AUDITORIA DE SISTEMAS

EJECUCION Y RESULTADOS DE AUDITORIA DE SISTEMAS

Presentado por:

Jhonathan Velandia - Código 79220847

Néstor Augusto Tocan cipa Guevara - Código 79.526.016
Fabio Andrés León Código: 74446458
Ricardo Rodríguez Suarez Código 709697262

Grupo 301569_4

Presentado a
Sara carolina Igua muñoz
Geovanni Catalán

Universidad Nacional Abierta y a Distancia UNAD

Escuela de Ciencias Básicas Tecnología e Ingeniería ECBTI
Bogotá 28 Noviembre de 2016
 INTRODUCCION

El presente trabajo se desarrolla siguiendo la Guía de Actividades del curso Auditoria de

Sistemas de la Escuela de Ciencias Básicas, Tecnología e Ingeniería ECBTI - Unidad 3
“Auditoria Informática”; cuyo propósito es ejecutar acciones que permitan mitigar y contra
restar los hallazgos encontrados en la fase anterior, basados el tratamiento de riesgos se
determinaran cuáles de ellos tienes mayor criticidad y se plantearan soluciones para
corregirlos.
 OBJETIVOS

Objetivo General

Ejecutar los planes de acción definidos en la fase anterior para la empresa Procesos &
Canje S.A mitigando las amenazas y riegos hallados.

Objetivos específicos

 Aplicar el estándar CobIT en el diseño y estructura de la Auditoria Informática en la

empresa Procesos & Canje S.A.

 Aplicar los dominios y procesos del estándar CobIT

 Ejecutar y dar solución a los riesgos y amenazas detectados en la compañía de

acuerdo al tratamiento de riesgo definido para cada falla encontrada.

 Presentar los resultados de la Auditoria Informática para la empresa elegida,

formulando las recomendaciones y sugerencias para la mitigación de riesgos.
Los pasos a seguir en el tratamiento de los riesgos serán los que se describen a
continuación:

 Identificación // Matriz cuadro de vulnerabilidades

 Análisis // Matriz probabilidad e impacto
 Evaluación // Matriz valoración de riesgo - Leve- Moderado – Catastrófico

(JHONATHAN VELANDIA) VALORACION DE RIESGOS

NIVEL RANGO RIESGO DESCRIPCION

5 CATASTROFICO
5 CATASTROFICO
5 CATASTROFICO
3 MODERADO
2 MENOR
Ataques de intromisión e
ingeniería social , robo o
R5 eliminación de información, Nivel Rango
no hay sistema de detección 5 Catastrófico
de intrusos.
4 Mayor
Daño en equipos,
3 Moderado
R3 indisponibilidad en el sistema
2 Menor
y pérdida de información.
1 Insignificante
Pérdida, modificación, robo
R2
de información.
No existe proceso de revisión
R1
de contraseña.
Perdida de información,
R4 debida a daño de las cintas de
Backus.

CUADRO DE VULNERABILIDAES-AMENAZAS –RISGOS –CATEGORIA

N° Vulnerabilidad Amenazas Riesgo Categoría COBIT Descripción del proceso

#1 Planear y Organizar
Proceso
Control de Corromper datos, Definir la arquitectura de la
acceso. Cambio, archivos y hasta el información
No existen modificación o S.O.
contraseñas de robo de Establecer un modelo de datos
R4 acceso a los información de Seguridad PO2 empresarial que incluya un
equipos los archivos en lógica esquema de clasificación de
la computadora información que garantice la
integridad y consistencia de todos
los datos.
 No secuenta con cambio de los Manipulación
control físico de documentos física por parte de
verificación de físicos todos los Seguridad
documentos funcionarios. física N/A N/A
R6 (cheques,
formularios de
pensiones).

R8 Falta de Errores de El personal no Administrar los Recursos

conocimiento de los usuario, daño cuenta con las Humanos
usuarios en el accidental de actitudes y
manejo de equipos y aptitudes La contratación y entrenamiento
herramientas aplicaciones, requeridas para Manejo y del personal, la motivación por
computacionales y uso indebido de hacer uso de la control de PO7 medio de planes de carrera claros,
en el manejo de los los sistemas de información por personal la asignación de los roles que
sistemas información de medio de los correspondan a las habilidades, el
informáticos la compañía sistemas de establecimiento de procesos de
existentes, no se información, revisión definidos, la creación de
han realizado perdida de descripción de puestos y el
capacitaciones a los información, aseguramiento de la conciencia de
usuarios para retraso en los la dependencia sobre los
concientizarlos procesos. individuos.
sobre la seguridad
de los datos.
R9 Acceso no Ingeniería social Daño en los Definir la arquitectura de la
contralado a y uso indebido equipos, información
Internet, no se de los sistemas indisponibilidad Seguridad PO2 Establecer un modelo de datos
tienen grupos de de información. de algún sistema, Red empresarial que incluya un
acceso ni perdida de esquema de clasificación de
restricciones a información por información que garantice la
sitios causa de virus integridad y consistencia de todos
potencialmente los datos
peligrosos.
R10 No hay Los usuarios Acceso indebido a Definir la arquitectura de la
segmentación finales pueden la información, información
adecuada de la red ver en su red los pérdida y robo de Seguridad Establecer un modelo de datos
servidores de información Red PO2 empresarial que incluya un
aplicaciones y confidencial. esquema de clasificación de
Bases de Datos información que garantice la
integridad y consistencia de todos
los datos
R11 No hay firewall Acceso Definir la arquitectura de la
para manejo de indebido a la información
acceso de envió de Red de la Acceso indebido a
información de compañía la información, PO2 Establecer un modelo de datos
interfaces desde externamente a pérdida y robo de Seguridad empresarial que incluya un
fuera de la Red de través de Pertas información Red esquema de clasificación de
la compañía, desde traseras confidencial. información que garantice la
Internet. asequibles, integridad y consistencia de todos
fallas en la los datos
instalación de
accesorios de
comunicación
R12 No se cuenta con No tener Perdida de Evaluar y administrar Riesgos
equipos de continuidad de información y de TI
Contingencias de la operación, clientes PO9
para sus sistemas ante desastres Elaborar de un marco de trabajo
de información naturales o Hardware de administración de riesgos el
principales (DRP) eventualidades cual está integrado en los marcos
locales de orden gerenciales de riesgo operacional,
público. evaluación de riesgos, mitigación
del riesgo y comunicación de
riesgos residuales.
R13 Disponibilidad y Caídas de Perdida de Evaluar y administrar Riesgos
continuidad servidores, información y de TI
inmediata de sus donde la Dinero por el
sistemas en lo que recuperación retraso en el Elaborar de un marco de trabajo
se refiere a fallas lleve más de 4 procesamiento de Hardware PO9 de administración de riesgos el
de hardware, al no horas o pasen información cual está integrado en los marcos
 contar con días antes de gerenciales de riesgo operacional,
redundancia en sus recuperarse. evaluación de riesgos, mitigación
equipos. del riesgo y comunicación de
riesgos residuales.

R15 No existe directriz Introducción de Alteración o Definir la arquitectura de la

para el adecuado información pérdida de la información
manejo de falsa, virus, información
dispositivos de troyanos, registrada en base Hardware PO2 Establecer un modelo de datos
almacenamiento información de datos o equipos empresarial que incluya un
corrupta esquema de clasificación de
información que garantice la
integridad y consistencia de todos
los datos

N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrófico
R4 No existen contraseñas de acceso a X X
los equipos
R8 Falta de conocimiento de los X X
usuarios en el manejo de
herramientas computacionales y en
el manejo de los sistemas
informáticos existentes, no se han
realizado capacitaciones a los
usuarios para concientizarlos sobre
la seguridad de los datos.
R9 Acceso no contralado a Internet, no X X
se tienen grupos de acceso ni
restricciones a sitios
potencialmente peligrosos.

R10 Ataques de intromisión e X X

ingeniería social y robo o
eliminación de información Falta
de Sistema Detección de
Intrusiones
R11 No hay firewall para manejo de X X
acceso de envió de información de
interfaces desde fuera de la Red de
la compañía, desde Internet.
R12 No se cuenta con equipos de X X
Contingencias de para sus sistemas
de información principales (DRP)
R13 Disponibilidad y continuidad X X
inmediata de sus sistemas en lo que
se refiere a fallas de hardware, al no
contar con redundancia en sus
equipos.
R15 No existe directriz para el adecuado X X
manejo de dispositivos de
almacenamiento
 MATRIZ CLASIFICACION DE RIESGO

LEVE MODERADO CATASTROFICO

ALTO R10-R11-R12
MEDIO R4-R9 R8-R13
BAJO R15

Riesgo Descripción Riesgo Tratamiento

R4 No existen contraseñas de acceso a los equipos Controlarlo

R8 Falta de conocimiento de los usuarios en el manejo de Controlarlo
herramientas computacionales y en el manejo de los sistemas
informáticos existentes, no se han realizado capacitaciones a los
usuarios para concientizarlos sobre la seguridad de los datos.
R9 Acceso no contralado a Internet, no se tienen grupos de acceso Controlarlo
ni restricciones a sitios potencialmente peligrosos.

R10 Ataques de intromisión e ingeniería social y robo o eliminación Transferirlo

de información Falta de Sistema Detección de Intrusiones
R11 No hay firewall para manejo de acceso de envió de información Transferirlo
de interfaces desde fuera de la Red de la compañía, desde
Internet.
R12 No se cuenta con equipos de Contingencias de para sus Transferirlo
sistemas de información principales (DRP)

R13 Disponibilidad y continuidad inmediata de sus sistemas en lo que Aceptarlo

se refiere a fallas de hardware, al no contar con redundancia en
sus equipos.
R15 No existe directriz para el adecuado manejo de dispositivos de Controlarlo
almacenamiento

RIESGO RIESGOS o TIPO DE SOLUCIONES O CONTROLES

HALLAZGOS CONTROL
ENCONTRADOS
No existen contraseñas de Controlar el acceso a través del servidor de directorio
R4 acceso a los equipos CORRECTIVO activo

Falta de conocimiento de
los usuarios en el manejo Dictar charlas y capacitación a los usuarios acerca del
R8 de herramientas uso correcto de la información y los medios seguros
computacionales y en el para su trasmisión.
manejo de los sistemas
informáticos existentes, no PREVENTIVO
se han realizado
capacitaciones a los
usuarios para
concientizarlos sobre la
seguridad de los datos.
Acceso no contralado a Controlar el acceso a internet o a aquellas páginas no
Internet, no se tienen autorizadas por la organización.
R9 grupos de acceso ni CORRECTIVO
restricciones a sitios
potencialmente peligrosos.
No existe directriz para el Establecer políticas de seguridad y controles que
R15 adecuado manejo de CORRECTIVO permitan sustraer información a través de medios
dispositivos de magnéticos, solo a personal autorizado.
almacenamiento
 (NESTOR AUGUSTO TOCANCIPA) VALORACION DE RIESGOS

PROBABILIDAD IMPACTO
RIESGOS/VALORACION A M B L M C
Seguridad Lógica

R1 No existe proceso de revisión de contraseñas X X

R2 Modificación no autorizada de información o retrasos en
la operación, por actualizaciones no aprobadas y/o
desarrolladas debidamente
R3 Ataques de intromisión e ingeniería social y robo o X X
eliminación de información Falta de Sistema Detección
de Intrusiones
R4 Corromper datos, archivos y hasta el S.O.

Software

R5 Perdida, modificación y robo de información X X

Seguridad física

R6 Manipulación física por parte de todos los funcionarios.

Manejo y control de personal

R7 Daño en los equipos, indisponibilidad de algún sistema, X X

perdida de información
R8 El personal no cuenta con las actitudes y aptitudes X X
requeridas para hacer uso de la información por medio
de los sistemas de información, perdida de
información, retraso en los procesos.
Seguridad de red
R9 Daño en los equipos, indisponibilidad de algún sistema, X X
perdida de información por causa de virus
R10 Acceso indebido a la información, pérdida y robo de
información confidencial.
R11 Acceso indebido a la información, pérdida y robo de
información confidencial.
Hardware
R12 Perdida de información y clientes
R13 Perdida de información y Dinero por el retraso en el X X
procesamiento de información
R14 Perdida de información, debida a daño de las cintas de X X
back-up.
R15 Alteración o pérdida de la información registrada en
base de datos o equipos
 PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico

MATRIZ CLASIFICACION DE RIESGO

LEVE MODERADO CATASTROFICO

ALTO R14 R3
MEDIO R9 R1, R5, R13, R7
BAJO R8

ID. Riesgo Descripción Riesgo Tratamiento Riesgo

R1 No existe proceso de revisión de contraseñas Controlarlo
R3 Ataques de intromisión e ingeniería social y robo o Transferirlo
eliminación de información Falta de Sistema Detección de
Intrusiones
R5 Perdida, modificación y robo de información Controlarlo
R7 Daño en los equipos, indisponibilidad de algún sistema, Controlarlo
perdida de información
R8 El personal no cuenta con las actitudes y aptitudes Controlarlo
requeridas para hacer uso de la información por medio de
los sistemas de información, perdida de información,
retraso en los procesos.
R9 Daño en los equipos, indisponibilidad de algún sistema, Aceptarlo
perdida de información por causa de virus
R13 Perdida de información y dinero por el retraso en el Aceptarlo
procesamiento de información
R14 Perdida de información, debida a daño de las cintas de Transferirlo
back-up.

RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES

ENCONTRADOS CONTROL
No existe proceso de revisión de CORRECTIVO Controlar el acceso a través de algoritmos
contraseñas de control y bloqueo.
Perdida, modificación y robo de PREVENTIVO Elaborar políticas de administración y
información organización de la información, en
coordinación con el Ingeniero Jefe del área
y con asesoría de personal experto en el
manejo de servidores y seguridad.
Daño en los equipos, DETECTIVO, Seguimiento que permita identificar la
indisponibilidad de algún PREVENTIVO situaciones problema y estudio de las
sistema, perdida de información
soluciones que minimicen la ocurrencia
El personal no cuenta con las DETECTIVO, Establecer un plan de capacitación
actitudes y aptitudes requeridas PREVENTIVO enfocado en las falencias detectadas, para
para hacer uso de la información
por medio de los sistemas de
lo cual se hace necesario la identificación
información, perdida de de las áreas temáticas a reforzar.
información, retraso en los
procesos.

REF

HALLAZGO

001

PÁGINA
DS7 Educar y entrenar a los usuarios y DS12 Administración del
PROCESO AUDITADO
ambiente físico
1 DE 1

RESPONSABLE Néstor Tocancipá Guevara

CobIT

DS7 Educar y Entrenar a los Usuarios: se requiere identificar las necesidades de entrenamiento de
los usuarios, definir y ejecutar la estrategia de entrenamiento y medir sus resultados.
MATERIAL DE SOPORTE
DS12 Administración del Ambiente Físico: definición de los requerimientos físicos del centro de
datos, selección y diseño de proceso para monitorear factores ambientales y administrar el acceso
físico.

Entrenar y dar soporte – DS. DS7 Educar y entrenar a los

DOMINIO PROCESO usuarios y DS12
Administración del ambiente
físico

DESCRIPCIÓN:

 No existe un programa de capacitación preestablecido

 Se evidencian problemas de ventilación y contaminación acústica por lo reducido del área
 No hay control para el acceso al centro de cómputo, excepto su ubicación dentro del edificio, el aviso con el nombre
de “Centro de Cómputo” y la puerta de acceso
 En el pasillo anexo al área de computo se mantienen archivos y cajas que obstaculizan circulación

Se evidencia falta de planeación en aspectos formativos, así como en la distribución de los espacios requeridos para el
adecuado funcionamiento del Centro de Cómputo. Es necesario tomar medidas para restringir el acceso al Centro de
Cómputo, a personal no autorizado y así evitar los riesgos descritos; se requiere mejorar la disposición de archivo, evitando la
aglomeración de cajas en puestos de trabajo y pasillos.

REF_PT:

- Lista de chequeo F-CHK 01

- Formato de cuestionario
- Formato de entrevista
CONSECUENCIAS:

- Al no existir un programa de capacitación se pierde la oportunidad de manejo y control sobre atribuciones,

responsabilidades, obligaciones y competencias del personal, facilitando evadirlas.
- La deficiencia en las condiciones ambientales del área disminuye la capacidad de tolerancia y aumenta el
estrés entre los trabajadores, propiciando un clima tenso y restringiendo la creatividad para la solución de las
distintas situaciones.
- El control de acceso al área y mejoras en la ventilación del espacio de trabajo favorecerían los índices de
productividad y potenciarían las capacidades del grupo de trabajo.
- Al no dar cumplimiento a los planes y programas de manejo de archivo se incumple con la norma y se deteriora
el ambiente laboral, promoviendo una actitud laxa ante las evidentes fallas de manejo documental

RIESGO:

R3 Retraso en los procesos

Probabilidad de ocurrencia=50%

Impacto según relevancia del proceso=Medio

R4 Daño en los equipos

Probabilidad de ocurrencia=50%

Impacto según relevancia del proceso=Medio

R1-El personal no cuenta con la aptitud y actitud requerida, para hacer uso de la información por medio de los sistemas de
información

Probabilidad de ocurrencia=20%

Impacto según relevancia del proceso=Bajo

RECOMENDACIONES:

 Desarrollar un plan de capacitación a bajo coste que permita atender los hallazgos y minimizar los riesgos.
 Presupuestas a mediano plazo la ampliación del Centro de cómputo o en su defecto realizar las inversiones necesarias
para mejorar las condiciones ambientales, especialmente en lo relacionado con el sistema de ventilación del área.
 Implementas medidas de control de acceso al área, las cuales pueden darse a bajo costo y en el corto plazo.
 Exigir el cumplimiento de los procesos en Gestión Documental, descritos en las políticas inherentes al tema.
 (FABIO LEON) VALORACIÓN DE RIESGOS

PROBABILIDAD IMPACTO
RIESGOS/VALORACION
A M B L M C

Hardware
R12 No se cuenta con equipos de Contingencias de para X X
sus sistemas de información principales (DRP
R13 Disponibilidad y continuidad inmediata de sus X X
sistemas en lo que se refiere a fallas de hardware,
al no contar con redundancia en sus equipos.
R14 Control inadecuado de cintas de Backus, no se X X
sacan externamente las cintas, solo se almacenan
internamente y solo en una copia sin duplicidad
R15 No existe directriz para el adecuado manejo de X X
dispositivos de almacenamiento
Redes
R9 Acceso no contralado a Internet, no se tienen X X
grupos de acceso ni restricciones a sitios
potencialmente peligrosos.
R10 No hay segmentación adecuada de la red X X
R11 No hay firewall para manejo de acceso de envió de X X
información de interfaces desde fuera de la Red de
la compañía, desde Internet.
Seguridad física
R6 No se cuenta con control físico de verificación de X X
documentos (cheques, formularios de pensiones).

R5 Servidores y estaciones de trabajo sin X X

actualizaciones de seguridad en los sistemas
operativos

R1 No existe directivas de contraseñas para las X X

cuentas de usuario
R3 Falta de controles en la seguridad del sistema X X
informático (sobre usuarios, perfiles, permisos)
R4 No existen contraseñas de acceso a los equipos X X
Documentación
R2 - La visión de la empresa no tiene una fecha límite X X
para su cumplimiento, y está ya se alcanzó.
Personal del área
R7 Acceso no controlado al centro de computo X X
R8 Falta de conocimiento de los usuarios en el manejo X X
de herramientas computacionales y en el manejo de
los sistemas informáticos existentes, no se han
realizado capacitaciones a los usuarios para
concientizarlos sobre la seguridad de los datos.
 PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico

Tabla No.4 Matriz de Clasificación de riesgo

LEVE MODERADO CATASTROFICO

ALTO R3,R11,R12

MEDIO R2 R1,R4,R5,R7,R9,R10 R6,R8,R13

BAJO R14,R15

Tabla No.5 Tratamiento de los riesgos

ID. Riesgo Descripción Riesgo Tratamiento Riesgo

R1 No existe directivas de contraseñas para las cuentas de Transferirlo
usuario
R2 No existen en algunos equipos el sistema operativo Aceptarlo
licenciado.
R3 Falta de controles en la seguridad del sistema informático Controlarlo
(sobre usuarios, perfiles, permisos)
R4 No existen contraseñas de acceso a los equipos Transferirlo
R5 Servidores y estaciones de trabajo sin actualizaciones de Transferirlo
seguridad en los sistemas operativos
R6 No se cuenta con control físico de verificación de Controlarlo
documentos (cheques, formularios de pensiones).
R7 Acceso no controlado al centro de computo Transferirlo
R8 Falta de conocimiento de los usuarios en el manejo de Controlarlo
herramientas computacionales y en el manejo de los
sistemas informáticos existentes, no se han realizado
capacitaciones a los usuarios para concientizarlos sobre la
seguridad de los datos.
R9 Acceso no contralado a Internet, no se tienen grupos de Transferirlo
acceso ni restricciones a sitios potencialmente peligrosos.
R10 No hay segmentación adecuada de la red Transferirlo
R11 No hay firewall para manejo de acceso de envió de Controlarlo
información de interfaces desde fuera de la Red de la
compañía, desde Internet.
R12 No se cuenta con equipos de Contingencias de para sus Controlarlo
sistemas de información principales (DRP)
R13 Disponibilidad y continuidad inmediata de sus sistemas en Controlarlo
lo que se refiere a fallas de hardware, al no contar con
redundancia en sus equipos.
R14 Control inadecuado de cintas de Backus, no se sacan Aceptarlo
externamente las cintas, solo se almacenan internamente
y solo en una copia sin duplicidad.
R15 No existe directriz para el adecuado manejo de Aceptarlo
dispositivos de almacenamiento
Tabla No.6 Tipo de control y soluciones
RIESGOS O HALLAZGOS
ENCONTRADOS
Falta de controles en la
seguridad del sistema
informático (sobre usuarios,
perfiles, permisos)
No se cuenta con control físico
de verificación de documentos
(cheques, formularios de
pensiones).
Falta de conocimiento de los
usuarios en el manejo de
herramientas computacionales
y en el manejo de los sistemas
informáticos existentes, no se
han realizado capacitaciones a
los usuarios para
concientizarlos sobre la
seguridad de los datos.
No hay firewall para manejo de
acceso de envió de
información de interfaces
desde fuera de la Red de la
compañía, desde Internet.
No se cuenta con equipos de
Contingencias de para sus
sistemas de información
principales (DRP)
Disponibilidad y continuidad
inmediata de sus sistemas en
lo que se refiere a fallas de
hardware, al no contar con
redundancia en sus equipos.
Tabla No.7 Hallazgos
Funcionamiento del acceso y seguridad a la red de
PROCESO AUDITADO
datos
TIPO DE SOLUCIONES O CONTROLES
CONTROL
PREVENTIVO/ Elaborar políticas de administración y
CORRECTIVO organización de la información, lo cual se podría
realizar a través de la contratación de un
ingeniero de sistemas con experiencia en
manejo de servidores y seguridad para la
realización de esta labor.
CORRECTIVO Control en el manejo de la información
analizando el alcance que debe tener cada
empleado para poder cumplir con el desarrollo
de sus labores.
CORRECTIVO Capacitar al personal de la organización sobre la
forma de utilizar y optimizar los recursos. Si no
existe la persona indicada en la empresa para
dar la asesoría, se podría contratar con una
entidad externa.
DETECTIVO Almacenar la información de la empresa de
manera automática a través de la programación
de copias en un servidor de respaldo.
PREVENTIVO Elaborar y capacitar al personal sobre planes de
contingencia con el fin de estar preparados en el
momento de un eventual siniestro.
CORRECTIVO Actualización del manual de funciones por parte
de los empleados de la organización.
REF
HALLAZGO 1
HHDN_O1
PÁGINA
1 DE 1
RESPONSABLE Fabio Andrés León

MATERIAL DE SOPORTE COBIT

Definir un plan
Planear y Organizar
DOMINIO PROCESO estratégico de TI
(PO)
(PO1)

DESCRIPCIÓN:

 No existe un grupo encargado de evaluar y estudiar el desempeño de la red de datos en su

acceso y seguridad
 No existen políticas ni procedimientos relacionados con la conformación adecuada de la
arquitectura y del aspecto físico de la red de datos.

Esto es debido a la falta del manual de funciones donde se especifique el personal a cargo de la red
de datos ni los procedimientos que se realizaran por parte de los funcionarios.

REF_PT:

CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)

E_AUDIO/A_CHDN_01

CONSECUENCIAS:

 Al no existir un grupo encargado de evaluar y estudiar los aspectos de seguridad y acceso de

la red de datos se pierde información relacionado con la empresa, libertad para filtrarse
material reservado
 Al no existir políticas ni procedimientos relacionados con la conformación de la arquitectura y
del aspecto físico de la red de datos se pierde la opción de ajustar a las condiciones adecuadas
que necesita la entidad los servicios de red de datos.

RIESGO:

 Probabilidad de ocurrencia: = 100%

 Impacto según relevancia del proceso: Alto

RECOMENDACIONES:

 Conformar un grupo determinado de funcionarios que evalúen y estudien los niveles de

seguridad y acceso de la red de datos, para con ello tomen decisiones oportunas y adecuadas
en la eventualidad presentarse fallas
 Elaborar e implementar políticas y procedimientos relacionados con la conformación de la
arquitectura y del acceso a la red de datos para ajustar los servicios de red a las necesidades
propias que necesite la entidad.
 CONCLUSIONES

COBIT es un modelo o herramienta de buenas prácticas para ser utilizado en los

procesos de auditoría de cualquier organización, por medio de él se pueden gestionar las
tecnologías de la información de una compañía, basados en sus objetivos y procesos
podemos aplicar las diferentes herramientas que sirven de base, para levantar la
información de los procesos a auditar, en el desarrollo de esta actividad se definieron
Matrices con los hallazgos para cada proceso Cobit, matriz de riesgos y planes de acción
para el proceso de Auditoria en la compañía Procesos & Canje.
DS4 Garantizar la Continuidad del Servicio (DS4.2 Planes de continuidad de TI:, DS4.5 Pruebas del plan
de continuidad de TI y DS4.9 )

VULNERABILIDADES ENCONTRADAS

RICARDO RODRIGUEZ SUAREZ

N° Vulnerabilidad Amenazas Riesgo Categoría

No existe directivas de
1 contraseñas para las cuentas de
usuario
Separación de ambientes de las
2 aplicaciones, test, desarrollo y
producción
Falta de controles en la seguridad
3 del sistema informático (sobre
usuarios, perfiles, permisos)
No existen contraseñas de acceso
4
a los equipos
Servidores y estaciones de trabajo
5 sin actualizaciones de seguridad
en los sistemas operativos
No se cuenta con control físico de
verificación de documentos
6 parte de todos los
(cheques, formularios de
pensiones).
Acceso no controlado al centro de
7 control de
computo
Falta de conocimiento de los
usuarios en el manejo de
herramientas computacionales y
en el manejo de los sistemas
8 aplicaciones, uso indebido de
informáticos existentes, no se han
los sistemas de información
realizado capacitaciones a los
usuarios para concientizarlos
sobre la seguridad de los datos.
No existe proceso de Seguridad
Accesos no autorizados
revisión de contraseñas lógica
Modificación no
autorizada de
información, o retrasos
Perdida de información,
en la operación, por Seguridad
segregación de funciones
actualizaciones no lógica
indebida
probadas y/o
desarrolladas
debidamente.
Ataques de intromisión e
Capacidad para modificar, ingeniería social y robo o
cambiar o eliminar la eliminación de Seguridad
configuración del S.O y información Falta de lógica
Aplicaciones Sistema Detección de
Intrusiones
Control de acceso. Cambio,
modificación o robo de Corromper datos, Seguridad
información de los archivos archivos y hasta el S.O. lógica
en la computadora
Mal funcionamiento de los
Perdida, modificación y
equipos y errores de Software
robo de información
procesamiento.
Manipulación física por
cambio de los documentos
Seguridad física
físicos
funcionarios.
Ingreso no autorizado de Daño en los equipos,
Manejo y
personal al centro de indisponibilidad de algún
cómputo. Acceso físico a los sistema, perdida de
personal
recursos del sistema información
El personal no cuenta con
las actitudes y aptitudes
Errores de usuario, daño
requeridas para hacer uso
accidental de equipos y Manejo y
de la información por
control de
medio de los sistemas de
personal
información, perdida de
de la compañía
información, retraso en
los procesos.
 Daño en los equipos,
Acceso no contralado a Internet,
Ingeniería social y uso indisponibilidad de algún
no se tienen grupos de acceso ni
9 indebido de los sistemas de sistema, perdida de Seguridad Red
restricciones a sitios
información. información por causa de
potencialmente peligrosos.
virus
Los usuarios finales pueden Acceso indebido a la
No hay segmentación adecuada de ver en su red los servidores información, pérdida y
10 Seguridad Red
la red de aplicaciones y Bases de robo de información
Datos confidencial.
Acceso indebido a la Red de
No hay firewall para manejo de la compañía desde fuera de Acceso indebido a la
acceso de envió de información de la red corporativa. Pertas información, pérdida y
11 Seguridad Red
interfaces desde fuera de la Red traseras asequibles, fallas en robo de información
de la compañía, desde Internet. la instalación de accesorios confidencial.
de comunicación
No contar con equipos de No tener continuidad de la
Contingencias de para sus operación, ante desastres Perdida de información y
12 Hardware
sistemas de información naturales o eventualidades clientes
principales (DRP) locales de orden público.
Disponibilidad y continuidad
Caídas de servidores, donde Perdida de información y
inmediata de sus sistemas en lo
la recuperación lleve más de Dinero por el retraso en
13 que se refiere a fallas de Hardware
4 horas o pasen días antes de el procesamiento de
hardware, al no contar con
recuperarse. información
redundancia en sus equipos.
Control inadecuado de cintas de
backups, no se sacan Perdida de información,
No poder restaurar
14 externamente las cintas, solo se debida a daño de las Hardware
información
almacenan internamente y solo en cintas de backups.
una copia sin duplicidad.
No existe directriz para el Introducción de información Alteración o pérdida de la
15 adecuado manejo de dispositivos falsa, virus, troyanos, información registrada en Hardware
de almacenamiento información corrupta base de datos o equipos

Dentro de las vulnerabilidades y riesgos encontrados, para aplicar el análisis y estudio de los controles
COBIT seleccionados se trabajara sobre las siguientes vulnerabilidades:

N° Vulnerabilidad Amenazas Riesgo Categoría

No contar con equipos de
Contingencias de para sus
12
sistemas de información
principales (DRP)
Disponibilidad y continuidad
inmediata de sus sistemas en
13 lo que se refiere a fallas de
hardware, al no contar con
redundancia en sus equipos.
Control inadecuado de cintas
de backups, no se sacan
externamente las cintas, solo
14
se almacenan internamente y
solo en una copia sin
duplicidad.
No tener continuidad de la operación,
ante desastres naturales o
eventualidades locales de orden
público.
Caídas de servidores, donde la
recuperación lleve más de 4 horas o
pasen días antes de recuperarse.
No poder restaurar información
Perdida de información y
Hardware
clientes
Perdida de información y Dinero
por el retraso en el Hardware
procesamiento de información
Perdida de información, debida a
Hardware
daño de las cintas de backups.
 ANALISIS Y EVALUACIÓN DE RIESGOS

N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Crítico
R1 No contar con planes de X X
continuidad del negocio.
R2 No contar con X X
documentación de planes
de continuidad del
negocio.
R3 No tener implementado un X X
DRP (Disaster Recovery
Plan)
R4 No contar con inventario X X
de hardware y software de
equipos críticos
R5 No Contar con contratos X X
de Soporte de hardware y
Soporte de aplicaciones
críticas del negocio.
R6 No capacitar a los X X
usuarios en los planes de
continuidad del negocio.
R7 No contar con sistemas de X X
redundancia de hardware
de equipos críticos.

RESULTADO MATRIZ DE RIESGOS PARA CONTINUIDAD DE LA OPERACIÓN

 Alto R1 R3,R5

PROBABILIDAD
61-100%
Medio
31-60% R2,R7

Bajo
R4,R6
0-30%
Leve Moderado Crítico

IMPACTO

Menor impacto o probabilidad de ocurrencia

Probabilidad y ocurrencia media

Alta probabilidad de ocurrencia

ANALISIS Y EVALUACIÓN DE RIESGOS

N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Crítico
R1 No contar con X X
redundancia de hardware
en los equipos que alojan
las aplicaciones críticas
del negocio.
R2 No contar con contratos de X X
soporte de hardware y
software de los equipos
que alojan las
aplicaciones críticas.
R3 No contar con planes de X X
refresh tecnológico de los
equipos que alojan las
aplicaciones.
R4 No contar con inventario X X
de hardware y software de
equipos críticos
R5 No contar son sistemas de X X
monitoreo de los equipos
que alojan las
aplicaciones críticas.
R6 No tener procedimientos X X
debidamente
documentados de que
hacer en caso de fallas de
hardware y software de los
equipos que alojan las
aplicaciones críticas.
R7 No contar con SLA X X
adecuados de soporte de
hardware y software de los
equipos que alojan las
aplicaciones críticas.
R8 No contar con planes de X X
mantenimiento correctivo
y preventivo de los
equipos que alojan las
aplicaciones críticas

RESULTADO MATRIZ DE RIESGOS PARA DISPONIBILIDAD DE CONTINUIDAD

INMEDIATA

Alto R2 R1,R5
PROBABILIDAD

61-100%
Medio
31-60% R4 R3,R7,R8

Bajo
R6
0-30%
Leve Moderado Crítico

IMPACTO

Menor impacto o probabilidad de ocurrencia

Probabilidad y ocurrencia media

Alta probabilidad de ocurrencia

 ANALISIS Y EVALUACIÓN DE RIESGOS

N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Crítico
R1 No contar con proveedor X X
de almacenamiento de
cintas de backps externo
R2 No contar con contratos de X X
transporte y
almacenamiento de cintas
de backups externas.
R3 No contar con inventario X X
adecuado de medios de
backup.
R4 No contar con control de X X
planillas de envío y
recepción de cintas desde
y hacia el proveedor
externo.
R5 No contar con los sistemas X X
de monitoreo de log de
envío de cintas hacía el
proveedor externo de
almacenamiento.
R6 No tener procedimientos X X
debidamente
documentados de envío y
recepción de cintas hacia
y desde el proveedor de
almacenamiento externo.
R7 No contar con SLA X X
adecuados de envío y
recepción de cintas con el
proveedor de
almacenamiento externo.
R8 No tener la capacitación X X
adecuada para el manejo
y control de envío de
cintas hacía el proveedor
de almacenamiento
externo.

RESULTADO MATRIZ DE RIESGOS PARA ENVÍO EXTERNO DE CINTAS DE BACKUP

 Alto R1
61-100%
PROBABILIDAD

Medio
31-60% R3 R2,R5,R7,R8

Bajo
R6 R4
0-30%

Leve Moderado Crítico

IMPACTO

VALORACION DE RIESGOS
DRP y Backups (Almacenamiento Externo)

Continuidad de La operación, en la parte de DRP El Jefe de Sistemas:

PROBABILIDAD IMPACTO
RIESGOS/VALORACION A M B L M C
Documentación

R1 No contar con planes de continuidad del X X

negocio
R2 No contar con documentación de planes de X X
continuidad del negocio.
R3 No tener implementado un DRP (Disaster X X
Recovery Plan)
R4 No Contar con contratos de Soporte de X X
hardware y Soporte de aplicaciones críticas del
negocio.
Capacitación del personal

R5 No capacitar a los usuarios en los planes de X X

continuidad del negocio.
Hardware

R6 No contar con sistemas de redundancia de X X

hardware de equipos críticos.
R7 No contar con inventario de hardware y X X
software de equipos críticos

PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico
Tabla 2 Matriz de Clasificación de riesgo

LEVE MODERADO CATASTROFICO

ALTO R1 R3-R4

MEDIO R2-R6
BAJO R5 R7

TRATAMIENTO DEL RIESGO

ID. Riesgo Descripción Riesgo Tratamiento Riesgo

R1 No contar con planes de continuidad del CONTROLARLO
negocio
R2 No contar con documentación de planes de CONTROLARLO
continuidad del negocio.
R3 No tener implementado un DRP (Disaster TRASFERIRLO
Recovery Plan)
R4 No Contar con contratos de Soporte de CONTROLARLO
hardware y Soporte de aplicaciones críticas del
negocio.
R5 No capacitar a los usuarios en los planes de ACEPTARLO
continuidad del negocio.
R6 No contar con sistemas de redundancia de CONTROLARLO
hardware de equipos críticos.
R7 No contar con inventario de hardware y ACEPTARLO
software de equipos críticos

CONTROLES PROPUESTOS

RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES

ENCONTRADOS CONTROL
No contar con planes de CORRECTIVO Elaborar con el negocio y las diferentes áreas
continuidad del negocio involucradas, una política para la
implementación de los planes de continuidad
del negocio, donde se evidencia los pasos y
personas responsables de activar esos planes.
No contar con PREVENTIVO Elaborar la documentación necesaria, mediante
documentación de planes el levantamiento de información con las áreas
de continuidad del negocio. involucradas, donde se evidencia claramente,
los planes del DRP y su puesta en marcha, estos
documentos deben estar en formato
electrónico y debidamente autorizado por la
gerencia de tecnología.
No Contar con contratos de CORRECTIVO Elaborar una política de SLA con contratos de
Soporte de hardware y Soporte con los proveedores de hardware de
 Soporte de aplicaciones
críticas del negocio.
No contar con sistemas de CORRECTIVO
redundancia de hardware
de equipos críticos.
las aplicaciones del negocio, apoyas con el área
legal de la compañía, estos contratos deben
estar avalados por la dirección de tecnología y
financiera, se deben guardar los contratos en
formato electrónico y tener control de su
vencimiento para la renovación.
Adquirir en corto tiempo la infraestructura
necesaria, para la implementación de la
redundancia de los equipos de cómputo, de las
aplicaciones críticas del negocio y su
correspondiente puesta a punto, se debe
validar periódicamente su correcto
funcionamiento.

VALORACION DE RIESGOS

DRP y Backups (Almacenamiento Externo)

Disponibilidad de continuidad inmediata, redundancia de Equipos Principales,

Coordinador de Sistemas:

PROBABILIDAD IMPACTO
RIESGOS/VALORACION A M B L M C
Documentación

R1 No contar con planes de refresh tecnológico de X X

los equipos que alojan las aplicaciones.
R2 No contar con inventario de hardware y X X
software de equipos críticos
R3 No contar son sistemas de monitoreo de los X X
equipos que alojan las aplicaciones críticas.
R4 No tener procedimientos debidamente X X
documentados de que hacer en caso de fallas
de hardware y software de los equipos que
alojan las aplicaciones críticas.
Capacitación del personal

R5 No capacitar a los usuarios en los planes de X X

continuidad del negocio.
Hardware

R6 No contar con planes de mantenimiento X X

correctivo y preventivo de los equipos que
alojan las aplicaciones críticas

Tabla 2 Matriz de Clasificación de riesgo

 LEVE MODERADO CATASTROFICO

ALTO R3

MEDIO R2 – R4 – R5 R1 – R6
BAJO

TRATAMIENTO DEL RIESGO

ID. Riesgo Descripción Riesgo Tratamiento Riesgo

R1 No contar con planes de refresh tecnológico de CONTROLARLO
los equipos que alojan las aplicaciones.
R2 No contar con inventario de hardware y ACEPTARLO
software de equipos críticos
R3 No contar son sistemas de monitoreo de los CONTROLADO
equipos que alojan las aplicaciones críticas.
R4 No tener procedimientos debidamente ACEPTARLO
documentados de que hacer en caso de fallas
de hardware y software de los equipos que
alojan las aplicaciones críticas.
R5 No capacitar a los usuarios en los planes de ACEPTARLO
continuidad del negocio
R6 No contar con planes de mantenimiento TRASFERIRLO
correctivo y preventivo de los equipos que
alojan las aplicaciones críticas

CONTROLES PROPUESTOS

RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES

ENCONTRADOS CONTROL
No contar son sistemas de CORRECTIVO
monitoreo de los equipos
que alojan las aplicaciones
críticas.
No contar con planes de PREVENTIVO
refresh tecnológico de los
Implementar, los sistemas de hardware y
software necesarios, para el monitoreo de los
equipos que alojen las aplicaciones críticas del
negocio, implementando las alarmas
necesarias, que permitan prevenir posibles
fallas o reaccionar a tiempo para que la
operación no se detenga o se detenga lo menos
posible mientras se soluciona los problemas
reportados por las alarmas.
Elaborar desde la gerencias de tecnología una
política de renovación tecnológica de los
equipos de cómputo, que están involucrados
 equipos que alojan las
aplicaciones.
No contar con planes de PREVENTIVO
mantenimiento correctivo y
preventivo de los equipos
que alojan las aplicaciones
críticas
con las aplicaciones críticas del negocio y su
posterior implementación en el corto tiempo,
se debe evidenciar con los contratos o facturas
de los proveedores, adicional se debe tener un
inventario de obsolescencia tecnológica de esos
equipos.
Elaborar una política de mantenimiento
preventivo y correctivo de los equipos que
alojan las aplicaciones críticas del negocio,
llevando un cronograma que se acuerda con los
dueños de las aplicaciones y el negocio, se
evidencia con los contractos que se realicen con
terceros y las planillas de ejecución del
mantenimiento.

VALORACION DE RIESGOS

DRP y Backups (Almacenamiento Externo)

Envío externo de cintas de backup, Coordiandor de Sistemas.

PROBABILIDAD IMPACTO
RIESGOS/VALORACION A M B L M C
Documentación

R1 No contar con proveedor de almacenamiento X X

de cintas de backps externo
R2 No contar con contratos de transporte y X X
almacenamiento de cintas de backups
externas.
R3 No contar con inventario adecuado de medios X X
de backup.
R4 No contar con control de planillas de envío y X X
recepción de cintas desde y hacia el proveedor
externo.
R5 No tener procedimientos debidamente X X
documentados de envío y recepción de cintas
hacia y desde el proveedor de almacenamiento
externo.
Capacitación del personal

R6 No contar con los sistemas de monitoreo de log X X

de envío de cintas hacía el proveedor externo
de almacenamiento..
 R7 No tener la capacitación adecuada para el X X
manejo y control de envío de cintas hacía el
proveedor de almacenamiento externo
Niveles de Servicio

R8 No contar con SLA adecuados de envío y X X

recepción de cintas con el proveedor de
almacenamiento externo.
.

Tabla 2 Matriz de Clasificación de riesgo

LEVE MODERADO CATASTROFICO

ALTO R4 R1

MEDIO R3-R5 R2-R6-R7-R8

BAJO

TRATAMIENTO DEL RIESGO

ID. Riesgo Descripción Riesgo Tratamiento Riesgo

R1 No contar con proveedor de almacenamiento TRASFERIRLO
de cintas de backps externo
R2 No contar con contratos de transporte y CONTROLARLO
almacenamiento de cintas de backups
externas.
R3 No contar con inventario adecuado de medios ACEPTARLO
de backup.
R4 No contar con control de planillas de envío y CONTROLARLO
recepción de cintas desde y hacia el proveedor
externo.
R5 No tener procedimientos debidamente ACEPTARLO
documentados de envío y recepción de cintas
hacia y desde el proveedor de almacenamiento
externo.
R6 No contar con los sistemas de monitoreo de CONTROLARLO
log de envío de cintas hacía el proveedor
externo de almacenamiento.
R7 No tener la capacitación adecuada para el CONTROLARLO
manejo y control de envío de cintas hacía el
proveedor de almacenamiento externo
R8 No contar con SLA adecuados de envío y
recepción de cintas con el proveedor de
almacenamiento externo.
 CONTROLES PROPUESTOS

RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES

ENCONTRADOS CONTROL
No contar con proveedor de PREVENTIVO
almacenamiento de cintas
de backps externo
No contar con contratos de CORRECTIVO
transporte y almacenamiento de medios con un proveedor
almacenamiento de cintas
de backups externas
No contar con control de PREVENTIVO
planillas de envío y
recepción de cintas desde y
hacia el proveedor externo.
No contar con los sistemas CORRECTIVO
de monitoreo de log de
envío de cintas hacía el
proveedor externo de
almacenamiento.
No tener la capacitación PREVENTIVO
adecuada para el manejo y
control de envío de cintas
hacía el proveedor de
almacenamiento externo
No contar con SLA CORRECTIVO
adecuados de envío y
recepción de cintas con el
proveedor de
almacenamiento externo.
Elaborar una política de almacenamiento
externo de cintras de backups, documentando
los procedimientos de manera clara y los
responsable, se debe evidenciar con la
aprobación del director de tecnología y su
almacenamiento en medio electrónico.
Tener un contrato de transporte y
externos apoyados con la dirección de
tecnología y el departamento legal, se debe
evidenciar con la copia en electrónico del
contrato y el control de su vencimiento.
Elaborar procedimiento de control de envío de
planillas hacía el proveedor externo, se debe
evidenciar con un kardex y almacenamiento de
las planillas el cual se deberá cruzar vs el
inventario del proveedor de almacenamiento
ecterno.
Implementar en el software de backup, el log
que permita llevar un control electrónico
adecuado del envío y recepción de las cintas, se
debe evidenciar con el almacenamiento de los
log por Mes.
Elaborar los procedimientos adecuados para el
manejo y control de envío de las cintas al
proveedor externo, esto se debe evidenciar con
una certificación que deberá ser expedida para
los usuarios que tengan a su cargo este proceso.
Definir en conjunto entre la gerencia de
tecnología, los adecuados niveles de servicio
para el trasnporte y envío de medios, esto debe
ser evidente en otro sí al contrato principal con
el proveedor externo.

REFERENCIAS
 Falconí, Ó. (2006). Auditoría y las Normas de Auditoría Generalmente Aceptadas.
(Spanish). Contabilidad Y Negocios, 1(2), 16-20. Extraído de
http://datateca.unad.edu.co/contenidos/90168/U1_NORMAS_DE_AUDITORIA.pdf

 Modulo Auditoria de
sistemashttp://datateca.unad.edu.co/contenidos/90168/ASPECTOS_GENERALES_DE_
AUDITORIA_GGGG.pdf

 Álvarez, M., & Rivera, Z. (2006). La auditoría como proceso de control: concepto y
tipología. (Spanish). Ciencias De La Información, 37(2/3), 53-
59.http://datateca.unad.edu.co/contenidos/90168/U1_Concepto_auditoria.pdf