Trabajo Colaborativo 3 

(Grupal) 

Presenta: 

Francisco Javier Cortes – 80.228.157 

Omar Efrén Rodríguez ­ 80.741.017 

Jeisson Suarez ­ 80.857.894 

Jorge Eduardo Aguilera ­ 80.817.227 

Grupo: 90168A_288 

Bogotá D.C. 2016  

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA 

 
  
INTRODUCCIÓN 

Este  documento  da  conocer  los  procesos  de  Auditoría  por medio de Hallazgos y Riesgos 

en  el  cual  nos  lleva  a  tener  los  procesos del Área de TI  de la Institución de Copesal, con 

el fin de tener el desarrollo de los procesos Cobit. 

En  el  contenido  del  presente  trabajo  encontraremos  análisis y validaciones de la empresa 

que  escogimos  para  auditar,  revisaremos  sus  vulnerabilidades,  riesgos  y  amenazas, 

realizaremos  cuadros  de  hallazgos,  valoraciones  y  soluciones  a   los  problemas 

encontrados  y  planteamientos  para  cubrir  las  necesidades  que  actualmente  presenta  la 

empresa Copesal.  

 
  
OBJETIVOS 

● Desarrollar con claridad de  los Hallazgos y la lista de chequeos 

● Tener la valoración de los Riesgos vistos. 
  ​

● Analizar la Probabilidad y el Impacto de Cada Riesgo. 

● Clasificación de la Matriz de Riesgos. 
 ​

 
  
DESARROLLO 

Guia de trabajo 

http://campus06.unad.edu.co/ecbti05/pluginfile.php/1185/mod_forum/intro/Gu%C3

%ADa%20de%20Actividades%20TC3%20Auditoria%202016%20I.pdf 

Desarrollo 

Listas de preguntas de chequeo (Francisco Cortes) 

Dominio/  Pregunta de Chequeo  Si  No 

Objetivos de 
control 

Dominio: Planear  PO2.1: Cuenta el colegio     
y Organizar  con diagramas de red y/o 
Objetivos de  algún mecanismo de 
Control  inventario de componentes 
PO2. Definir la  (diagramas físico y lógico, 
Arquitectura de la  listado de componentes de 
Información  red, estaciones de trabajo y 
PO2.1 Modelo de  servidores, lista de 
Arquitectura de  sistemas operativos, 
Información  versión por 
Empresarial  estación/servidor y listado 
El Instituto Copesal  de software y versiones por 
mantiene una  estación de 

 
  

arquitectura básica  trabajo/servidor? 
del área física de la   
institución pero es 
requerido construir 
un modelo que 
explique la 
arquitectura de los 
componentes 
virtuales y los 
servicios fuera de la 
institución que 
posibilitan el 
desarrollo de 
actividades 
académicas y de 
control/gestión  
 

Dominio:  A1.10: Existen funciones     
Adquirir e  definidas, horario de 
Implementar  mantenimiento, 
Objetivo de  procedimientos 
control:  estandarizados para el 
AI1. Identificar  desarrollo de 
soluciones  actualizaciones del 
automatizadas  software con el cual 
AI2.10  trabajan las estaciones de 
Mantenimiento de  trabajo y los servidores 
Software  prestando servicios 
Aplicativo  informáticos al personal 
El instituto copesal  del colegio? 
cuenta con   
diferentes piezas de 
software las cuales 
es requerido 
mantener y 
actualizar en busca 
de garantizar su 
funcionamiento 
seguro. Es 
necesario que 
dentro del manual 
de funciones para el 
área IT se define el 

 
  

software usado y se 
den lineamientos, 
horarios y 
responsabilidades 
para el desarrollo 
de tareas de 
manutención del 
software de 
aplicación si el 
colegio es el 
responsable de este 
software o 
mantiene la 
infraestructura 
sobre la cual este 
trabaja. 
 

Dominio:  DS5.4: Existe     
Entregar y Dar  documentación de algún 
Soporte  proceso estandarizado que 
Objetivo de  indique la forma en la cual 
Control:   se debe desarrollar un 
DS5 Garantizar la  proceso de creación de 
seguridad de los  cuentas y asignación de 
sistemas  privilegios a los diferentes 
  sistemas informáticos para 
DS5.4  los diferentes tipos de 
Administración de  usuarios existentes dentro 
Cuentas del  de la comunidad 
Usuario  educativa? 
El colegio cuenta 
con procedimientos 
no estandarizados y 
no garantizados 
para el desarrollo 
de esta tareas en 
donde solo un 
individuo es 
responsable. Es 
necesario asegurar 
la continuidad de la 
administración de 
cuentas incluso 

 
  

cuando el único 
responsable no se 
encuentra 
disponible para 
atender las estos los 
requerimientos de 
acceso a las 
diferentes sistemas 
de información. 

Dominio:  DS11.5: Existe     
Entregar y Dar  actualmente algún 
Soporte  mecanismo automático y/o 
Objetivo de  manual que permita la 
Control:  gestión de backups de 
DS11.  documentos y que opere 
Administrar los  dentro de cada uno de los 
datos  sistemas de información 
DS11.5 Respaldo y  con los cuales trabaja la 
Restauración  institución? 
El instituto no 
cuenta con un 
sistema físico para 
respaldar y 
restaurar datos en 
los sistemas de 
cómputo dentro de 
la institución. Pero 
si cuenta con esta 
herramienta 
implementada por 
defecto en los 
sistemas de 
información 
virtuales (google 
apps). Políticas de 
uso deben ser 
definidas para 
asegurar que la 
información crítica 
de un usuario sea 
mantenida en los 
sistemas virtuales 

 
  

Dominio:  DS12.4: Existen procesos,     
Entregar y Dar  herramientas y/o algún 
Soporte  mecanismo de control 
Objetivo de  (manual o automático) que 
Control:  permite actualmente 
DS12.  contrarrestar factores 
Administrar el  ambientales 
ambiente físico  (principalmente polvo y 
DS12.4 Protección  temperaturas ambientales 
Contra Factores  altas) para salvaguardar 
Ambientales  uno y cada uno de los 
Medidas de control  componentes de trabajo 
todavía están  (estaciones de trabajo y 
pendientes de ser  servidores) al igual que 
implementadas para  componentes de red 
atender las  (firewall, switches, 
amenazas de polvo  routers)?  
en los sistemas de 
cómputo y redes 
que componen el 
ambiente físico de 
la institución. 
 

La lista continúa en un formato diferente 

LISTA DE CHEQUEO 

REFERENCIA P/T: F­CHK 01 

FECHA: 13  de Mayo de 2016 

REALIZADO POR: Jeison Suarez 

PROCESO EVALUADO: PO1. Definir un Plan Estratégico de TI 

PO2. Definir la Arquitectura de la Información 

 
  

PO3. Determinar la Dirección Tecnológica 

DESCRIPCIÓN CONTROLES EXISTENTES EN EL PROCESO  SI  NO 

La empresa tiene definido un plan estratégico?    x  

Se conocen los métodos de contingencia del plan?    x    

La arquitectura de la información es la adecuada?    x    

Se conoce la dirección tecnológica?    x    

LISTA DE CHEQUEO 

REFERENCIA P/T: F­CHK 01 

FECHA: 13  de Mayo de 2016 

REALIZADO POR: Jeison Suarez 

PROCESO EVALUADO: AI1. Identificar soluciones automatizadas 

AI2. Adquirir y mantener software aplicativo 

AI3. Adquirir y mantener infraestructura tecnológica 

AI5. Adquirir recursos de TI 

DESCRIPCIÓN CONTROLES EXISTENTES EN EL PROCESO  SI  NO 

   x      

Se tienen procesos seguros y automáticos? 

 
  

Se tiene una persona idónea a cargo de las compras tecnológicas?  x      

Se realiza mantenimiento tecnológico?  x     

Los recursos actuales de IT son útiles?    x   

LISTA DE CHEQUEO 

REFERENCIA P/T: F­CHK 01 

FECHA: 20  de Mayo de 2016 

REALIZADO POR: Omar Rodríguez 

PROCESO EVALUADO: Tecnología de la Información 

DESCRIPCIÓN  CONTROLES  EXISTENTES EN  SI  NO 

EL PROCESO 

Existe sistema de ventilación      

El cableado eléctrico está protegido  X 
  ​   

Los  conectores  de alimentación de energía  están en  X       

buen estado 

Los equipos de cómputo tienen todas sus partes  X       

 
  

Hay equipos con tecnología obsoleta  X 
  ​   

Los equipos que se encuentren en mal estado  X     

Hay  un  horario  en  cada  aula  de  monitores  X      

asignados 

El  cableado  estructurado  se  encuentra  en  buen  X       

estado 

Existe un sistema de seguridad en cada aula     X    

El  cableado  que  corresponde  al  equipo  está     X    

protegido 

Los rack están organizados y peinados     X   

La  infraestructura de redes (switch, routers, access  X       

point, etc), es actualizada y no obsoleta 

Las  fallas  masivas  en  sistemas  de  la  empresa  son  X       

solucionadas en corto tiempo 

 
  
 

LISTA DE CHEQUEO 

REFERENCIA P/T​
: F­CHK 01 

FECHA:​
 20  de Mayo de 2016 

REALIZADO POR:​
 Jorge Aguilera 

PROCESO EVALUADO:​
 PO1 – 04 ­ 06 

DESCRIPCIÓN  CONTROLES  EXISTENTES  EN  SI  NO 

EL PROCESO 

Procesos de Tecnología de la empresa Copesal      X 

Hay equipos con tecnología obsoleta  X    

Hay Personal Capacitado en el Área de TI     X 

Los Software de los Computadores están actualizados     X 

Los Planes Estratégicos de TI de Copesal esta completos  X    

  

 
 
 
 
 
  
 
 
LISTA DE CHEQUEO 

REFERENCIA P/T​
: F­CHK 01 

FECHA:​
 20  de Mayo de 2016 

REALIZADO POR:​
 Jorge Aguilera 

PROCESO EVALUADO:​
 AI01 ­ 2 ­ 4­ ­6­ 7 

DESCRIPCIÓN  CONTROLES  EXISTENTES  EN  EL  SI  NO 

PROCESO 

El Software es totalmente Licenciado  X    

El cableado estructurado tienen las normas estándares  X    

Se tiene Acceso Fácil  a las Salas de Computo     X 

Existe un sistema de seguridad en cada aula  X     
 
 

LISTA DE CHEQUEO 

REFERENCIA P/T​
: F­CHK 01 

FECHA:​
 20  de Mayo de 2016 

REALIZADO POR:​
 Jorge Aguilera 

PROCESO EVALUADO:​
 ME 1 ­ 2 ­ 3 ­ 4 

DESCRIPCIÓN  CONTROLES  EXISTENTES  EN  EL  SI  NO 

PROCESO 

 
  

Se  tiene  Personal  encargado  para  el  Monitoreo  de  las  Base  de     X 

Datos de Copesal 

Se tienen personal encargado para evaluar los procesos de TI     X 

Se garantiza los cumplimientos de los Proceso de TI     X 

Se realiza el Monitoreo (switch, routers, access point)     X 

Cuadro de Hallazgos 

Riesgos y Controles Propuestos por Proceso (Francisco Cortes) 

Dominio/ Procesos  Riesgos Hallados  Posibles  Tratamientos / 

/Objetivos de  y nivel de riesgo  soluciones /  controles 
control  (bajo / medio /  Recomendaciones   propuestos 
alto) 

Dominio: Planear  Riesgo​ :  Es ideal que el  La documentación 

y Organizar  Actualmente solo  administrador de  propuesta en la 
Objetivos de  uno de los  red y  recomendación 
Control  administradores de  administración  debe ser detallada y 
PO2. Definir la  red tiene acceso a  documenten un  debe ser revisada y 
Arquitectura de la  los diagramas  plan de  actualizada cada 6 
Información  físicos y lógicos de  contingencia en el  meses y/o según la 
PO2.1 Modelo de  red. Esto implica  cual, entre varias  necesidad por parte 
Arquitectura de  que si en la  cosas, se detalle la  de un representante 
Información  eventualidad en que  ubicacion de la  administrativo y el 
Empresarial  esta persona no  documentación de  encargado de la 
El Instituto Copesal  fuese contactable o  red, procesos,  administración de 
mantiene una  no estuviese  funciones de  la red. Un log de 
arquitectura básica  disponible, el  administración de  actualizaciones con 
del área física de la  acceso y  red y de acceso y  una descripcion 
institución pero es  administración de  gestión de usuarios,  basica de lo 
requerido construir  estos documentos  de tal manera y en  actualizado, la 
un modelo que  estarian disponibles  el caso en que esta  fecha y el 
explique la  solamente de forma  persona no esté  responsable debe 

 
  

arquitectura de los  parcial y  accesible por algún  ser mantenido al 

componentes  difícilmente por  asunto de fuerza  hacer cada cambio 
virtuales y los  parte de la  mayor, la  en los documentos. 
servicios fuera de la  administración del  administración de   
institución que  colegio.    la institución, 
posibilitan el    teniendo acceso a 
desarrollo de  Nivel de Riesgo​:   esta 
actividades  Bajo  documentación, 
académicas y de  pueda asignar y/o 
control/gestión   introducir en el rol 
  de administrador de 
red a una persona 
contratada o 
reasignar dicho rol 
a uno de los 
empleados 
existentes en la 
medida en que 
tenga el 
conocimiento para 
hacerse cargo de 
esta labor. 

Dominio:  Riesgo​ :  Administración  Tareas de 

Adquirir e  El colegio no  debe exigir la  actualización de 
Implementar  cuenta con un  adecuación,  software para cada 
Objetivo de  proceso estándar,  documentación e  uno de los 
control:  horario, mecanismo  implementación  componentes con 
AI1. Identificar  y en algunos casos  regular de procesos  los cuales trabaja el 
soluciones  con la experiencia  que procuren  colegio debe darse 
automatizadas  para la gestión de  mantener  periódicamente a 
AI2.10  actualizaciones de  actualizados  final de cada año de 
Mantenimiento de  algunos de los  algunos de los  tal manera que no 
Software  sistemas con los  sistemas críticos  interrumpan 
Aplicativo  cuales se trabaja en  con los cuales  actividades 
El instituto copesal  la institución  cuenta la  laborales o, de ser 
cuenta con  (moodle, servidores  institución y exigir  críticas las 
diferentes piezas de  linux), esta  y controlar de  actualizaciones, 
software las cuales  situación lleva a  forma regular el  estas deben 
es requerido  que el proceso de  cumplimiento de  programarse 
mantener y  actualización se  cualquier actividad  durante los 
actualizar en busca  dilate para estas  de mantenimiento  periodos de 
de garantizar su  aplicaciones y  independientement vacaciones o 
funcionamiento  componentes  e de la 

 
  

seguro. Es  dejando las mismas  disponibilidad o  recesos 

necesario que  expuestas a  capacidad que  estudiantiles.  
dentro del manual  posibles y  tenga el actual  Un log de 
de funciones para el  potenciales ataques  administrador de  actualizaciones que 
área IT se define el  informáticos.  red.  incluya fecha, 
software usado y se      descripcion de 
den lineamientos,  Nivel de riesgo:   actualización y 
horarios y  Alto  responsable debe 
responsabilidades  ser mantenido por 
para el desarrollo  parte del 
de tareas de  administrador de 
manutención del  red para que estas 
software de  puedan ser 
aplicación si el  rastreadas y/o 
colegio es el  consultadas 
responsable de este  posteriormente. 
software o   
mantiene la 
infraestructura 
sobre la cual este 
trabaja. 
 

Dominio:  Riesgo:  Es indispensable  Se propone la 

Entregar y Dar  Dado que solo una  que el actual  creación de un 
Soporte  persona  administrador de  proceso estándar 
Objetivo de  (administrador de  red documente y  detallado de 
Control:   red) tiene el control  comparta con  acciones y 
DS5 Garantizar la  de acceso y  administracion  responsables y el 
seguridad de los  creación de cuentas  procesos estandares  uso de un 
sistemas  para usuarios para  para la gestión de  formulario para la 
  cada uno de los  usuarios para cada  emisión de 
DS5.4  sistemas, si esta  uno de los sistemas  peticiones, rastreo 
Administración de  persona llegase a  que conforman y  y control de 
Cuentas del  faltar pondría al  son mantenidos por  ingresos, 
Usuario  colegio en una  el área de IT de la  actualizaciones y 
El colegio cuenta  situación dificil de  institución.  retiros de personal 
con procedimientos  manejar.    de la institución, 
no estandarizados y      indicando en este la 
no garantizados  Nivel de Riesgo:  fecha de petición, 
para el desarrollo  Bajo  quien pide el 
de esta tareas en  cambio y el estado 
donde solo un  actual y requerido 
individuo es  de cada usuario en 

 
  

responsable. Es  cada uno de los 
necesario asegurar  sistemas a los 
la continuidad de la  cuales este pueda 
administración de  tener acceso.  
cuentas incluso   
cuando el único  Al darse los 
responsable no se  cambios requeridos 
encuentra  el administrador de 
disponible para  red debe 
atender las estos los  documentar a 
requerimientos de  través de una tabla 
acceso a las  de control que 
diferentes sistemas  contenga todos los 
de información.  peticiones, 
indicando que el 
cambio fue 
efectuado y la 
fecha en que dicho 
cambio/petición fue 
atendido; de esta 
manera se espera 
que peticiones y 
cambios puedan ser 
monitoreados en 
tiempo real por 
parte de 
administración o 
dichos peticiones y 
cambios puedan ser 
consultados de 
forma histórica 

Dominio:  Riesgo​ :  Administración y el  En el caso de la 

Entregar y Dar  Dada la existencia  área de IT tiene dos  opción a) (backup 
Soporte  de estaciones de  alternativas las  local) se sugiero 
Objetivo de  trabajo que trabajan  cuales no son  que se hagan 
Control:  con windows y  mutuamente  pruebas cada 6 
DS11.  suite ofimáticas de  excluyentes sino  meses en relación 
Administrar los  office y la mediana  que pueden ser  al estado de la 
datos  adopción de la suite  consideradas como  información que 
DS11.5 Respaldo y  ofimática en línea  complemento la  haga parte del 
Restauración  ofrecida por google  una de la otra:  backup de tal 
El instituto no  apps para el    manera que se 
cuenta con un  dominio  pueda confirmar 

 
  

sistema físico para  institutocopesal.co a) IT puede  que dicho backup 

respaldar y  m, si un usuario  implementar alguna  programado para 
restaurar datos en  guarda documentos  solución turn­key  ser ejecutado al 
los sistemas de  importante en el  (bacula) de backup  final del día este 
cómputo dentro de  disco duro de la  de red local e  operando y sea 
la institución. Pero  estación de trabajo  integrar active  confiable.  
si cuenta con esta  y el computador o  directory para   
herramienta  el disco duro de por  habilitar un folder  Una estrategia de 
implementada por  si llegase a quedar  remoto en cada  un backup 
defecto en los  comprometido no  estación de trabajo  completo cada mes, 
sistemas de  hay mecanismo  local permitiendolo  y backups 
información  físico que  así al usuario  incrementales cada 
virtuales (google  desarrolle backups  guardar su  noche podría ser 
apps). Políticas de  de esta información  información en este  ideal de darse esta 
uso deben ser  almacenada  sitio para que a  implementación. 
definidas para  localmente lo cual  través de la 
asegurar que la  conlleva la pérdida  solución 
información crítica  potencial de  implementada 
de un usuario sea  información  pueda existir 
mantenida en los  almacenada  backups de lo que 
sistemas virtuales  localmente.  se almacene en el 
  folder remoto. 
Nivel de Riesgo:   
Medio  b) Instruir, educar e 
incentivar a través 
de diferentes 
mecanismos 
constantes, 
pedagogicos y 
positivos para que 
los usuarios utilice 
la suite ofimática 
ofrecida por google 
apps para el 
domino 
institutocopesal.co
m 

Dominio:  Riesgo:  Para atender esta  IT puede, cada 6­12 

Entregar y Dar  Dado que el  dificultad/riesgo se  meses, hacer un 
Soporte  colegio está  sugiere:  mantenimiento 
Objetivo de  ubicado en un    preventivo a las 
Control:  sector popular en  a) La  torres que 
donde muchas  implementación de  componen las 

 
  

DS12.  calles y aceras no  un proceso de  estaciones de 

Administrar el  se encuentran  limpieza enfocado  trabajo con el 
ambiente físico  pavimentadas o  a mantener libres  objeto de revisar y 
DS12.4 Protección  arregladas  de polvo las áreas  remover el polvo y 
Contra Factores  adecuadamente es  cercanas a todos los  hacer cualquier 
Ambientales  muy común  equipos de  tarea de 
Medidas de control  observar la  cómputo y red para  mantenimiento de 
todavía están  presencia de polvo  ser ejecutado de  hardware y 
pendientes de ser  traído de la calle en  forma diaria.  software requerido. 
implementadas para  todos los rincones     
atender las  de la institución.  b) Implementar  De igual manera, 
amenazas de polvo  Esta situación  filtros para las  tareas 
en los sistemas de  conlleva la entrada  ventilas de  diarias/rutinarias de 
cómputo y redes  de polvo en las  componentes  aseo por parte del 
que componen el  ventilas y aperturas  críticos o sistemas  personal de aseo 
ambiente físico de  de ventilación de  de filtrado de área  puede consistir en 
la institución.  muchos  en los cuartos que  la remoción de 
dispositivos de  cuentan con  polvo que pueda 
trabajo y de red, lo  equipos de  comenzar a 
cual eventualmente  computo. (estos  acomularse al 
conlleva el desgaste  últimos pueden ser  rededor de equipos 
debido al calor  ideales pero puede  de red y de 
acomulado en los  resultar costosos)   cómputo. 
componentes   
electronicos  Un log que indique, 
internos y por ende  responsable, fecha 
una vida de trabajo  de realizacion, 
mas corta para los  descripcion de 
mismos.  tareas, problemas 
  encontrados debe 
Nivel de Riesgo:  ser mantenido y 
Medio  alimentado en cada 
sesión de 
mantenimiento con 
el objeto de rastras 
acciones y posibles 
problemas que 
puedan estarse 
presentando en 
respuesta a la 
implementación de 
rutinas de aseo para 
evitar acomulacion 

 
  

de polvo o uso de 
equipo para filtrado 
de polvo. 

Tabla Hallazgo 1 

      HALLAZGO 1     REF 

        
HHDN_01 
 

PROCESO  Tecnología de la información  PÁGINA 

AUDITADO 
1  DE  1 

RESPONSABLE  Jeisson Suarez 

MATERIAL DE  COBIT 
SOPORTE 

DOMINIO  Planear  y  PROCESO  PO1. Definir un Plan 

Estratégico de TI 
Organizar    PO2. Definir la 
Arquitectura de la 
Información 
PO3. Determinar la 
Dirección Tecnológica 

               
  

DESCRIPCIÓN: 
● Plan estratégico con falencias 

 
  

● Arquitectura implementada 
 ​

● Conocer la dirección 
 ​

  

Al  no  tener  un  plan  estratégico  estructurado  se   corre  el  riesgo  de  crear 

implementaciones  sobre  supuestos  y  así  mismo  al  no  conocer  la  dirección 

de IT se podrán tomar decisiones desacertadas. 

  

  

CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1) 
E_AUDIO/A_CHDN_01 

  

  

Consecuencias: 

Al  no  tener  un  plan  estratégico  estructurado  se  corre  el  riesgo  de  crear 

implementaciones  sobre  supuestos  y  así  mismo  al  no  conocer  la  dirección  de  IT  se 

podrán tomar decisiones desacertadas. 

  

RIESGO: 
Probabilidad de ocurrencia: 

Impacto según relevancia del proceso: ​
 ​
        ​ Alto 

  

 
  
  

RECOMENDACIONES: 
Montar un plan estratégico estructurado  con personal idóneo quienes garantizaran 
mejor soporte de IT, así mismo se deberá estructurar y dar conocer la dirección de IT 

  

Tabla Hallazgo 2 

      HALLAZGO 2     REF 

        
HHDN_01 
  

PROCESO  Tecnología de la información  PÁGINA 

AUDITADO 
1  DE  1 

RESPONSABLE  Jeisson Suarez 

MATERIAL DE  COBIT 
SOPORTE 

DOMINIO  Adquirir e  PROCESO  AI1. Identificar soluciones 

Implementar  automatizadas 
AI2. Adquirir y mantener 
software aplicativo 
AI3. Adquirir y mantener 
infraestructura tecnológica 
AI5. Adquirir recursos de 
TI 
  

 
  

DESCRIPCIÓN: 
Desarrollos de aplicaciones 
●  ​

● Adquisición de software 
 ​

● Recursos de It nuevos 
 ​

  

El  desarrollo  de  aplicaciones  nuevas  pretende  innovar  los  procesos,  así 

mismo  la  calidad  de  los  productos  adquiridos   garantiza  mejores 

herramientas de trabajo. 

  

CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1) 
E_AUDIO/A_CHDN_01 
  

Consecuencias: 

Desarrollos  malos,  herramientas  incompletas,  demora en los tiempos de respuesta 

y solución 

  

RIESGO: 
Probabilidad de ocurrencia: 

Impacto según relevancia del proceso: Alto 
         ​

  

  

RECOMENDACIONES: 

 
  

Automatizar en lo posible procesos garantizando la seguridad de los mimos y 
adquirir herramientas o software originales y de calidad para ampliar la vida útil 
de los mismos 
   

  

      HALLAZGO 1     REF 

        
HHDN_01 
  

PROCESO  Tecnología de la información  PÁGINA 

AUDITADO 
1  DE  1 

RESPONSABLE  Omar Rodríguez 

MATERIAL DE  COBIT 
SOPORTE 

DOMINIO  Adquirir  e  PROCESO  Adquirir y mantener la 

infraestructura tecnológica 
Implementar  (AI3) 
(AI) 

               
  

DESCRIPCIÓN: 
ü​ Hay equipos con tecnología obsoleta 
  ​

ü​ El cableado que corresponde al equipo está protegido 
  ​

 
  

ü​ Los rack están organizados y peinados 
  ​

  

La  parte  de  Hardware  en  algunos  equipos  está  olvidada,  ya  que  hay  aún 

equipos  que  trabajan  pocas  capacidades  y  están  a  su   límite  natural, 

además  no  hay  protección  de  los  cableados  de  los  equipos,  y  los  racks 

están  desordenados  por  lo  que  ubicar  un  punto   de   red  y  su  cableado  es  

difícil. 

  

  

REF_PT: 
CUESTIONARIOS_CHDN/ADQUIRIR_AI3(ANEXO 1) 
E_AUDIO/A_CHDN_01 
  

  

  

  

CONSECUENCIAS: 
Al no haber un plan de recambio de los equipos viejos por nuevos, se 
puede incurrir en perdida de información valiosa, se pueden perder 
tiempos en caso de que el equipo se dañe, a diario se disminuirá 
producción ya que un equipo viejo no trabaja igual que uno con mejores 
condiciones y actualizado. 
Al no existir protección en el cableado de los equipos puede que estos 
sufran desperfectos o daños los cuales harán que se pierda tiempos 
valiosos y puede causar también que falle alguna parte del hardware del 
equipo. 

 
  

Si  no existen procedimientos  de ordenamiento  de  los  raks, a la hora que 

se  necesiten  revisar  y  localizar  puntos  de  red  y  descartar  fallas  en 

cableados, será una tarea muy difícil, lo cual demandará mucho tiempo. 

  

  

  

RIESGO: 
Probabilidad de ocurrencia: 
         ​

Impacto según relevancia del proceso: Alto 
         ​

  

  

RECOMENDACIONES: 
Realizar cambio de los equipos obsoletos por nuevos y actualizados con mejores 
comportamientos de hardware y software. 
Solicitar protección de los cableados de los equipos a la parte de mantenimiento y 
apoyo logístico, y mantener los cableados cubiertos. 
Realizar peinado y ordenado de rack, de cableados y swicth, utilizar armarios 
pertinentes y amarrar y organizar. 

  

  

  

 
  
 

Tabla Hallazgo 1 

  

      HALLAZGO 1     REF 

        
HHDN_O1 
  
  

PROCESO  Los Software de los Computadores  PÁGINA 

AUDITADO  están actualizados “Análisis de 
Seguridad” 
1  DE  1 

RESPONSABLE  Jorge Aguilera 

MATERIAL DE  COBIT 
SOPORTE 

DOMINIO  Planear  y  PROCESO  Definir un plan 

estratégico de TI 
Organizar (PO)  (PO1) 

             
  

DESCRIPCIÓN: 
El análisis de seguridad es indispensable debido a que le indica que 
detectó una cantidad de problemas o soluciones en su computadora, 
con el fin de poder tener todo el software actualizado y libre de 
amenazas,  y llegar a decir. 
Tenemos el hardware y software adecuado 
         ​

 
  

Se ha capacitado a la gente en el uso del nuevo software 
         ​

  

  

  

  

REF_PT: 
  

CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1) 
E_AUDIO/A_CHDN_01 

CONSECUENCIAS: 
  

● Al no tener los procedimientos necesarios para la actualización del 

Software  se  puede  llegar  a  tener  varias  falencias  al  momento  de 

perdida de información o incluso daño del mismo. 

● Los  Antivirus  deben  estar  siempre  actualizados  ya  que  de  no 

tenerlo se puede llegar a tener virus. 

  

RIESGO: 
Probabilidad de ocurrencia: 
         ​

Impacto según relevancia del proceso: Alto 
         ​

  

  

 
  
  

RECOMENDACIONES: 
  

Los  gestores  de  actualizaciones  deben  estar  siempre  activos  el  cual 
​

resulta muy útil para mantener el sistema operativo al día 

Determinar el personal encargado de mantener las tareas y procesos de 
​

actualización de la Compañía. 

En  los  ordenadores,  es  recomendable  configurar  las  aplicaciones 

​

instaladas  para  que  sólo  se  puedan actualizar de modo manual y cuando 

el usuario lo indique 

. 

  

 
  

  

Ø​ Tabla 1. Valoración de riesgos 
  ​

  

      PROBABILIDAD  IMPACTO 

RIESGOS/VALORACION 
   A  M  B  L  M  C 

       Hardware 

R1  El  polvo  acumulado  en  X              X 

equipos  de  cómputo con lleva 

el  deterioro  de  los  mismos,  la 

necesidad  de comprar nuevos 

y  la  imposibilidad  de  ofrecer 

este  servicio  a  profesores  y 

alumnos. 

  Redes 

R2  El  no  tener  un  sistema  de     X        X    

backup  centralizado  conlleva 

el  riesgo  de  que  la 

información  almacenada  en 

discos  locales  pueda  perderse 

 
  

por  fallas  en  inminentes  en 

discos  duros  lo  cual  a  su  vez 

implica  pérdida  de  tiempo  y 

dinero  asociada  con  la 

obtención  de  dicha 

información. 

  Seguridad física 

R3  No  se  cuenta  con  planes  de        X     X    

contingencia  en  caso  de  una 

catástrofe   o   siniestro  para 

salvaguardar  la 

infraestructura. 

                                   Infraestructura 

R4  Patch cord de modem a        X  X       
switch categoría 5 mientras 
la mayoría del cableado es 
categoría 5e y 6. 

               Seguridad lógica 

R5  El no contar con un        X  X       
directorio activo implica 
problemas de 
administración, problemas 
de seguridad y tiempos 

 
  

prolongados para dar acceso 
a usuarios a los equipos de 
cómputo. 

                       

     Documentación 

R6  Desactualización del  manual        X  X       
de funciones de los 
empleados. 

R7  No existen antivirus     X        X    
licenciados. 

R8  Al no tener software     X        X    
licenciado y no actualizable 
la institución se expone a 
hackeos o posibles sanciones, 
lo que a su vez conlleva 
posibles pérdidas de 
información, 
confidencialidad y 
posibilidad de uso. 

  Personal del área 

R9  El  no  tener  a  personal  de  IT     X        X    

capacitado  de  forma 

constante  puede  conllevar  al 

mal  uso  de  equipos,  pérdida 

de  información  y  pérdida  de 

tiempo  y  dinero  al  no  tener 

 
  

equipo  de  cómputo  y  red 

trabajado constantemente. 

                 

Ø    

PROBABILIDAD  IMPACTO 

A: Alta  L: Leve 

M: Media  M: Moderado 

B: Baja  C: Catastrófico 
  

  

Ø​ Tabla 2 Matriz de Clasificación de riesgo 
  ​

  

   LEVE  MODERADO  CATASTROFICO 

  

ALTO        R1 

  

  

MEDIO     R7 R9 R8 R2    

BAJO  R4 R5 R6  R3    

 
  
  

  

  

Ø​ Tabla 3. Tratamiento de los riesgos 
  ​

ID.  Descripción Riesgo  Tratamiento Riesgo 

Riesgo 

R1  El  polvo  acumulado  en  equipos   de   Transferirlo 

cómputo  con  lleva  el  deterioro  de  los 

mismos,  la  necesidad  de  comprar nuevos 

y  la imposibilidad de ofrecer este servicio 

a profesores y alumnos. 

R2  El  no  tener  un  sistema  de  backup  Controlarlo 

centralizado  conlleva  el  riesgo  de  que  la 

información  almacenada  en  discos 

locales  pueda  perderse  por  fallas  en 

inminentes  en  discos  duros  lo  cual  a  su 

vez  implica  pérdida  de  tiempo  y  dinero 

asociada  con  la  obtención  de  dicha 

información. 

R3  No  se  cuenta  con  planes  de  contingencia  Aceptarlo 

 
  

en  caso de una catástrofe o siniestro para 

salvaguardar la infraestructura. 

R4  Patch  cord  de  modem  a  switch  categoría  Aceptarlo 

5  mientras  la  mayoría  del  cableado  es 

categoría 5e y 6. 

R5  El  no  contar  con  un  directorio  activo  Aceptarlo 

implica  problemas  de  administración, 

problemas  de  seguridad  y  tiempos 

prolongados para dar acceso a usuarios a 

los equipos de cómputo. 

R6  Desactualización  del  manual  de  Aceptarlo 

funciones de los empleados. 

R7  No existen antivirus licenciados.  Controlarlo 

R8  Al  no  tener  software  licenciado   y   no  Controlarlo 

actualizable  la  institución  se  expone  a 

hackeos  o  posibles  sanciones,  lo  que  a  su 

vez  conlleva  posibles  pérdidas  de 

información,  confidencialidad  y 

posibilidad de uso. 

 
  

R9  El  no  tener  a  personal  de  IT  capacitado  Transferirlo 

de  forma  constante  puede  conllevar  al 

mal  uso  de  equipos,  pérdida  de 

información  y  pérdida  de  tiempo  y 

dinero  al  no  tener  equipo  de  cómputo  y 

red trabajado constantemente. 

  

 ​ Cuadro de controles propuestos para mitigar los riesgos 

  

Tabla 4. Cuadro de riesgos y controles 

  

RIESGOS o  TIPO DE  SOLUCIONES O CONTROLES 

HALLAZGOS  CONTROL 

ENCONTRADOS 

El no tener un sistema de  PREVENTIV Elaborar políticas de administración 

backup  centralizado  O  y  organización  de  la  información,  lo 

conlleva  el  riesgo  de  que  cual  se  podría  realizar  a través de la 

la  información  contratación  de  un  ingeniero  de 

almacenada  en  discos  sistemas  con  experiencia  en  manejo 

 
  

locales  pueda  perderse  de  servidores  y  seguridad  para  la 

por  fallas  en  inminentes  realización de esta labor. 

en  discos  duros  lo  cual  a 

su  vez  implica  pérdida 

de  tiempo  y  dinero 

asociada  con  la 

obtención  de  dicha 

información. 

El no tener un sistema de  DETECTIVO  Adquisición  de  un  sistema  que 

backup  centralizado  permita  proteger,  guardar  y 

conlleva  el  riesgo  de  que  respaldar  la  información  y  también 

la  información  guardar  backups  de  imágenes  de los 

almacenada  en  discos  servidores en caso de falla. 

locales  pueda  perderse 

por  fallas  en  inminentes 

en  discos  duros  lo  cual  a 

su  vez  implica  pérdida 

de  tiempo  y  dinero 

asociada  con  la 

obtención  de  dicha 

información. 

 
  

No  existen  antivirus  PREVENTIV Compra  de  antivirus licenciados con 

licenciados.  O  el  fin  de  minimizar  el  riesgo  de 

infecciones  y malware en los equipos 

de cómputo de la organización. 

Al  no  tener  software  PREVENTIV Adquisición  de  licencias  para  los 

licenciado  y  no  O  equipos  de  cómputo  u  otra 

actualizable  la  alternativa  incentivar  la  cultura  de 

institución  se  expone  a  la  utilización  software  libre 

hackeos  o  posibles  “Linux”. 

sanciones, lo que a su vez 

conlleva  posibles 

pérdidas de información, 

confidencialidad  y 

posibilidad de uso. 

El  polvo  acumulado  en  CORRECTIV Se  debe  contratar  una  empresa  la 

equipos  de  cómputo  con  O  cual  realice  limpieza   diaria  a  los 

lleva  el  deterioro  de  los  equipos  de  cómputo  y  puestos  de 

mismos,  la  necesidad  de  trabajo,  para  evitar  acumulaciones 

comprar  nuevos  y  la  de polvo y objetos extraños. 

imposibilidad  de  ofrecer 

este  servicio  a profesores 

 
  

y alumnos. 

El  no tener a personal de  CORRECTIV Adquirir  capacitaciones  con 

IT  capacitado  de  forma  O  empresas  externas,  para que ayuden 

constante  puede  y  orienten  al  colaborador  para  dar 

conllevar  al  mal  uso  de  un buen uso a los equipos. 

equipos,  pérdida  de 

información  y  pérdida 

de  tiempo  y  dinero  al  no 

tener  equipo  de cómputo 

y  red  trabajado 

constantemente. 

 
  
 

 
BIBLIOGRAFIA 

References 

● Modulo Auditoria de Sistemas (UNAD) Retrieved February 09, 2016, from 

http://campus06.unad.edu.co/ecbti05/mod/lesson/view.php?id=688 

● Audit methodology. (n.d.). Retrieved February 09, 2016, from 

http://www.grantthornton.com.au/en/services/audit/audit­methodology/ 

● http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_27_fases_de_la_au

ditora_informtica_y_de_sistemas.html 

● Developing the IT Audit Plan (Global Technology Audit Guide ­ GTAG) 

Retrieved March 6, 2016 From 

http://www.theiia.org/bookstore/downloads/freetomembers/0_1046.dl_gtag11.pdf 

● How to use Cobit for compliance, Retrieved March 18, 2016 from 

http://searchsecurity.techtarget.com/tip/How­to­use­COBIT­for­compliance 

 ​
● Cobit 4.1 Spanish​(link para descargar el documento de CobIT 4.1) 

● Dominios Cobit. Retrieved February 09, 2016, from 

https://www.youtube.com/watch?v=e97LXW9oB_g 

● Objetivos de control Cobit. Retrieved February 09, 2016, from 

https://www.youtube.com/watch?v=geKxKjCFqfQ 

● Procesos Cobit.Retrieved February 09, 2016, from 

 
  
https://www.youtube.com/watch?v=x4YSxqB2Kvw