Академический Документы
Профессиональный Документы
Культура Документы
Controles
GRUPO
90168_2
Presentado a:
DILSA ENITH TRIANA
TABLA DE CONTENIDO
INTRODUCCION.........................................................................................................................4
Objetivos........................................................................................................................................5
1. PO7. ADMINISTRAR LOS RECURSOS HUMANOS DE TI...........................................6
1.1 Cuadro de definición de fuentes de conocimiento.......................................................6
1.2 Instrumento de Recolección de Información...............................................................7
1.3 Hallazgos.........................................................................................................................8
1.4 Análisis y evaluación de riesgos....................................................................................9
1.5 Matriz para medición de probabilidad e impacto de riesgos para el
proceso.....................................................................................................................................9
2. DS5. GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS........................................10
2.1 Cuadro de definición de fuentes de conocimiento......................................................10
2.2 Instrumento de Recolección de Información.............................................................11
2.3 Hallazgos.......................................................................................................................13
2.4 Análisis y evaluación de riesgos..................................................................................14
2.5 Matriz para medición de probabilidad e impacto de riesgos para el
proceso...................................................................................................................................15
3. DS11. ADMINISTRACIÓN DE DATOS...........................................................................16
3.1 Cuadro de definición de fuentes de conocimiento......................................................16
3.2 Instrumento de Recolección de Información.............................................................17
3.4 Análisis y evaluación de riesgos..................................................................................19
3.5 Matriz para medición de probabilidad e impacto de riesgos para el
proceso...................................................................................................................................19
4. DS12. ADMINISTRACIÓN DEL AMBIENTE FÍSICO..................................................20
4.1 Cuadro de definición de fuentes de conocimiento......................................................20
4.2 Instrumento de Recolección de Información.............................................................21
4.3 Hallazgos.......................................................................................................................23
4.4 Análisis y evaluación de riesgos..................................................................................24
4.5 Matriz para medición de probabilidad e impacto de riesgos para el
proceso...................................................................................................................................25
CONCLUSIONES.............................................................................................................................26
BIBLIOGRAFIA............................................................................................................................27
INTRODUCCION
El presente trabajo colaborativo correspondiente a la Unidad 3: Fase 4 Ejecución:
Hallazgos de la auditoria, Tratamiento de riesgos, Controles, permitió familiarizarnos de
forma práctica con el proceso de una auditoria de sistemas en una empresa real.
Objetivos
Objetivo General
Llevar a cabo la Fase de Tratamiento de riesgos y Controles
Objetivos específicos:
HALLAZGOS:
Partimos de la “matriz de riesgos” del trabajo colaborativo 2, identificando los
riesgos de mayor impacto y probabilidad en cada proceso, con esta información
diligenciamos los formatos de hallazgo, las consecuencias que trae a la
organización.
REF
HALLAZGO H.PO7-1
Los procedimientos para contratación del personal como las responsabilidades del
personal que trabaja en la empresa no se encuentran descritas en documentos oficiales
(Manuales, Protocolos, Normas, etc).
CONSECUENCIAS:
El no contar con manuales normas o políticas claras dentro de la empresa trae como
consecuencia no garantizar con el cumplimiento eficiente del objeto económico de la
misma para su crecimiento y consolidación, no permite definir ni orientar el quehacer
del funcionario dentro de la empresa y soportar las acciones que se hagan diariamente.
Por otra parte el no contar con un plan de capacitación permanente trae como
consecuencia deficiencias de los procesos, baja calidad del servicio, incumplimiento a
la normatividad legal vigente, por su parte los empleados no tendrán un entendimiento
claro sobre sus responsabilidades o deberes, tendrán dificultades para adaptarse y
entender el trabajo que se les encomienda, provocando desmotivación y posiblemente
rotación o cambio de personal lo que implica gastos económicos a la empresa.
RIESGO:
Probabilidad de ocurrencia: ¿ 100 %
Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
Establecer manuales de procedimientos.
Realizar estudios sobre las necesidades de capacitación del personal para realizar un
plan de capacitación que permita mejorar el rendimiento y la eficiencia del personal
en la ejecución de sus deberes.
REF
HALLAZGO H-DS5-1
No se lleva control del acceso de personal diferente al autorizado que hacen uso del
servidor, no se cuentan con licencias software, no se tienen instalados firewall, no se
garantiza la seguridad de los sistemas a través de la red.
CONSECUENCIAS:
No contar con los controles suficientes para que un usuario tenga acceso a los
sistemas puede traer como consecuencia el acceso no autorizado a información, daño
o manipulación, o robo de la misma.
No contar con las licencias de software, puede traer problemas ante alguna auditoría
por parte de las autoridades encargadas de velar contra la piratería.
RECOMENDACIONES:
Definir un procedimiento claro sobre la creación, modificación, eliminación y
privilegios de cuentas de usuarios.
REF
HALLAZGO H-DS11-01
CONSECUENCIAS:
No contar con una protección esencial para los datos críticos almacenados en los
equipos trae como consecuencia la pérdida definitiva de la información e interrupción
del servicio.
RIESGO:
Probabilidad de ocurrencia: ¿ 100 %
Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
Definir e implementar procedimientos de respaldo y restauración de los sistemas e
información crítica de la empresa.
Establecer un cronograma para realizar copias de seguridad y contar con un lugar
externo para su almacenamiento.
REF
HALLAZGO H-DS12-01
CONSECUENCIAS:
Al no contar con algún sistema de seguridad que impida el paso a lugares de acceso
restringido, los usuarios, clientes u otras personas pueden sustraer los equipos de
cómputo o dispositivos periféricos así como también sustraer la información que ellos
contengan y considerando que no se lleva un inventario del hardware y el software
sería muy difícil identificar estas pérdidas causando deterioro en el activo patrimonial
de la empresa. Dada que los interruptores de energía y cables de red no están
protegidos puede causar inconvenientes con las corrientes eléctricas y al no tener
sistemas de seguridad como detectores de humo, alarmas o extintores se pueden
causar graves pérdidas o daños a la infraestructura física como también a los mismos
usuarios y personal de la empresa. De igual forma si un cable de red está en mal
estado, normalmente la transmisión de datos es lenta.
RIESGO:
Probabilidad de ocurrencia: ¿ 100 %
Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
Definir políticas y estrategias para mantener un ambiente físico adecuado para
proteger los activos de tecnológicos de la empresa contra acceso, daño o robo.
Realizar de forma inmediata el inventario de hardware y software de la empresa.
Partiendo de las tablas de evaluación de los riesgos detectados anteriormente en el
trabajo colaborativo 2 para cada uno de los procesos evaluados, se ha consolidado y
organizado de acuerdo a los activos de la empresa.
Análisis y evaluación de riesgos
N° RIESGOS/VALORACION Probabilidad Impacto
A M B L M C
Personal del Área
R1 El personal de la empresa no cuenta x x
con un plan de capacitación
Seguridad Lógica
R2 Perdida y manipulación de datos x x
Hardware
R3 Equipos con bajo rendimiento x x
Software
R4 Imposibilidad de restaurar el x x
sistema
R5 Daños al sistema operativo x x
R6 Transmisión y ataque de virus x x
informáticos
Seguridad Física
R7 Robo de equipos informáticos x x
R8 Incendios y cortos circuitos. x x
Infraestructura
R9 Daños al sistema eléctrico del x x
equipo de cómputo
R10 Acceso de personal no autorizado a x x
zonas restringidas.
R11 Acceso no autorizado al servidor, x x
intromisiones de otros usuarios al
equipo
R12 Imposibilidad para detectar x x
movimientos fraudulentos a los
equipos de cómputo
Redes
R13 Lento Rendimiento de la red. x x
R14 Acceso y manipulación a redes x x
privadas
R15 Caída de la red x x
Documentación
R16 Imposibilidad de identificar y x x
cuantificar el hardware y software
disponible de la empresa
R17 No se cuenta con manuales de x x
procedimientos
PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico
CONCLUSIONES
Para entrar en el proceso de ejecución de la auditoria es muy importante tener en claro los
objetivos, el alcance y el programa de auditoría elaborados previamente, puesto que
estos orientaran todo el proceso desde la elaboración de instrumento hasta la
identificación de riesgos.
La fase de ejecución de la auditoria es una de las fases más importante de todo el proceso,
en esta se ve reflejado el trabajo del auditor y sus resultados.
Con la realización de auditorías se pueden identificar vulnerabilidades o errores
cometidos que pueden demandar tiempo y dinero impidiendo el crecimiento de la
empresa.
Si bien la evidencia documental es vital dentro del proceso de auditoría, durante la
realización de ésta no se obtuvo dicha evidencia puesto que la empresa es pequeña y
nueva, sin embargo a medida que se avanzó en la auditoria, el administrador que dio
respuesta al cuestionario valoró la importancia de contar con evidencia documental de sus
acciones dentro de la empresa, siendo receptivo ante las recomendaciones realizadas.
BIBLIOGRAFIA