Unidad 3: Fase 4 Ejecución: Hallazgos de la auditoria, Tratamiento de riesgos,

Controles

Alexy Amanda Paz – 1085254537

GRUPO
90168_2

Presentado a:
DILSA ENITH TRIANA

Universidad Nacional Abierta y a Distancia UNAD- CEAD Pasto

Escuela de Ciencias Básicas y Tecnología ECBTI
Noviembre de 2017

TABLA DE CONTENIDO
INTRODUCCION.........................................................................................................................4
Objetivos........................................................................................................................................5
1. PO7. ADMINISTRAR LOS RECURSOS HUMANOS DE TI...........................................6
1.1 Cuadro de definición de fuentes de conocimiento.......................................................6
1.2 Instrumento de Recolección de Información...............................................................7
1.3 Hallazgos.........................................................................................................................8
1.4 Análisis y evaluación de riesgos....................................................................................9
1.5 Matriz para medición de probabilidad e impacto de riesgos para el
proceso.....................................................................................................................................9
2. DS5. GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS........................................10
2.1 Cuadro de definición de fuentes de conocimiento......................................................10
2.2 Instrumento de Recolección de Información.............................................................11
2.3 Hallazgos.......................................................................................................................13
2.4 Análisis y evaluación de riesgos..................................................................................14
2.5 Matriz para medición de probabilidad e impacto de riesgos para el
proceso...................................................................................................................................15
3. DS11. ADMINISTRACIÓN DE DATOS...........................................................................16
3.1 Cuadro de definición de fuentes de conocimiento......................................................16
3.2 Instrumento de Recolección de Información.............................................................17
3.4 Análisis y evaluación de riesgos..................................................................................19
3.5 Matriz para medición de probabilidad e impacto de riesgos para el
proceso...................................................................................................................................19
4. DS12. ADMINISTRACIÓN DEL AMBIENTE FÍSICO..................................................20
4.1 Cuadro de definición de fuentes de conocimiento......................................................20
4.2 Instrumento de Recolección de Información.............................................................21
4.3 Hallazgos.......................................................................................................................23
4.4 Análisis y evaluación de riesgos..................................................................................24
4.5 Matriz para medición de probabilidad e impacto de riesgos para el
proceso...................................................................................................................................25
CONCLUSIONES.............................................................................................................................26
BIBLIOGRAFIA............................................................................................................................27

INTRODUCCION
 El presente trabajo colaborativo correspondiente a la Unidad 3: Fase 4 Ejecución:
Hallazgos de la auditoria, Tratamiento de riesgos, Controles, permitió familiarizarnos de
forma práctica con el proceso de una auditoria de sistemas en una empresa real.
 Objetivos
Objetivo General
Llevar a cabo la Fase de Tratamiento de riesgos y Controles

Objetivos específicos:

HALLAZGOS:
Partimos de la “matriz de riesgos” del trabajo colaborativo 2, identificando los
riesgos de mayor impacto y probabilidad en cada proceso, con esta información
diligenciamos los formatos de hallazgo, las consecuencias que trae a la
organización.

Hallazgos proceso: PO7. Administrar los Recursos Humanos de TI

REF
HALLAZGO H.PO7-1

PROCESO Funcionamiento del aspecto físico de la red PÁGINA

AUDITADO de datos 1 DE 1
RESPONSABLE ALEXY AMANDA PAZ MENESES
MATERIAL DE
COBIT
SOPORTE
PO. PLANEAR
PROCES PO7. Administrar los
DOMINIO Y
O Recursos Humanos de TI
ORGANIZAR
DESCRIPCIÓN DEL HALLAZGO:

Los procedimientos para contratación del personal como las responsabilidades del
personal que trabaja en la empresa no se encuentran descritas en documentos oficiales
(Manuales, Protocolos, Normas, etc).

No se han realizado planes de capacitación ni estudios al personal para determinar las

necesidades de capacitación.

REF_PT: Cuestionario de Control: C1

CONSECUENCIAS:
El no contar con manuales normas o políticas claras dentro de la empresa trae como
consecuencia no garantizar con el cumplimiento eficiente del objeto económico de la
misma para su crecimiento y consolidación, no permite definir ni orientar el quehacer
del funcionario dentro de la empresa y soportar las acciones que se hagan diariamente.
Por otra parte el no contar con un plan de capacitación permanente trae como
consecuencia deficiencias de los procesos, baja calidad del servicio, incumplimiento a
la normatividad legal vigente, por su parte los empleados no tendrán un entendimiento
claro sobre sus responsabilidades o deberes, tendrán dificultades para adaptarse y
entender el trabajo que se les encomienda, provocando desmotivación y posiblemente
rotación o cambio de personal lo que implica gastos económicos a la empresa.
RIESGO:
  Probabilidad de ocurrencia: ¿ 100 %
 Impacto según relevancia del proceso: Alto

RECOMENDACIONES:
Establecer manuales de procedimientos.
Realizar estudios sobre las necesidades de capacitación del personal para realizar un
plan de capacitación que permita mejorar el rendimiento y la eficiencia del personal
en la ejecución de sus deberes.

Hallazgos Proceso: DS5. Garantizar la Seguridad de los Sistemas

REF
HALLAZGO H-DS5-1

PROCESO DS5. Garantizar la Seguridad de los PÁGINA

AUDITADO Sistemas 1 DE 1
RESPONSABLE ALEXY AMANDA PAZ MENESES
MATERIAL DE
COBIT
SOPORTE
ENTREGAR
Y DAR PROCES DS5. Garantizar la Seguridad
DOMINIO
SOPORTE O de los Sistemas
(DS).
DESCRIPCIÓN DEL HALLAZGO:

No se cuentan con procedimientos para la creación, modificación y eliminación de

perfiles de usuario en los equipos de la empresa, no existen los controles suficientes
para que un usuario tenga acceso restringido a los sistemas

No se lleva control del acceso de personal diferente al autorizado que hacen uso del
servidor, no se cuentan con licencias software, no se tienen instalados firewall, no se
garantiza la seguridad de los sistemas a través de la red.

REF_PT: Cuestionario de Control: C2

CONSECUENCIAS:
No contar con los controles suficientes para que un usuario tenga acceso a los
 sistemas puede traer como consecuencia el acceso no autorizado a información, daño
o manipulación, o robo de la misma.
No contar con las licencias de software, puede traer problemas ante alguna auditoría
por parte de las autoridades encargadas de velar contra la piratería.

La falta de políticas con relación a seguridad de la información trae como

consecuencia la interrupción en el servicio causadas por virus y ataques informáticos,
accesos indebidos a la información vital de empresa y perdida de confidencialidad de
datos y privacidad de clientes y usuarios.
RIESGO:
 Probabilidad de ocurrencia: ¿ 100 %
 Impacto según relevancia del proceso: Alto

RECOMENDACIONES:
 Definir un procedimiento claro sobre la creación, modificación, eliminación y
privilegios de cuentas de usuarios.

 Se recomienda mantener toda la legalidad necesaria en cuento a licencias.

 Establecer políticas y procedimientos para administrar y monitorear la

seguridad de información de la empresa.

Hallazgos Proceso: DS11. Administración de Datos

REF
HALLAZGO H-DS11-01

PROCESO DS5. Garantizar la Seguridad de los PÁGINA

AUDITADO Sistemas 1 DE 1
RESPONSABLE ALEXY AMANDA PAZ MENESES
MATERIAL DE
COBIT
SOPORTE
ENTREGAR
Y DAR PROCES DS11. Administración de
DOMINIO
SOPORTE O Datos
(DS).
DESCRIPCIÓN DEL HALLAZGO:

No se encontraron normas y políticas para el resguardo de la información de la

 empresa.

REF_PT: Cuestionario de Control: C3

CONSECUENCIAS:
No contar con una protección esencial para los datos críticos almacenados en los
equipos trae como consecuencia la pérdida definitiva de la información e interrupción
del servicio.

RIESGO:
 Probabilidad de ocurrencia: ¿ 100 %
 Impacto según relevancia del proceso: Alto

RECOMENDACIONES:
Definir e implementar procedimientos de respaldo y restauración de los sistemas e
información crítica de la empresa.
Establecer un cronograma para realizar copias de seguridad y contar con un lugar
externo para su almacenamiento.

Hallazgos Proceso: DS12. Administración del Ambiente Físico

REF
HALLAZGO H-DS12-01

PROCESO DS5. Garantizar la Seguridad de los PÁGINA

AUDITADO Sistemas 1 DE 1
RESPONSABLE ALEXY AMANDA PAZ MENESES
MATERIAL DE
COBIT
SOPORTE
ENTREGAR
Y DAR PROCES DS12. Administración del
DOMINIO
SOPORTE O Ambiente Físico
(DS).
DESCRIPCIÓN DEL HALLAZGO:

No existen señalizaciones adecuadas de las salidas de emergencia y no se tienen

establecidas rutas de evacuación, no se cuenta con algún sistema de seguridad que
impida el paso a lugares de acceso restringido, no se lleva registro de las personas que
ingresan a las instalaciones ni a los sistemas, no se cuenta con elementos de seguridad
para impedir que se sustraigan los equipos o dispositivos periféricos y además no se
cuenta con inventario de hardware, no se cuenta con sistemas de emergencia como son
detectores de humo, alarmas, u otro tipo de censores, los interruptores de energía y
cables de red no están debidamente protegidos, etiquetados y sin obstáculos para
alcanzarlos, no se cuenta con un cronograma de mantenimiento preventivo y
correctivos para los equipos.

REF_PT: Cuestionario de Control: C4

CONSECUENCIAS:
Al no contar con algún sistema de seguridad que impida el paso a lugares de acceso
restringido, los usuarios, clientes u otras personas pueden sustraer los equipos de
cómputo o dispositivos periféricos así como también sustraer la información que ellos
contengan y considerando que no se lleva un inventario del hardware y el software
sería muy difícil identificar estas pérdidas causando deterioro en el activo patrimonial
de la empresa. Dada que los interruptores de energía y cables de red no están
protegidos puede causar inconvenientes con las corrientes eléctricas y al no tener
sistemas de seguridad como detectores de humo, alarmas o extintores se pueden
causar graves pérdidas o daños a la infraestructura física como también a los mismos
usuarios y personal de la empresa. De igual forma si un cable de red está en mal
estado, normalmente la transmisión de datos es lenta.
RIESGO:
 Probabilidad de ocurrencia: ¿ 100 %
 Impacto según relevancia del proceso: Alto

RECOMENDACIONES:
Definir políticas y estrategias para mantener un ambiente físico adecuado para
proteger los activos de tecnológicos de la empresa contra acceso, daño o robo.
Realizar de forma inmediata el inventario de hardware y software de la empresa.
Partiendo de las tablas de evaluación de los riesgos detectados anteriormente en el
trabajo colaborativo 2 para cada uno de los procesos evaluados, se ha consolidado y
organizado de acuerdo a los activos de la empresa.
Análisis y evaluación de riesgos
 N° RIESGOS/VALORACION Probabilidad Impacto
A M B L M C
Personal del Área
R1 El personal de la empresa no cuenta x x
con un plan de capacitación
Seguridad Lógica
R2 Perdida y manipulación de datos x x
Hardware
R3 Equipos con bajo rendimiento x x
Software
R4 Imposibilidad de restaurar el x x
sistema
R5 Daños al sistema operativo x x
R6 Transmisión y ataque de virus x x
informáticos
Seguridad Física
R7 Robo de equipos informáticos x x
R8 Incendios y cortos circuitos. x x
Infraestructura
R9 Daños al sistema eléctrico del x x
equipo de cómputo
R10 Acceso de personal no autorizado a x x
zonas restringidas.
R11 Acceso no autorizado al servidor, x x
intromisiones de otros usuarios al
equipo
R12 Imposibilidad para detectar x x
movimientos fraudulentos a los
equipos de cómputo
Redes
R13 Lento Rendimiento de la red. x x
R14 Acceso y manipulación a redes x x
privadas
R15 Caída de la red x x
Documentación
R16 Imposibilidad de identificar y x x
cuantificar el hardware y software
disponible de la empresa
R17 No se cuenta con manuales de x x
procedimientos

PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico

4.5 Matriz de Clasificación de riesgo

Lev Moderado Catastrófico

 e
ALTO R1,R17 R6

MEDI R9,R10,R13,R1 R2,R4,R5,R7,R8,R11,R12,R14,R1

O 5 6
BAJO R3

ID. Riesgo Descripción Riesgo Tratamiento Riesgo

R1 El personal de la empresa no cuenta con un plan de Controlarlo
capacitación
R2 Perdida y manipulación de datos Controlarlo
R3 Equipos con bajo rendimiento Aceptarlo
R4 Imposibilidad de restaurar el sistema Controlarlo
R5 Daños al sistema operativo Controlarlo
R6 Transmisión y ataque de virus informáticos Controlarlo
R7 Robo de equipos informáticos Controlarlo
R8 Incendios y cortos circuitos. Controlarlo
R9 Daños al sistema eléctrico del equipo de cómputo Controlarlo
R10 Acceso de personal no autorizado a zonas Controlarlo
restringidas.
R11 Acceso no autorizado al servidor, intromisiones de Controlarlo
otros usuarios al equipo
R12 Imposibilidad para detectar movimientos Controlarlo
fraudulentos a los equipos de cómputo
R13 Lento Rendimiento de la red. Controlarlo
R14 Acceso y manipulación a redes privadas Controlarlo
R15 Caída de la red Controlarlo
R16 Imposibilidad de identificar y cuantificar el Controlarlo
hardware y software disponible de la empresa
R17 No se cuenta con manuales de procedimientos Controlarlo

RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES

ENCONTRADOS CONTROL
El personal de la empresa no CORRECTIVO
cuenta con un plan de
capacitación
Perdida y manipulación de DETECTIVO
datos PREVENTIVO
Imposibilidad de restaurar el PREVENTIVO
sistema
Daños al sistema operativo PREVENTIVO
Transmisión y ataque de DETECTIVO
virus informáticos PREVENTIVO
Robo de equipos PREVENTIVO
informáticos
 Incendios y cortos circuitos. DETECTIVO
PREVENTIVO
Daños al sistema eléctrico PREVENTIVO
del equipo de cómputo
Acceso de personal no PREVENTIVO
autorizado a zonas
restringidas.
Acceso no autorizado al PREVENTIVO
servidor, intromisiones de
otros usuarios al equipo
Imposibilidad para detectar DETECTIVO
movimientos fraudulentos a PREVENTIVO
los equipos de cómputo
Lento Rendimiento de la PREVENTIVO
red. DETECTIVO
Acceso y manipulación a DETECTIVO
redes privadas PREVENTIVO
Caída de la red PREVENTIVO
Imposibilidad de identificar CORRECTIVO
y cuantificar el hardware y
software disponible de la
empresa
No se cuenta con manuales CORRECTIVO
de procedimientos

CONCLUSIONES

Para entrar en el proceso de ejecución de la auditoria es muy importante tener en claro los
objetivos, el alcance y el programa de auditoría elaborados previamente, puesto que
estos orientaran todo el proceso desde la elaboración de instrumento hasta la
identificación de riesgos.
La fase de ejecución de la auditoria es una de las fases más importante de todo el proceso,
en esta se ve reflejado el trabajo del auditor y sus resultados.
Con la realización de auditorías se pueden identificar vulnerabilidades o errores
cometidos que pueden demandar tiempo y dinero impidiendo el crecimiento de la
empresa.
Si bien la evidencia documental es vital dentro del proceso de auditoría, durante la
realización de ésta no se obtuvo dicha evidencia puesto que la empresa es pequeña y
nueva, sin embargo a medida que se avanzó en la auditoria, el administrador que dio
respuesta al cuestionario valoró la importancia de contar con evidencia documental de sus
acciones dentro de la empresa, siendo receptivo ante las recomendaciones realizadas.
 BIBLIOGRAFIA

Tamayo, A. Auditoría de sistemas una visión práctica. (2001). Recuperado de

https://books.google.com.co/books?id=HdtpS3UBCuMC&lpg=PA14&dq=auditor
%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

Piattini, M. G. (2012). Auditoría informática un enfoque práctico 2 ed. Madrid – España:

Editorial Ra-Ma

ISACA. (2016). Cobit 4.1 en español. Recuperado de http://www.isaca.org/Knowledge-

Center/cobit/Pages/Downloads.aspx

Castello, R. J. (2015). Auditoria en entornos informáticos. Recuperado de

http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981

Derrien, Y. (2009). Técnicas de la auditoría informática. Recuperado de

http://bibliotecavirtual.unad.edu.co:2162/openurl?
sid=EBSCO:edselb&genre=book&issn=edselb.61F234B4&ISBN=9781449209667&volu
me=&issue=&date=20090101&spage=&pages=&title=T%c3%a9cnicas%20de%20la
%20auditor%c3%ada%20inform%c3%a1tica&atitle=T%C3%A9cnicas%20de%20la
%20auditor%C3%ADa%20inform%C3%A1tica&aulast=Derrien%2C
%20Yann&id=DOI:

Solarte, F. N. J. (Productor). (2016). Metodología de la auditoria con estándar CobIT.

Recuperado de http://hdl.handle.net/10596/10234

Solarte, F. N. J. (30 de noviembre de 2011). Auditoría informática y de sistemas.

Recuperado de: http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html

Norma de mejores prácticas de TI CobIT 4.1, disponible en:

http://campus06.unad.edu.co/ecbti08/pluginfile.php/5935/mod_resource/content/3/cobiT4
.1spanish.pdf