DILIGENCIAMIENTO DE INSTRUMENTOS DE AUDITORIA

Fuentes de conocimiento: PO9 Evaluar y administrar los riesgos de TI

REF
CUADRO DE DEFINICION DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

PAGINA
ENTIDAD AUDITADA Just IT
1 DE 1
PROCESO AUDITADO Proceso de gestión de riesgos informáticos
RESPONSABLE Faruk Perez Montalvo
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Planear y Organizar (PO)

PROCESO PO9 Evaluar y administrar los riesgos de TI

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
 Documento de  Revisión de las  Organización y
Manual de riesgos políticas y Normas cualificación del
 Sistema de control sobre seguridad Física. personal de Seguridad.
interno Existencia de una  Remodelar el ambiente
 Metodología de metodología para la de trabajo.
evaluación de administración de  Planes y
riesgos riesgos. procedimientos.
 Verificar la seguridad  Sistemas técnicos de
de personal, datos, Seguridad y Protección
hardware, software e
instalaciones.
 Seguridad, utilidad,
confianza, privacidad y
disponibilidad en el
ambiente informático
Entrevista: Evaluar y administrar los riesgos de TI

ENTREVISTA

PO9 Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los riesgos
(PO)
de TI

OBJETIVO DE CONTROL

Nº CUESTIONARIO RESPUESTA

¿El área de los servicios de

desarrollo de soluciones, realiza
regularmente planes a corto, medio y
1
largo plazo que apoyen el logro de la
misión y las metas generales de la
empresa?
Si, la empresa realiza planes
anuales de logros de objetivos de
los cuales se basa el área de
desarrollo

¿Se realiza la evaluación de los

riesgos que pueden afectar la No, la empresa no posee un
2 infraestructura tecnológica de la procedimiento para evaluación de
empresa, mediante la utilización de riesgos.
una metodología?

¿la empresa cuenta con un plan No, la empresa se realiza cuenta

3 Estratégico de Tecnología de con un plan estratégico de
Información? tecnología de información.

¿Las tareas y actividades en el plan

4 tienen la correspondiente y adecuada N/A
asignación de recursos?

¿Existen estándares de No, solo procedimientos

5 funcionamiento y procedimientos que adoptados por la forma de trabajo
gobiernen la actividad del área de en la empresa.
Informática por un lado y sus
 relaciones con los departamentos
usuarios por otro?

No, la empresa no cuenta con el

6 ¿Existe un comité de informática? personal suficiente para
conformar mencionado comité.

¿Existen estándares de
Si, la empresa posee manuales de
funcionamiento y procedimientos y
7 función y procedimientos para
descripciones de puestos de trabajo
cada puesto de trabajo.
adecuados y actualizados?

¿Las descripciones de los puestos de

Si, cada puesto de trabajo realiza
8 trabajo reflejan las actividades
la actividad pertinente.
realizadas en la práctica?

¿El rendimiento de cada empleado Se evalúa en función de los

9 se evalúa regularmente en base a objetivos logrados y las entregas
estándares establecidos? realizadas.

¿Existen procesos para determinar

No, las necesidades de formación
las necesidades de formación de los
10 corresponden a actualizaciones
empleados en base a su
necesarias y específicas.
experiencia?

Si, la empresa cuenta con el

presupuesto que generan las
¿Existe un presupuesto económico? ganancias por las soluciones
11
¿y hay un proceso para elaborarlo? vendidas y el proceso corre por
cuenta del contador de la
empresa.

Si, el procedimiento consiste en

¿Existen procedimientos para la determinar la vida útil de cada bien
12
adquisición de bienes y servicios? adquirido y realizar su
actualización si lo amerita.

Si, como se mencionó

anteriormente se cuenta con un
13 ¿Existe un plan operativo anual?
plan de logros de objetivos
anuales.
 ¿La empresa cuenta con pólizas de Si, la póliza cubre hurto y
14
seguros? catástrofes naturales.
Lista chequeo: Evaluar y administrar los riesgos de TI

LISTA CHEQUEO

PO9 Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los riesgos
(PO)
de TI

PO9.1 Marco de trabajo de administración de

OBJETIVO DE CONTROL
riesgos:
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO

¿Existe un marco de referencia

para la evaluación sistemática de
1 los riesgos a los que está expuesta x
la infraestructura tecnológica de la
empresa?

OBJETIVO DE CONTROL PO9.2 Establecimiento del Contexto del Riesgo:

¿Se realiza la evaluación de los

riesgos que pueden afectar la
2 infraestructura tecnológica x
mediante la utilización de una
metodología?

OBJETIVO DE CONTROL PO9.3 Identificación de eventos:

¿Se realiza actualización de los

diferentes tipos de riesgos que
3 x
pueden afectar la infraestructura
tecnológica?

OBJETIVO DE CONTROL PO9.4 Evaluación de los riesgos de TI:

¿Se utilizan métodos cualitativos o

cuantitativos para medir la
4 probabilidad e impacto de los x
riesgos que pueden afectar la
infraestructura tecnológica?
OBJETIVO DE CONTROL PO9.5 Respuesta a los riesgos:

¿Existe un plan de acción para

mitigar los riesgos de la
5 x
infraestructura tecnológica de
forma segura?

PO9.6 Mantenimiento y monitoreo de un plan de

OBJETIVO DE CONTROL
acción de riesgos:

¿Se monitorea el plan de acción en

6 contra de los riesgos de la x
infraestructura tecnológica?
Cuestionario: Evaluar y administrar los riesgos de TI

CUESTIONARIO CUANTITATIVO REF

ENTIDAD Just IT PAGINA

AUDITADA
1 DE 1

PROCESO Proceso de gestión de riesgos informáticos

AUDITADO

RESPONSABLES Faruk Perez Montalvo

MATERIAL DE COBIT 4.1

SOPORTE

DOMINIO Planear y Organizar PROCESO PO9 Evaluar y

(PO) administrar los riesgos
de TI

OBJETIVO DE CONTROL

N PREGUNTA SI NO NA REF

1 ¿Existe un marco de referencia para la 4

evaluación sistemática de los riesgos a
los que está expuesta la infraestructura
tecnológica de la institución?

2 ¿Se realiza la evaluación de los riesgos 4

que pueden afectar la infraestructura
tecnológica mediante la utilización de
una metodología?

3 ¿Se realiza actualización de los 4

diferentes tipos de riesgos que pueden
afectar la infraestructura tecnológica?

4 ¿Se utilizan métodos cualitativos o 4

cuantitativos para medir la probabilidad e
 impacto de los riesgos que pueden
afectar la infraestructura tecnológica?

5 ¿Existe un plan de acción para mitigar 4

los riesgos de la infraestructura
tecnológica de forma segura?

6 ¿Se monitorea el plan de acción en 3

contra de los riesgos de la infraestructura
tecnológica?

TOTAL 0 23

TOTAL CUESTIONARIO 23

Porcentaje de riesgo parcial = (0 * 100) / 23 = 0

Porcentaje de riesgo total = 100 – 0 = 100

PORCENTAJE RIESGO 100% (Riesgo Alto)

Durante la auditoria se pudo evidenciar:

 El incumplimiento a los estándares y metodologías para la gestión de riesgos

informáticos.

 La inexistencia de un plan Estratégico de Tecnología de Información.

 Falta de planes de formación.

 No existe programas de capacitación y actualización al personal.

 Falta de monitoreo de los riesgos informáticos.

Como resultado de la Auditoria a la gestión del riesgo, durante el período utilizado

para este fin, se puede manifestar que se ha cumplido con evaluar cada uno de los
objetivos contenidos en el programa de auditoria.

 El área de Informática presenta deficiencias sobre todo en el debido

cumplimiento de sus funciones y por la falta de un plan estratégico que
garantice la mitigación de los riesgos informáticos.

Por tal razón presenta un riesgo muy alto en cuento a seguridad informática se trata.
Se recomienda:

 Conformar un comité de informática y asignar un responsable del monitoreo

y ejecución de lo propuesto en el plan anual.

 Crear y hacer uso de manuales de procedimiento para mitigar riesgos

informáticos.

 Crear mecanismos necesarios de concienciación sobre seguridad de la

información e informática con el fin de minimizar las vulnerabilidades
presentadas.