DE SOPORTE COBIT
Garantizar la
DOMINIO Monitoreo(M) PROCESO Continuidad del
Servicio

DESCRIPCIÓN:
No se lleva un control de los mantenimientos preventivos a los equipos ni se tiene establecido un
cronograma de mantenimiento preventivo, el área se está limitando únicamente a realizar procesos
correctivos.

REF_PT:
La información se recolectó por medio de entrevista verbal con el coordinador del área de sistemas
y algunos usuarios los cuales manifestaron que no tenían conciencia de que se les solicitará sus
equipos para un mantenimiento preventivo. Algunos manifestaron su descontento por la gran
cantidad de polución de estos.

CONSECUENCIAS:
Daño de los equipos por deterioro o falla electrónica producida por entes externos impidiendo
garantizar la continuidad del servicio y el deterioro o perdida de la información
RIESGO:
Su probabilidad es muy alta y su impacto es crítico por las condiciones iniciales en el desarrollo de
la auditoria.

RECOMENDACIONES:
Monitorear que los cronogramas de mantenimiento preventivo se estén llevando a cabo en las
fechas acordadas
Realizar el seguimiento respectivo a los equipos identificando las áreas con más contaminación para
ir reformando el calendario de acuerdo a la necesidad de los equipos
Monitorear el diligenciamiento de los formatos de mantenimiento y hoja de vida de los equipos.

REF
HALLAZGO # 3
HHDN_1

Almacenamiento de Respaldos Fuera de las PÁGINA

PROCESO AUDITADO
Instalaciones. 1 DE 1
RESPONSABLE Raúl Jiménez Medina
MATERIAL DE
COBIT
SOPORTE
Garantizar la
Entregar y dar soporte
DOMINIO PROCESO Continuidad del
(DS).
Servicio

DESCRIPCIÓN:
No se realizan copias de seguridad de manera periódica de los datos e información de la operación.
Estas copias son realizadas de forma diaria durante toda la semana, sin embargo, no se realiza una
consolidación de la información de forma mensual, es decir, no se organizan las copias de tal forma
que estas queden organizadas por mes y de estas NO existe un respaldo fuera de las instalaciones de
la clínica. No se aplica correctamente la política de seguridad de copias de datos e información.

REF_PT: La información se recolectó por medio de entrevista verbal con el coordinador del área
de sistemas de la empresa. Es importante resaltar que el acceso a la información y la aplicación de
los instrumentos de recolección fue una tarea muy complicada debido a las políticas de la clínica y a
la disponibilidad de los actores relacionados.

CONSECUENCIAS:
Se puede presentar una situación de daño o catástrofe donde se vea comprometida la información,
datos y elementos del sistema de información de la clínica, en esta situación se podrían ver
afectadas las copias de seguridad de datos que existen en las instalaciones y sería complicado
restaurar la información si no se cuenta con copias de respaldo almacenados de forma externa.
RIESGO:
En cuanto a la probabilidad de ocurrencia está clasificado en alto, en cuanto al impacto es
moderado.

RECOMENDACIONES:
Organizar las copias de seguridad de información diaria por semana y a su vez por mes.
Contar con los recursos de hardware necesarios para la realización de las copias de seguridad y
almacenarlas en unas instalaciones externas a la clínica.
Realizar una inspección periódica del estado y funcionamiento de los dispositivos de
almacenamiento donde se realizan las copias de seguridad.

REF
HALLAZGO # 4
HHDN_2

PÁGINA
PROCESO AUDITADO Administración de Cuentas del Usuario
1 DE 1
RESPONSABLE Raúl Jiménez Medina
MATERIAL DE
COBIT
SOPORTE
Garantizar la
Entregar y dar soporte
DOMINIO PROCESO Seguridad de los
(DS).
Sistemas.

DESCRIPCIÓN:
No se aplican correctamente las políticas de manejo de usuarios y contraseñas, algunos usuarios del
sistema comparten sus credenciales de acceso al sistema, en algunos casos existe un perfil de
usuario que es de acceso para varios usuarios del sistema de información.

REF_PT:
La información se recolectó por medio de entrevista verbal con el coordinador del área de sistemas
de la empresa estudiada, y algunos empleados que se encontraban de turno. Es importante resaltar
que el acceso a la información y la aplicación de los instrumentos de recolección fue una tarea muy
complicada debido a las políticas de la clínica y a la disponibilidad de los actores relacionados.

CONSECUENCIAS:
Acceso a la información por parte de personas no autorizadas.
Perdida y manipulación de información crítica.
Riesgo de ataques con software malintencionado.

RIESGO:
 En cuanto a la probabilidad de ocurrencia está clasificado en media alto, en cuanto al impacto es
moderado.

RECOMENDACIONES:
Socializar la importancia de la política de seguridad para el manejo de usuarios y contraseñas
segura.
Concientizar al personal que tiene acceso al sistema en la aplicación se las políticas de seguridad
para el manejo de usuarios y contraseñas seguras.
Crear un usuario con credenciales únicas para cada usuario del sistema.
Realizar actualización de los perfiles de usuarios de forma periódica.

Definición de controles y tipos de control para los riesgos detectados.

Los tipos de control pueden ser preventivos, detectivos, correctivos y de recuperación, los controles
preventivos servirán para prevenir que los riesgos se concreten y ocasionen daños, los controles
detectivos se utilizan para detectar el momento exacto en que está concretándose los riesgos y los
controles correctivos se implementan una vez haya concretado el riesgo y haya ocasionado los daños.

Riesgo o hallazgo Tipo de control Soluciones o controles

Fallas en los sistemas
operativos instalados.
No se aplican las
políticas de manejo de
contraseñas seguras para
el manejo de cuentas de
usuario.
- Realizar de forma periódica un análisis a
nivel de software en busca de archivos o
aplicaciones malintencionadas.
Preventivo
- Verificar el funcionamiento y estado de los
equipos de respaldo (UPS) de los distintos
equipos.
Capacitar y concientizar al personal de la
organización sobre la importancia del
cumplimiento de las políticas de manejo de
Preventivo
contraseña segura. Si no existe la persona
indicada en la empresa para dar la asesoría, se
podría contratar con una entidad externa.

Falta de protección a las Establecer un plan de acción para la

aplicaciones de equipos
médicos en la red local
con contraseña.
Se encuentran activas
cuentas de usuario de
personal que ya no labora
en la empresa.
Correctivo aplicación de las políticas de seguridad para el
uso de aplicaciones de los equipos médicos.
Correctivo Establecer un plan que permita la verificación
periódica de las cuentas de usuario activas y
contrastarla con los trabajadores activos que
tengan acceso al sistema, para de esta forma
identificar las cuentas de los usuarios que ya
no se encuentran laborando en la clínica y
 darles de baja.
Reestructurar y aplicar las políticas de copias
de seguridad y respaldo de información, para
No se realizan copias de ello se debe contar con personal capacitado y
seguridad de manera con experiencia en el manejo de servidores y
Preventivo
periódica de los datos e seguridad para la realización de esta labor. Si
información de la no se cuenta con el personal idóneo en la
operación. organización, se puede contratar a un
Ingeniero de sistemas.
Establecer un plan de verificación de las
políticas de copias de seguridad y respaldo de
la información.
No contar con copia de
Verificar que se cuente con los recursos de
respaldo de información Preventivo
hardware necesarios para la implementación
en las afueras de la
de dichas políticas.
instalación.
Almacenar copias de información en unas
instalaciones distintas a las de la clínica.
Realizar capacitación a los usuarios del
sistema de información de la clínica para
Los usuarios del sistema
concientizarlos de la importancia de la
comparten las
Correctivo aplicación de las políticas de seguridad para el
contraseñas de su perfil
manejo de las contraseñas de usuario y las
de usuario.
consecuencias que su desconocimiento puede
tener para la organización.
Establecer un sistema de control de acceso e
No se tiene identificación del personal que ingresa a las
implementado un sistema áreas donde se hace uso de los recursos del
de identificación de Correctivo sistema de información de la clínica. Si no
empleados, visitantes, existe la persona indicada en la empresa para
acompañantes y registro implementar la solución, se podría contratar
de visitantes. con una entidad externa.
Concientizar mediante capacitaciones al
personal involucrado en la seguridad del
Falencia en cuanto a las
sistema, de la importancia que tiene la
políticas de la
Preventivo aplicación de las normas establecidas en las
implementación del
políticas de seguridad de la organización.
Sistema de Seguridad.
A demás, se debe garantizar que estas labores
estén a cargo de personal idóneo y capacitado.
Implementar el uso de un servidor o los que
Servidores de respaldo Preventivo sean necesarios para delegar las funciones de
respaldo al servidor o servidores principales.
Inhabilitar los puertos y unidades que no son
No existe control de los necesarias para los empleados en sus
dispositivos de Preventivo actividades diarias, con el fin de evitar
almacenamiento (usb, cd, trasferir virus y que terceros sustraigan
discos). información de la organización.