Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Trabajo Colaborativo 3
(Grupal)
Presenta:
Francisco Javier Cortes – 80.228.157
Omar Efrén Rodríguez 80.741.017
Jeisson Suarez 80.857.894
Jorge Eduardo Aguilera 80.817.227
Grupo: 90168A_288
Bogotá D.C. 2016
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
INTRODUCCIÓN
el fin de tener el desarrollo de los procesos Cobit.
encontrados y planteamientos para cubrir las necesidades que actualmente presenta la
empresa Copesal.
OBJETIVOS
● Desarrollar con claridad de los Hallazgos y la lista de chequeos
● Tener la valoración de los Riesgos vistos.
● Analizar la Probabilidad y el Impacto de Cada Riesgo.
● Clasificación de la Matriz de Riesgos.
DESARROLLO
Guia de trabajo
http://campus06.unad.edu.co/ecbti05/pluginfile.php/1185/mod_forum/intro/Gu%C3
%ADa%20de%20Actividades%20TC3%20Auditoria%202016%20I.pdf
Desarrollo
Listas de preguntas de chequeo (Francisco Cortes)
Dominio: Planear PO2.1: Cuenta el colegio
y Organizar con diagramas de red y/o
Objetivos de algún mecanismo de
Control inventario de componentes
PO2. Definir la (diagramas físico y lógico,
Arquitectura de la listado de componentes de
Información red, estaciones de trabajo y
PO2.1 Modelo de servidores, lista de
Arquitectura de sistemas operativos,
Información versión por
Empresarial estación/servidor y listado
El Instituto Copesal de software y versiones por
mantiene una estación de
arquitectura básica trabajo/servidor?
del área física de la
institución pero es
requerido construir
un modelo que
explique la
arquitectura de los
componentes
virtuales y los
servicios fuera de la
institución que
posibilitan el
desarrollo de
actividades
académicas y de
control/gestión
Dominio: A1.10: Existen funciones
Adquirir e definidas, horario de
Implementar mantenimiento,
Objetivo de procedimientos
control: estandarizados para el
AI1. Identificar desarrollo de
soluciones actualizaciones del
automatizadas software con el cual
AI2.10 trabajan las estaciones de
Mantenimiento de trabajo y los servidores
Software prestando servicios
Aplicativo informáticos al personal
El instituto copesal del colegio?
cuenta con
diferentes piezas de
software las cuales
es requerido
mantener y
actualizar en busca
de garantizar su
funcionamiento
seguro. Es
necesario que
dentro del manual
de funciones para el
área IT se define el
software usado y se
den lineamientos,
horarios y
responsabilidades
para el desarrollo
de tareas de
manutención del
software de
aplicación si el
colegio es el
responsable de este
software o
mantiene la
infraestructura
sobre la cual este
trabaja.
Dominio: DS5.4: Existe
Entregar y Dar documentación de algún
Soporte proceso estandarizado que
Objetivo de indique la forma en la cual
Control: se debe desarrollar un
DS5 Garantizar la proceso de creación de
seguridad de los cuentas y asignación de
sistemas privilegios a los diferentes
sistemas informáticos para
DS5.4 los diferentes tipos de
Administración de usuarios existentes dentro
Cuentas del de la comunidad
Usuario educativa?
El colegio cuenta
con procedimientos
no estandarizados y
no garantizados
para el desarrollo
de esta tareas en
donde solo un
individuo es
responsable. Es
necesario asegurar
la continuidad de la
administración de
cuentas incluso
cuando el único
responsable no se
encuentra
disponible para
atender las estos los
requerimientos de
acceso a las
diferentes sistemas
de información.
Dominio: DS11.5: Existe
Entregar y Dar actualmente algún
Soporte mecanismo automático y/o
Objetivo de manual que permita la
Control: gestión de backups de
DS11. documentos y que opere
Administrar los dentro de cada uno de los
datos sistemas de información
DS11.5 Respaldo y con los cuales trabaja la
Restauración institución?
El instituto no
cuenta con un
sistema físico para
respaldar y
restaurar datos en
los sistemas de
cómputo dentro de
la institución. Pero
si cuenta con esta
herramienta
implementada por
defecto en los
sistemas de
información
virtuales (google
apps). Políticas de
uso deben ser
definidas para
asegurar que la
información crítica
de un usuario sea
mantenida en los
sistemas virtuales
Dominio: DS12.4: Existen procesos,
Entregar y Dar herramientas y/o algún
Soporte mecanismo de control
Objetivo de (manual o automático) que
Control: permite actualmente
DS12. contrarrestar factores
Administrar el ambientales
ambiente físico (principalmente polvo y
DS12.4 Protección temperaturas ambientales
Contra Factores altas) para salvaguardar
Ambientales uno y cada uno de los
Medidas de control componentes de trabajo
todavía están (estaciones de trabajo y
pendientes de ser servidores) al igual que
implementadas para componentes de red
atender las (firewall, switches,
amenazas de polvo routers)?
en los sistemas de
cómputo y redes
que componen el
ambiente físico de
la institución.
La lista continúa en un formato diferente
LISTA DE CHEQUEO
REFERENCIA P/T: FCHK 01
FECHA: 13 de Mayo de 2016
REALIZADO POR: Jeison Suarez
PROCESO EVALUADO: PO1. Definir un Plan Estratégico de TI
PO2. Definir la Arquitectura de la Información
PO3. Determinar la Dirección Tecnológica
La empresa tiene definido un plan estratégico? x
Se conocen los métodos de contingencia del plan? x
La arquitectura de la información es la adecuada? x
Se conoce la dirección tecnológica? x
LISTA DE CHEQUEO
REFERENCIA P/T: FCHK 01
FECHA: 13 de Mayo de 2016
REALIZADO POR: Jeison Suarez
PROCESO EVALUADO: AI1. Identificar soluciones automatizadas
AI2. Adquirir y mantener software aplicativo
AI3. Adquirir y mantener infraestructura tecnológica
AI5. Adquirir recursos de TI
x
Se tienen procesos seguros y automáticos?
Se tiene una persona idónea a cargo de las compras tecnológicas? x
Se realiza mantenimiento tecnológico? x
Los recursos actuales de IT son útiles? x
LISTA DE CHEQUEO
REFERENCIA P/T: FCHK 01
FECHA: 20 de Mayo de 2016
REALIZADO POR: Omar Rodríguez
PROCESO EVALUADO: Tecnología de la Información
EL PROCESO
Existe sistema de ventilación
El cableado eléctrico está protegido X
buen estado
Los equipos de cómputo tienen todas sus partes X
Hay equipos con tecnología obsoleta X
Los equipos que se encuentren en mal estado X
asignados
estado
Existe un sistema de seguridad en cada aula X
protegido
Los rack están organizados y peinados X
La infraestructura de redes (switch, routers, access X
point, etc), es actualizada y no obsoleta
solucionadas en corto tiempo
LISTA DE CHEQUEO
REFERENCIA P/T
: FCHK 01
FECHA:
20 de Mayo de 2016
REALIZADO POR:
Jorge Aguilera
PROCESO EVALUADO:
PO1 – 04 06
EL PROCESO
Procesos de Tecnología de la empresa Copesal X
Hay equipos con tecnología obsoleta X
Hay Personal Capacitado en el Área de TI X
Los Software de los Computadores están actualizados X
Los Planes Estratégicos de TI de Copesal esta completos X
LISTA DE CHEQUEO
REFERENCIA P/T
: FCHK 01
FECHA:
20 de Mayo de 2016
REALIZADO POR:
Jorge Aguilera
PROCESO EVALUADO:
AI01 2 4 6 7
El Software es totalmente Licenciado X
El cableado estructurado tienen las normas estándares X
Se tiene Acceso Fácil a las Salas de Computo X
Existe un sistema de seguridad en cada aula X
LISTA DE CHEQUEO
REFERENCIA P/T
: FCHK 01
FECHA:
20 de Mayo de 2016
REALIZADO POR:
Jorge Aguilera
PROCESO EVALUADO:
ME 1 2 3 4
PROCESO
Se tiene Personal encargado para el Monitoreo de las Base de X
Datos de Copesal
Se tienen personal encargado para evaluar los procesos de TI X
Se garantiza los cumplimientos de los Proceso de TI X
Se realiza el Monitoreo (switch, routers, access point) X
Cuadro de Hallazgos
Riesgos y Controles Propuestos por Proceso (Francisco Cortes)
responsable. Es cada uno de los
necesario asegurar sistemas a los
la continuidad de la cuales este pueda
administración de tener acceso.
cuentas incluso
cuando el único Al darse los
responsable no se cambios requeridos
encuentra el administrador de
disponible para red debe
atender las estos los documentar a
requerimientos de través de una tabla
acceso a las de control que
diferentes sistemas contenga todos los
de información. peticiones,
indicando que el
cambio fue
efectuado y la
fecha en que dicho
cambio/petición fue
atendido; de esta
manera se espera
que peticiones y
cambios puedan ser
monitoreados en
tiempo real por
parte de
administración o
dichos peticiones y
cambios puedan ser
consultados de
forma histórica
de polvo o uso de
equipo para filtrado
de polvo.
Tabla Hallazgo 1
HALLAZGO 1 REF
HHDN_01
RESPONSABLE Jeisson Suarez
MATERIAL DE COBIT
SOPORTE
DESCRIPCIÓN:
● Plan estratégico con falencias
● Arquitectura implementada
● Conocer la dirección
Al no tener un plan estratégico estructurado se corre el riesgo de crear
implementaciones sobre supuestos y así mismo al no conocer la dirección
de IT se podrán tomar decisiones desacertadas.
CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
E_AUDIO/A_CHDN_01
Consecuencias:
Al no tener un plan estratégico estructurado se corre el riesgo de crear
implementaciones sobre supuestos y así mismo al no conocer la dirección de IT se
podrán tomar decisiones desacertadas.
RIESGO:
Probabilidad de ocurrencia:
Impacto según relevancia del proceso:
Alto
RECOMENDACIONES:
Montar un plan estratégico estructurado con personal idóneo quienes garantizaran
mejor soporte de IT, así mismo se deberá estructurar y dar conocer la dirección de IT
Tabla Hallazgo 2
HALLAZGO 2 REF
HHDN_01
RESPONSABLE Jeisson Suarez
MATERIAL DE COBIT
SOPORTE
DESCRIPCIÓN:
Desarrollos de aplicaciones
●
● Adquisición de software
● Recursos de It nuevos
El desarrollo de aplicaciones nuevas pretende innovar los procesos, así
herramientas de trabajo.
CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
E_AUDIO/A_CHDN_01
Consecuencias:
y solución
RIESGO:
Probabilidad de ocurrencia:
Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
Automatizar en lo posible procesos garantizando la seguridad de los mimos y
adquirir herramientas o software originales y de calidad para ampliar la vida útil
de los mismos
HALLAZGO 1 REF
HHDN_01
RESPONSABLE Omar Rodríguez
MATERIAL DE COBIT
SOPORTE
DESCRIPCIÓN:
ü Hay equipos con tecnología obsoleta
ü El cableado que corresponde al equipo está protegido
ü Los rack están organizados y peinados
La parte de Hardware en algunos equipos está olvidada, ya que hay aún
además no hay protección de los cableados de los equipos, y los racks
están desordenados por lo que ubicar un punto de red y su cableado es
difícil.
REF_PT:
CUESTIONARIOS_CHDN/ADQUIRIR_AI3(ANEXO 1)
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
Al no haber un plan de recambio de los equipos viejos por nuevos, se
puede incurrir en perdida de información valiosa, se pueden perder
tiempos en caso de que el equipo se dañe, a diario se disminuirá
producción ya que un equipo viejo no trabaja igual que uno con mejores
condiciones y actualizado.
Al no existir protección en el cableado de los equipos puede que estos
sufran desperfectos o daños los cuales harán que se pierda tiempos
valiosos y puede causar también que falle alguna parte del hardware del
equipo.
se necesiten revisar y localizar puntos de red y descartar fallas en
cableados, será una tarea muy difícil, lo cual demandará mucho tiempo.
RIESGO:
Probabilidad de ocurrencia:
Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
Realizar cambio de los equipos obsoletos por nuevos y actualizados con mejores
comportamientos de hardware y software.
Solicitar protección de los cableados de los equipos a la parte de mantenimiento y
apoyo logístico, y mantener los cableados cubiertos.
Realizar peinado y ordenado de rack, de cableados y swicth, utilizar armarios
pertinentes y amarrar y organizar.
Tabla Hallazgo 1
HALLAZGO 1 REF
HHDN_O1
RESPONSABLE Jorge Aguilera
MATERIAL DE COBIT
SOPORTE
DESCRIPCIÓN:
El análisis de seguridad es indispensable debido a que le indica que
detectó una cantidad de problemas o soluciones en su computadora,
con el fin de poder tener todo el software actualizado y libre de
amenazas, y llegar a decir.
Tenemos el hardware y software adecuado
Se ha capacitado a la gente en el uso del nuevo software
REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
● Al no tener los procedimientos necesarios para la actualización del
Software se puede llegar a tener varias falencias al momento de
perdida de información o incluso daño del mismo.
● Los Antivirus deben estar siempre actualizados ya que de no
tenerlo se puede llegar a tener virus.
RIESGO:
Probabilidad de ocurrencia:
Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
Los gestores de actualizaciones deben estar siempre activos el cual
resulta muy útil para mantener el sistema operativo al día
Determinar el personal encargado de mantener las tareas y procesos de
actualización de la Compañía.
el usuario lo indique
.
Ø Tabla 1. Valoración de riesgos
PROBABILIDAD IMPACTO
RIESGOS/VALORACION
A M B L M C
Hardware
necesidad de comprar nuevos
alumnos.
Redes
información.
Seguridad física
salvaguardar la
infraestructura.
Infraestructura
R4 Patch cord de modem a X X
switch categoría 5 mientras
la mayoría del cableado es
categoría 5e y 6.
Seguridad lógica
R5 El no contar con un X X
directorio activo implica
problemas de
administración, problemas
de seguridad y tiempos
prolongados para dar acceso
a usuarios a los equipos de
cómputo.
Documentación
R6 Desactualización del manual X X
de funciones de los
empleados.
R7 No existen antivirus X X
licenciados.
R8 Al no tener software X X
licenciado y no actualizable
la institución se expone a
hackeos o posibles sanciones,
lo que a su vez conlleva
posibles pérdidas de
información,
confidencialidad y
posibilidad de uso.
Personal del área
trabajado constantemente.
Ø
PROBABILIDAD IMPACTO
A: Alta L: Leve
M: Media M: Moderado
B: Baja C: Catastrófico
Ø Tabla 2 Matriz de Clasificación de riesgo
ALTO R1
MEDIO R7 R9 R8 R2
Ø Tabla 3. Tratamiento de los riesgos
Riesgo
y la imposibilidad de ofrecer este servicio
a profesores y alumnos.
información.
en caso de una catástrofe o siniestro para
salvaguardar la infraestructura.
categoría 5e y 6.
prolongados para dar acceso a usuarios a
los equipos de cómputo.
funciones de los empleados.
información, confidencialidad y
posibilidad de uso.
red trabajado constantemente.
Cuadro de controles propuestos para mitigar los riesgos
Tabla 4. Cuadro de riesgos y controles
HALLAZGOS CONTROL
ENCONTRADOS
conlleva el riesgo de que cual se podría realizar a través de la
información.
información.
infecciones y malware en los equipos
de cómputo de la organización.
Al no tener software PREVENTIV Adquisición de licencias para los
sanciones, lo que a su vez
conlleva posibles
pérdidas de información,
confidencialidad y
posibilidad de uso.
El polvo acumulado en CORRECTIV Se debe contratar una empresa la
lleva el deterioro de los equipos de cómputo y puestos de
y alumnos.
información y pérdida
y red trabajado
constantemente.
BIBLIOGRAFIA
References
● Modulo Auditoria de Sistemas (UNAD) Retrieved February 09, 2016, from
http://campus06.unad.edu.co/ecbti05/mod/lesson/view.php?id=688
● Audit methodology. (n.d.). Retrieved February 09, 2016, from
http://www.grantthornton.com.au/en/services/audit/auditmethodology/
● http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_27_fases_de_la_au
ditora_informtica_y_de_sistemas.html
● Developing the IT Audit Plan (Global Technology Audit Guide GTAG)
Retrieved March 6, 2016 From
http://www.theiia.org/bookstore/downloads/freetomembers/0_1046.dl_gtag11.pdf
● How to use Cobit for compliance, Retrieved March 18, 2016 from
http://searchsecurity.techtarget.com/tip/HowtouseCOBITforcompliance
● Cobit 4.1 Spanish(link para descargar el documento de CobIT 4.1)
● Dominios Cobit. Retrieved February 09, 2016, from
https://www.youtube.com/watch?v=e97LXW9oB_g
● Objetivos de control Cobit. Retrieved February 09, 2016, from
https://www.youtube.com/watch?v=geKxKjCFqfQ
● Procesos Cobit.Retrieved February 09, 2016, from
https://www.youtube.com/watch?v=x4YSxqB2Kvw