Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TC2 90168 56 PDF
TC2 90168 56 PDF
TRABAJO COLABORATIVO 2
PRESENTADO POR:
ALEXSANDER DIAZ GUALDRON
LEIDY VIVIANA RUIZ SAAVEDRA
JAVIER FELIPE MARQUEZ
GRUPO: 90168_56
PRESENTADO A
MARCO ANTONIO LOPEZ OSPINA
TUTOR
INTRODUCCION
OBJETIVOS
Objetivo general
Disear y ejecutar el plan de auditora para la empresa COOPSERVIVELEZ
especificando las vulnerabilidades, amenazas y riesgos segn los procesos COBIT
seleccionados y los respectivos objetivos de control.
Objetivos especficos
Analizar y evaluar los riesgos para el proceso CobIT seleccionado.
Disear y aplicar los instrumentos de recoleccin de informacin segn el proceso
seleccionado como entrevistas, cuestionarios y listas de chequeo.
NOMBRE
ESTUDIANTE
PROCESO COBIT
ESCOGIDO
LEIDY VIVIANA
RUIZ SAAVEDRA
ALEXSANDER
DIAZ
GUALDRON
P03: Determinar la
direccin tecnolgica
JAVIER FELIPE
MRQUEZ
PEREZ
P03: Determinar la
direccin tecnolgica
OBJETIVOS DE CONTROL
P01.2: Alineacin de TI con el
negocio
P01.3: Evaluacin de
desempeo y la capacidad
actual
P03.1: planeacin de la
direccin tecnolgica
P03.4: Estndares tecnolgicos
P03.3: Monitoreo de tendencias
y regulaciones futuras
P03.4 Estndares tecnolgicos
2. Los formatos que cada estudiante diseo ordenados por proceso CobIT para la
recoleccin de informacin.
Leidy Viviana Ruiz Saavedra
Proceso Cobit: P01: Definir un plan estratgico de TI
Objetivos de control: P01.2: Alineacin de TI con el negocio, P01.3: Evaluacin de
desempeo y la capacidad actual
ENTREVISTA
CUESTIONARIO
LC1
Planear y Organizar
Proceso
Objetivo de control
Objetivo de control
REQUERIMIENTOS A EVALUAR
SI
NO
Observaciones
ENTREVISTA
1. Est permitido a los empleados de la empresa conectar los dispositivos como
telfonos mviles, tabletas a la red de datos de la compaa
2. La informacin relevante de la compaa con qu tipo de seguridad y
confidencialidad se maneja
3. Porque no se cuenta con el servicio de un guarda de seguridad que realice la labor
de vigilancia
4. cuantas personas manejan o conocen la clave de la caja de seguridad
5. con que periodo se realizan simulacros de evacuacin ante desastres naturales
6. las instalaciones son antissmicas
7. con que periodo se realizan mantenimiento de los sistemas de computo
8. el personal encargado de realizar el soporte tcnico a los equipos cuenta con
estudio profesional
9. Por qu no se cuenta con una planta elctrica en caso de ausencia de energa
elctrica
10. los empleados cumplen a satisfaccin con las normas y leyes que rigen la
empresa.
CUESTIONARIO
si______ no______
4. conoce usted la funcin de los servicios de informacin
si______ no______
5. existen planes de contingencia en caso de desastres naturales
si______ no______
6. que piensa sobre dar solucionas tecnolgicas oportunas para la compaa
De acuerdo______
En desacuerdo ______
Totalmente de acuerdo______
7. las tomas de corriente de los equipos de cmputo cuentan con polo a tierra
si______ no______
8. sabe usted a que se refiere el termino Phishing
si______ no______
9. permite que se recuerde la contrasea de su correo electrnico en el equipo donde
usted labora
si______ no______
10. realiza la descarga de software que podra poner en riesgo la informacin de la
empresa
si______ no______
Objetivo de control
tem a evaluar
la informacin confidencial de la
empresa se encuentra
resguardada de robo perdida o
dao
ENTREVISTA
Cul es el tipo de controles que se tiene sobre archivos magnticos, de datos que
aseguren la utilizacin de la informacin registrada?
Cules son los instructivos que se les proveen a las personas que intervienen en la
operacin rutinaria de los sistemas?
Cules son los programas que se manejan para el mantenimiento preventivo para
cada equipo?
CUESTIONARIO
NO
externos
Existen privilegios o niveles de seguridad de acceso
suficientes
Se realizan peridicamente copias de seguridad
LC3
DOMINIO
Planear y organizar
PROCESO
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
REQUERIMIENTOS A EVALUAR
CUMPLIMIENTO DE
LOS REQUERIMIENTOS
SI
NO
FECHA
EJECUCIN
Vulnerabilidades
Robos o hurtos dentro de la empresa.
software no actualizado en algunos equipos de cmputo, versin de sistema operativo
Windows xp.
Limitacin en las tecnologas de seguridad.
Ausencia de correccin en errores cometidos.
Radiaciones electromagnticas.
Movimientos ssmicos repentinos.
Poca eficiencia en el servicio al cliente.
Falta de soporte tcnico. Falta de atencin hacia las restricciones internas.
Personal no confiable.
Desorganizacin del cableado.
Libertad de uso inadecuado en los sistemas internos de la empresa.
Ausencia de monitorizacin constante de la seguridad de la empresa.
Amenazas
Incursin de hackers.
Software malicioso
Uso de ingeniera social para adquirir informacin.
Presencia de scam es decir la utilizacin de estafas a travs de los medios tecnolgicos.
Fallos elctricos.
Virus en los pcs.
Ausencia de capacitacin para los empleados sobre el manejo adecuado de los medios
tecnolgicos.
Filtracin de datos por utilizacin inadecuada.
Uso desmedido de las redes sociales.
Descarga inadecuada de software no autorizado y potencialmente daino.
Riesgos
Perdida de informacin confidencial por procedimientos incorrectos.
Mala utilizacin de Las herramientas de seguridad informtica.
Falta confidencialidad de la informacin interna de la empresa.
Ausencia de antivirus adecuado que regule y proteja el sistema informtico en general.
Falta de proteccin fsica para los equipos presentes en la empresa en caso de daos
potenciales.
Alto
61-100%
Medio
31-60%
Probabilidad
Bajo
0-30%
Evaluacin de riesgos
PROBABILIDAD
N
R1
R2
R3
R4
Descripcin
Perdida de
informacin
confidencial por
procedimientos
incorrectos.
Mala utilizacin de
Las herramientas de
seguridad
informtica.
Falta
confidencialidad de
la informacin
interna de la
empresa.
Ausencia de
antivirus adecuado
que regule y proteja
el sistema
informtico en
general
Baja
Media
x
IMPACTO
Alta
Leve
Moderado
Catastrfico
R5
R6
R7
R8
R9
R10
R11
R12
R13
Falta de proteccin
fsica para los
equipos presentes en
la empresa en caso
de daos potenciales
Falta de tcnicas de
recuperacin de
informacin prdida.
Malos manejos en el
registro de
informacin.
Falta de adaptacin
al cambio por parte
del personal de
trabajo.
Ingreso errneo de
informacin de los
usuarios en las bases
de datos.
x
x
Personal a cargo
inadecuado.
Falta de actualizacin
para los aplicativos y
herramientas
utilizadas por la
empresa.
Falta de bakup de
informacin
importante.
Matriz de riesgos
Alto
61-100%
R1,R3,R4,R5,R13
Medio
31-60%
Probabilidad
Bajo
0-30%
R2,R6,R10,R11,R12
R7,R8,R9
leve
moderado
catastrfico
impacto
Escala de probabilidad:
Bajo: Cuando el riesgo se presenta espordicamente 1 0 2 veces en el ao
Medio: Cuando el riesgos se presenta cada mes
Alto: Cuando el riesgo se presenta todas las semanas
Fjense que lo importante es la unidad de tiempo en que se mide, en un sistema puede que
se presenten errores todo los das o varias veces en una hora, por lo tanto la medicin de be
hacerse de acuerdo al proceso evaluado y a los riesgos que pueden presentarse, tambin hay
que tener en cuenta si se est evaluado el rea informtica, sus activos de hardware, el
personal o uno de los sistemas especficamente.
Escala de impacto:
Leve: Cuando el riesgo afecta a una sola persona o dependencia de la organizacin
Moderado: Cuando el riesgo afecta a un grupo de personas o a toda una dependencia
Catastrfico: Cuando se paraliza completamente la actividad en la organizacin
Amenazas:
1. Fallas en la utilizacin de los sistemas
2. no se cuenta con sensores de humedad , que permita medir los niveles de humedad
en los cuartos de comunicaciones
3. consumo de bebidas cerca a los equipos de computo
4. fuga de datos en CD/DVD, que no son destruidos de manera adecuada
5. no se cuenta con un experto en seguridad informtica
6. apagado incorrecto de los equipos de computo
7. la empresa no realiza un control del uso de la navegacin en Internet, permitiendo a
sus empleados navegar por portales web peligrosos
8. divulgacin errnea de informacin prioritaria para la empresa , es decir la mala
comunicacin entre el personal de trabajo
9. algunos empleados dejan abiertos los correos electrnicos cuando al iniciar seccin
permite que se recuerden los datos en el equipo
10. No hay garante de seguridad en dispositivos y equipamiento
11. Cristalizacin de los cables por la disposicin al sol y el agua
12. Ambiente laboral afectado por ubicacin de elementos requeridos para las tareas
asignadas
Riesgos:
1. Presencia masiva de dispositivos mviles en la red que pueden perjudicar el libre
funcionamiento del sistema interno
2. no cumplimiento de las leyes y normas que rigen a la compaa
3. Falta de vigilancia, es decir un empleado que realice la labor de vigilancia en el da
y noche.
4. ausencia de un reforzamiento especial y ms adecuado en las instalaciones donde
se encuentran las cantidades de dinero
5. falta de control para la reduccin de costos innecesarios para la compaa
6. Falta de revisin diaria a los procesos del personal subordinado por parte del
gerente de la entidad.
7. No todos los equipos informticos son alimentados mediante UPS
8. desconocimiento sobre los procesos de evacuacin sobre riesgos y desastres
naturales
9. No cuentan an con una planta elctrica en caso de bajonazos y cortes de luz
10. falta de determinacin si se deben efectuar cambios en el manejo de la informacin
11. Colapso en cualquier momento de la red
12. Interferencia en la red.
13. Inseguridad de cada uno de los trabajadores.
Probabilidad
Alto
61-100%
Zona de riego
moderado
Zona de riesgo
importante
Medio
31-60%
zona de riesgo
tolerante
zona de riesgo
moderado
Zona de riesgo
importante
Bajo
0-30%
zona de riesgo
aceptable
leve
zona de riesgo
tolerante
moderado
Zona de riego
moderado
catastrfico
impacto
zona de riego
inaceptable
Evaluacin de Riesgo
N
R14
R15
R16
R17
R18
R19
R20
R21
R22
R23
R24
R25
R26
Descripcin
Presencia
masiva de
dispositivos
mviles en la red
que pueden
perjudicar el libre
no cumplimiento
de las leyes y
normas que rigen
Falta de
vigilancia, es
decir un
empleado que
realice la labor de
ausencia de un
reforzamiento
especial y ms
adecuado en las
instalaciones
donde se
falta de control
para la reduccin
de costos
innecesarios para
Falta de revisin
diaria a los
procesos del
personal
No todos los
equipos
informticos son
alimentados
desconocimiento
sobre los
procesos de
evacuacin sobre
No cuentan an
con una planta
elctrica en caso
de bajonazos y
falta de
determinacin si s
e deben efectuar
cambios en el ma
Colapso en
cualquier
momento de la red
Interferencia en la
red
Inseguridad de
cada uno de los
trabajadores
Baja
Probabilidad
Media
Alta
Leve
Impacto
Moderado Catastrfico
x
x
x
x
Matriz de Riesgo
Alto
61-100%
R14, R16,
R17,R20,R21,R22
Medio
31-60%
Probabilidad
Bajo
0-30%
R15,R18,R25
R19,R23,R24,R26
leve
moderado
catastrfico
impacto
Vulnerabilidades
Amenazas
1
2
3
4
5
6
7
8
9
10
Riesgos
14
15
16
17
18
19
20
21
22
23
EVALUACION DE RIESGOS
PROBABILIDAD
IMPACTO
Descripcin
Baja
R1
R2
R3
Catastrfico
seguridad informtica
R4
X
X
R5
R6
R7
R8
R9
Matriz de riesgos
Alto
61-100%
R1,R2,R3,R5,R7.R8
Medio
31-60%
Probabilidad
Bajo
0-30%
R10, R9
R4
leve
impacto
moderado
catastrfico
CONCLUSIONES
REFERENCIAS BIBLIOGRAFICAS
profesiones
de
consultor
auditor.
Recuperado
el
21
de
octubre
de:
http://campus06.unad.edu.co/ecbti08/mod/lesson/view.php?id=5521&pageid=1351
Brun R. (Agosto 2003). Herramientas de auditoria. Recuperado el 21 de octubre de:
http://campus06.unad.edu.co/ecbti08/mod/lesson/view.php?id=5521&pageid=1352
Muoz Razo Carlos. (2000). Auditoria en Sistemas computacionales. Mxico. Editorial
Pearson
Educacin.
Recuperado
el
21
de
septiembre
de:
http://books.google.es/books?id=3hVDQuxTvxwC&lpg=PP1&hl=es&pg=PP1#v=onepage
&q&f=false