Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Presentado por:
Grupo 301569_4
Presentado a
Sara carolina Igua muñoz
Geovanni Catalán
Objetivo General
Ejecutar los planes de acción definidos en la fase anterior para la empresa Procesos &
Canje S.A mitigando las amenazas y riegos hallados.
Objetivos específicos
ALTO R10-R11-R12
MEDIO R4-R9 R8-R13
BAJO R15
Falta de conocimiento de
los usuarios en el manejo Dictar charlas y capacitación a los usuarios acerca del
R8 de herramientas uso correcto de la información y los medios seguros
computacionales y en el para su trasmisión.
manejo de los sistemas
informáticos existentes, no PREVENTIVO
se han realizado
capacitaciones a los
usuarios para
concientizarlos sobre la
seguridad de los datos.
Acceso no contralado a Controlar el acceso a internet o a aquellas páginas no
Internet, no se tienen autorizadas por la organización.
R9 grupos de acceso ni CORRECTIVO
restricciones a sitios
potencialmente peligrosos.
No existe directriz para el Establecer políticas de seguridad y controles que
R15 adecuado manejo de CORRECTIVO permitan sustraer información a través de medios
dispositivos de magnéticos, solo a personal autorizado.
almacenamiento
(NESTOR AUGUSTO TOCANCIPA) VALORACION DE RIESGOS
PROBABILIDAD IMPACTO
RIESGOS/VALORACION A M B L M C
Seguridad Lógica
Software
ALTO R14 R3
MEDIO R9 R1, R5, R13, R7
BAJO R8
REF
HALLAZGO
001
PÁGINA
DS7 Educar y entrenar a los usuarios y DS12 Administración del
PROCESO AUDITADO
ambiente físico
1 DE 1
CobIT
DS7 Educar y Entrenar a los Usuarios: se requiere identificar las necesidades de entrenamiento de
los usuarios, definir y ejecutar la estrategia de entrenamiento y medir sus resultados.
MATERIAL DE SOPORTE
DS12 Administración del Ambiente Físico: definición de los requerimientos físicos del centro de
datos, selección y diseño de proceso para monitorear factores ambientales y administrar el acceso
físico.
DESCRIPCIÓN:
Se evidencia falta de planeación en aspectos formativos, así como en la distribución de los espacios requeridos para el
adecuado funcionamiento del Centro de Cómputo. Es necesario tomar medidas para restringir el acceso al Centro de
Cómputo, a personal no autorizado y así evitar los riesgos descritos; se requiere mejorar la disposición de archivo, evitando la
aglomeración de cajas en puestos de trabajo y pasillos.
REF_PT:
RIESGO:
Probabilidad de ocurrencia=50%
Probabilidad de ocurrencia=50%
R1-El personal no cuenta con la aptitud y actitud requerida, para hacer uso de la información por medio de los sistemas de
información
Probabilidad de ocurrencia=20%
RECOMENDACIONES:
Desarrollar un plan de capacitación a bajo coste que permita atender los hallazgos y minimizar los riesgos.
Presupuestas a mediano plazo la ampliación del Centro de cómputo o en su defecto realizar las inversiones necesarias
para mejorar las condiciones ambientales, especialmente en lo relacionado con el sistema de ventilación del área.
Implementas medidas de control de acceso al área, las cuales pueden darse a bajo costo y en el corto plazo.
Exigir el cumplimiento de los procesos en Gestión Documental, descritos en las políticas inherentes al tema.
(FABIO LEON) VALORACIÓN DE RIESGOS
PROBABILIDAD IMPACTO
RIESGOS/VALORACION
A M B L M C
Hardware
R12 No se cuenta con equipos de Contingencias de para X X
sus sistemas de información principales (DRP
R13 Disponibilidad y continuidad inmediata de sus X X
sistemas en lo que se refiere a fallas de hardware,
al no contar con redundancia en sus equipos.
R14 Control inadecuado de cintas de Backus, no se X X
sacan externamente las cintas, solo se almacenan
internamente y solo en una copia sin duplicidad
R15 No existe directriz para el adecuado manejo de X X
dispositivos de almacenamiento
Redes
R9 Acceso no contralado a Internet, no se tienen X X
grupos de acceso ni restricciones a sitios
potencialmente peligrosos.
R10 No hay segmentación adecuada de la red X X
R11 No hay firewall para manejo de acceso de envió de X X
información de interfaces desde fuera de la Red de
la compañía, desde Internet.
Seguridad física
R6 No se cuenta con control físico de verificación de X X
documentos (cheques, formularios de pensiones).
ALTO R3,R11,R12
REF
HALLAZGO 1
HHDN_O1
PÁGINA
Funcionamiento del acceso y seguridad a la red de
PROCESO AUDITADO
datos
1 DE 1
RESPONSABLE Fabio Andrés León
Definir un plan
Planear y Organizar
DOMINIO PROCESO estratégico de TI
(PO)
(PO1)
DESCRIPCIÓN:
Esto es debido a la falta del manual de funciones donde se especifique el personal a cargo de la red
de datos ni los procedimientos que se realizaran por parte de los funcionarios.
REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
RIESGO:
RECOMENDACIONES:
VULNERABILIDADES ENCONTRADAS
No existe directivas de
No existe proceso de Seguridad
1 contraseñas para las cuentas de Accesos no autorizados
revisión de contraseñas lógica
usuario
Modificación no
autorizada de
información, o retrasos
Separación de ambientes de las Perdida de información,
en la operación, por Seguridad
2 aplicaciones, test, desarrollo y segregación de funciones
actualizaciones no lógica
producción indebida
probadas y/o
desarrolladas
debidamente.
Ataques de intromisión e
Capacidad para modificar, ingeniería social y robo o
Falta de controles en la seguridad
cambiar o eliminar la eliminación de Seguridad
3 del sistema informático (sobre
configuración del S.O y información Falta de lógica
usuarios, perfiles, permisos)
Aplicaciones Sistema Detección de
Intrusiones
Control de acceso. Cambio,
No existen contraseñas de acceso modificación o robo de Corromper datos, Seguridad
4
a los equipos información de los archivos archivos y hasta el S.O. lógica
en la computadora
Servidores y estaciones de trabajo Mal funcionamiento de los
Perdida, modificación y
5 sin actualizaciones de seguridad equipos y errores de Software
robo de información
en los sistemas operativos procesamiento.
No se cuenta con control físico de
Manipulación física por
verificación de documentos cambio de los documentos
6 parte de todos los Seguridad física
(cheques, formularios de físicos
funcionarios.
pensiones).
Ingreso no autorizado de Daño en los equipos,
Manejo y
Acceso no controlado al centro de personal al centro de indisponibilidad de algún
7 control de
computo cómputo. Acceso físico a los sistema, perdida de
personal
recursos del sistema información
Falta de conocimiento de los El personal no cuenta con
usuarios en el manejo de las actitudes y aptitudes
Errores de usuario, daño
herramientas computacionales y requeridas para hacer uso
accidental de equipos y Manejo y
en el manejo de los sistemas de la información por
8 aplicaciones, uso indebido de control de
informáticos existentes, no se han medio de los sistemas de
los sistemas de información personal
realizado capacitaciones a los información, perdida de
de la compañía
usuarios para concientizarlos información, retraso en
sobre la seguridad de los datos. los procesos.
Daño en los equipos,
Acceso no contralado a Internet,
Ingeniería social y uso indisponibilidad de algún
no se tienen grupos de acceso ni
9 indebido de los sistemas de sistema, perdida de Seguridad Red
restricciones a sitios
información. información por causa de
potencialmente peligrosos.
virus
Los usuarios finales pueden Acceso indebido a la
No hay segmentación adecuada de ver en su red los servidores información, pérdida y
10 Seguridad Red
la red de aplicaciones y Bases de robo de información
Datos confidencial.
Acceso indebido a la Red de
No hay firewall para manejo de la compañía desde fuera de Acceso indebido a la
acceso de envió de información de la red corporativa. Pertas información, pérdida y
11 Seguridad Red
interfaces desde fuera de la Red traseras asequibles, fallas en robo de información
de la compañía, desde Internet. la instalación de accesorios confidencial.
de comunicación
No contar con equipos de No tener continuidad de la
Contingencias de para sus operación, ante desastres Perdida de información y
12 Hardware
sistemas de información naturales o eventualidades clientes
principales (DRP) locales de orden público.
Disponibilidad y continuidad
Caídas de servidores, donde Perdida de información y
inmediata de sus sistemas en lo
la recuperación lleve más de Dinero por el retraso en
13 que se refiere a fallas de Hardware
4 horas o pasen días antes de el procesamiento de
hardware, al no contar con
recuperarse. información
redundancia en sus equipos.
Control inadecuado de cintas de
backups, no se sacan Perdida de información,
No poder restaurar
14 externamente las cintas, solo se debida a daño de las Hardware
información
almacenan internamente y solo en cintas de backups.
una copia sin duplicidad.
No existe directriz para el Introducción de información Alteración o pérdida de la
15 adecuado manejo de dispositivos falsa, virus, troyanos, información registrada en Hardware
de almacenamiento información corrupta base de datos o equipos
Dentro de las vulnerabilidades y riesgos encontrados, para aplicar el análisis y estudio de los controles
COBIT seleccionados se trabajara sobre las siguientes vulnerabilidades:
PROBABILIDAD
61-100%
Medio
31-60% R2,R7
Bajo
R4,R6
0-30%
Leve Moderado Crítico
IMPACTO
Alto R2 R1,R5
PROBABILIDAD
61-100%
Medio
31-60% R4 R3,R7,R8
Bajo
R6
0-30%
Leve Moderado Crítico
IMPACTO
Medio
31-60% R3 R2,R5,R7,R8
Bajo
R6 R4
0-30%
IMPACTO
VALORACION DE RIESGOS
DRP y Backups (Almacenamiento Externo)
PROBABILIDAD IMPACTO
RIESGOS/VALORACION A M B L M C
Documentación
PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico
Tabla 2 Matriz de Clasificación de riesgo
ALTO R1 R3-R4
MEDIO R2-R6
BAJO R5 R7
CONTROLES PROPUESTOS
VALORACION DE RIESGOS
PROBABILIDAD IMPACTO
RIESGOS/VALORACION A M B L M C
Documentación
ALTO R3
MEDIO R2 – R4 – R5 R1 – R6
BAJO
CONTROLES PROPUESTOS
VALORACION DE RIESGOS
PROBABILIDAD IMPACTO
RIESGOS/VALORACION A M B L M C
Documentación
ALTO R4 R1
BAJO
REFERENCIAS
Falconí, Ó. (2006). Auditoría y las Normas de Auditoría Generalmente Aceptadas.
(Spanish). Contabilidad Y Negocios, 1(2), 16-20. Extraído de
http://datateca.unad.edu.co/contenidos/90168/U1_NORMAS_DE_AUDITORIA.pdf
Modulo Auditoria de
sistemashttp://datateca.unad.edu.co/contenidos/90168/ASPECTOS_GENERALES_DE_
AUDITORIA_GGGG.pdf
Álvarez, M., & Rivera, Z. (2006). La auditoría como proceso de control: concepto y
tipología. (Spanish). Ciencias De La Información, 37(2/3), 53-
59.http://datateca.unad.edu.co/contenidos/90168/U1_Concepto_auditoria.pdf