AUDITORIA DE SISTEMAS

FASE 3 EJECUCIÓN DE LA AUDITORIA

CODIGO DE LA ASIGNATURA: 90168

Presentado a:

-----------------------

Director de curso

Entregado por:

---------------------

Grupo: ---------------

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
NOVIEMBRE DE 2019
 INTRODUCCION

Dia a día las empresas se ven expuestas a diferentes problemáticas en la

constitución tanto administrativa como operacional de la misma, así como en el

manejo contable, y la normatividad que la rige, es por esto que se desarrolla una

auditoria informática para revisar las posibles causas, amenazas y consecuencias

de dichas problemáticas, y desarrollar un proceso de control tecnológico de la

misma.
 OBJETIVO

 descubrir las vulnerabilidades, amenazas y riesgos informáticos a que se

ve expuesta la organización empresarial para determinar las causas que

originan los riesgos y resolver los problemas mediante la definición y

aplicación de controles.
 FASE 3
EJECUCIÓN DE LA AUDITORIA

1. Diseñar y aplicar los instrumentos de recolección de información

(entrevistas, listas de chequeo, cuestionarios, pruebas) para descubrir

vulnerabilidades, amenazas y riesgos para cada proceso asignado.

Instrumentos de recolección de información seleccionados.

 LISTA DE CHEQUEO MEDIANTE ESTRUCTURA COBIT.

 ENTREVISTA

Se desarrollará métodos de lista de chequeo y entrevista por parte del equipo de

control de auditoria de la empresa. Dichos instrumentos están desarrollados por

para revisar cada uno de los departamentos que posee la empresa (Empresa de

transporte)
  La estructura cobit.

La estructura del estándar COBIT se divide en dominios que son agrupaciones de

procesos que corresponden a una responsabilidad personal, procesos que son

una serie de actividades unidas con delimitación o cortes de control y objetivos de

control o actividades requeridas para lograr un resultado medible.

Se definen 34 objetivos de control generales, uno para cada uno de los procesos

de las TI. Estos procesos están agrupados en cuatro grandes dominios que se

describen a continuación junto con sus procesos y una descripción general de las

actividades de cada uno.

 DOMINIOS
PLANEACIÓN Y
ORGANIZACIÓN (PO):
Cubre la estrategia y las tácticas,
se refiere a la identificación de la
forma en que la tecnología de la
información puede contribuir de la
mejor manera al logro de los
objetivos de la organización. La
consecución de la visión
estratégica debe ser planeada,
comunicada y administrada desde
diferentes perspectivas y debe
establecerse una organización y
una infraestructura tecnológicas
apropiadas.
PROCESOS
PO1 Definir un Plan Estratégico de TI: El
objetivo es lograr un balance óptimo entre las
oportunidades de tecnología de información y
los requerimientos de TI de negocio, para
asegurar sus logros futuros.
PO2 Definir la Arquitectura de la
Información: El objetivo es satisfacer los
requerimientos de la organización, en cuanto
al manejo y gestión de los sistemas de
información, a través de la creación y
mantenimiento de un modelo de información
de la organización.
PO3 Determinar la dirección tecnológica: El
objetivo es aprovechar al máximo la
tecnología disponible o tecnología emergente,
satisfaciendo los requerimientos de la
organización, a través de la creación y
mantenimiento de un plan de infraestructura
tecnológica.
PO4 Definir la Organización y Relaciones de
TI: El objetivo es la prestación de servicios de
TI, por medio de una organización
conveniente en número y habilidades, con
tareas y responsabilidades definidas y
comunicadas.
PO5 Manejar la Inversión en TI: El objetivo
es la satisfacción de los requerimientos de la
organización, asegurando el financiamiento y
el control de desembolsos de recursos
financieros.
PO6 Comunicar las directrices y
aspiraciones gerenciales: El objetivo es
asegurar el conocimiento y comprensión de
los usuarios sobre las aspiraciones de la
gerencia, a través de políticas establecidas y
transmitidas a la comunidad de usuarios,
necesitándose para esto estándares para
traducir las opciones estratégicas en reglas
de usuario prácticas y utilizables.

PO7 Administrar Recursos Humanos: El

objetivo es maximizar las contribuciones del
personal a los procesos de TI, satisfaciendo
así los requerimientos de negocio, a través de
técnicas sólidas para administración de
personal.

PO8 Asegurar el cumplir Requerimientos

Externos: El objetivo es cumplir con
obligaciones legales, regulatorias y
contractuales, para ello se realiza una
identificación y análisis de los requerimientos
externos en cuanto a su impacto en TI,
llevando a cabo las medidas apropiadas para
cumplir con ellos.

PO9 Evaluar Riesgos: El objetivo es

asegurar el logro de los objetivos de TI y
responder a las amenazas hacia la provisión
de servicios de TI, mediante la participación
de la propia organización en la identificación
de riesgos de TI y en el análisis de impacto,
tomando medidas económicas para mitigar
los riesgos.

PO10 Administrar proyectos: El objetivo es

establecer prioridades y entregar servicios
oportunamente y de acuerdo al presupuesto
de inversión, para ello se realiza una
identificación y priorización de los proyectos
en línea con el plan operacional por parte de
la misma organización. Además, la
organización deberá adoptar y aplicar sólidas
técnicas de administración de proyectos para
cada proyecto emprendido.

PO11 Administrar Calidad: El objetivo es

satisfacer los requerimientos del cliente.,
mediante una planeación, implementación y
mantenimiento de estándares y sistemas de
administración de calidad por parte de la
organización.
ADQUISICIÓN E AI1 Identificar Soluciones: El objetivo es
IMPLEMENTACIÓN (AI) asegurar el mejor enfoque para cumplir con
los requerimientos del usuario, mediante un
Para llevar a cabo la estrategia de análisis claro de las oportunidades
TI, las soluciones de TI deben ser alternativas comparadas contra los
identificadas, desarrolladas o requerimientos de los usuarios.
adquiridas, así como
implementadas e integradas AI2 Adquirir y Mantener Software de
dentro del proceso del negocio. Aplicación: El objetivo es proporcionar
Además, este dominio cubre los funciones automatizadas que soporten
cambios y el mantenimiento efectivamente la organización mediante
realizados a sistemas existentes. declaraciones específicas sobre
requerimientos funcionales y operacionales, y
una implementación estructurada con
entregables claros.

AI3 Adquirir y Mantener Arquitectura de TI: El

objetivo es proporcionar las plataformas
apropiadas para soportar aplicaciones de
negocios mediante la realización de una
evaluación del desempeño del hardware y
software, la provisión de mantenimiento
preventivo de hardware y la instalación,
seguridad y control del software del sistema.

AI4 Desarrollar y Mantener Procedimientos

relacionados con TI: El objetivo es asegurar el
uso apropiado de las aplicaciones y de las
soluciones tecnológicas establecidas,
mediante la realización de un enfoque
estructurado del desarrollo de manuales de
procedimientos de operaciones para usuarios,
requerimientos de servicio y material de
entrenamiento.

AI5 Instalar y Acreditar Sistemas: El objetivo

es verificar y confirmar que la solución sea
adecuada para el propósito deseado
mediante la realización de una migración de
instalación, conversión y plan de
aceptaciones adecuadamente formalizadas.

AI6 Administrar Cambios: El objetivo es

minimizar la probabilidad de interrupciones,
alteraciones no autorizadas y errores,

SERVICIOS Y SOPORTE (DS)
En este dominio se hace
referencia a la entrega de los
servicios requeridos, que abarca
desde las operaciones
tradicionales hasta el
entrenamiento, pasando por
seguridad y aspectos de
continuidad. Con el fin de proveer
servicios, deberán establecerse
los procesos de soporte
necesarios. Este dominio incluye
el procesamiento de los datos por
sistemas de aplicación,
frecuentemente clasificados como
controles de aplicación.
mediante un sistema de administración que
permita el análisis, implementación y
seguimiento de todos los cambios requeridos
y llevados a cabo a la infraestructura de TI
actual.
DS1 Definir niveles de servicio: El objetivo es
establecer una comprensión común del nivel
de servicio requerido, mediante el
establecimiento de convenios de niveles de
servicio que formalicen los criterios de
desempeño contra los cuales se medirá la
cantidad y la calidad del servicio.
DS2 Administrar Servicios de Terceros: El
objetivo es asegurar que las tareas y
responsabilidades de las terceras partes
estén claramente definidas, que cumplan y
continúen satisfaciendo los requerimientos,
mediante el establecimiento de medidas de
control dirigidas a la revisión y monitoreo de
contratos y procedimientos existentes, en
cuanto a su efectividad y suficiencia, con
respecto a las políticas de la organización.
DS3 Administrar Desempeño y Calidad: El
objetivo es asegurar que la capacidad
adecuada está disponible y que se esté
haciendo el mejor uso de ella para alcanzar el
desempeño deseado, realizando controles de
manejo de capacidad y desempeño que
recopilen datos y reporten acerca del manejo
de cargas de trabajo, tamaño de aplicaciones,
manejo y demanda de recursos.
DS4 Asegurar Servicio Continuo: El objetivo
es mantener el servicio disponible de acuerdo
con los requerimientos y continuar su
provisión en caso de interrupciones, mediante
un plan de continuidad probado y funcional,
que esté alineado con el plan de continuidad
del negocio y relacionado con los
requerimientos de negocio.

DS5 Garantizar la Seguridad de Sistemas: El

objetivo es salvaguardar la información contra
usos no autorizados, divulgación,
modificación, daño o pérdida, realizando
controles de acceso lógico que aseguren que
el acceso a sistemas, datos y programas está
restringido a usuarios autorizados.

DS6 Identificar y Asignar Costos: El objetivo

es asegurar un conocimiento correcto
atribuido a los servicios de TI realizando un
sistema de contabilidad de costos que
asegure que éstos sean registrados,
calculados y asignados a los niveles de
detalle requeridos.

DS7 Capacitar Usuarios: El objetivo es

asegurar que los usuarios estén haciendo un
uso efectivo de la tecnología y estén
conscientes de los riesgos y
responsabilidades involucrados realizando un
plan completo de entrenamiento y desarrollo.

DS8 Asistir a los Clientes de TI: El objetivo es

asegurar que cualquier problema
experimentado por los usuarios sea atendido
apropiadamente realizando una mesa de
ayuda que proporcione soporte y asesoría de
primera línea.

DS9 Administrar la Configuración: El objetivo

es dar cuenta de todos los componentes de
TI, prevenir alteraciones no autorizadas,
verificar la existencia física y proporcionar una
base para el sano manejo de cambios
realizando controles que identifiquen y
registren todos los activos de TI así como su
localización física y un programa regular de
verificación que confirme su existencia.

DS10 Administrar Problemas e Incidentes: El

objetivo es asegurar que los problemas e
incidentes sean resueltos y que sus causas
sean investigadas para prevenir que vuelvan
a suceder implementando un sistema de
manejo de problemas que registre y haga
seguimiento a todos los incidentes.

DS11 Administrar Datos: El objetivo es

asegurar que los datos permanezcan
completos, precisos y válidos durante su
entrada, actualización, salida y
almacenamiento, a través de una
combinación efectiva de controles generales y
de aplicación sobre las operaciones de TI.

DS12 Administrar Instalaciones: El objetivo es

proporcionar un ambiente físico conveniente
que proteja el equipo y al personal de TI
contra peligros naturales (fuego, polvo,
calores excesivos) o fallas humanas lo cual
se hace posible con la instalación de
controles físicos y ambientales adecuados
que sean revisados regularmente para su
funcionamiento apropiado definiendo
procedimientos que provean control de
acceso del personal a las instalaciones y
contemplen su seguridad física.

DS13 Administrar Operaciones: El objetivo es

asegurar que las funciones importantes de
soporte de TI estén siendo llevadas a cabo
regularmente y de una manera ordenada a
través de una calendarización de actividades
de soporte que sea registrada y completada
en cuanto al logro de todas las actividades.
MONITOREO (M)
Todos los procesos de una
organización necesitan ser
evaluados regularmente a través
del tiempo para verificar su
calidad y suficiencia en cuanto a
los requerimientos de control,
integridad y confidencialidad.
Fuente: tomado de auditoria en informática cun.
M1 Monitorear los procesos: El objetivo es
asegurar el logro de los objetivos establecidos
para los procesos de TI, lo cual se logra
definiendo por parte de la gerencia reportes e
indicadores de desempeño gerenciales y la
implementación de sistemas de soporte, así
como la atención regular a los reportes
emitidos.
M2 Evaluar lo adecuado del control interno.:
El objetivo es asegurar el logro de los
objetivos de control interno establecidos para
los procesos de TI.
M3 Obtener aseguramiento independiente: El
objetivo es incrementar los niveles de
confianza entre la organización, clientes y
proveedores externos. Este proceso se lleva
a cabo a intervalos regulares de tiempo.
M4 Proveer auditoría independiente: El
objetivo es incrementar los niveles de
confianza y beneficiarse de recomendaciones
basadas en mejores prácticas de su
implementación, lo que se logra con el uso de
auditorías independientes desarrolladas a
intervalos regulares de tiempo.
1.1 departamento de gerencia.

 Lista de chequeo.

LISTA DE CHEQUEO - DEPARTAMENTO DE GERENCIA

CUMPLE

CUMPLE
NO
PROCESO IDENTIFICADOR OBSERVACIONES
COBIT

PO2.1 Modelo de Tiene cronograma de

Arquitectura de actividades de la empresa
Información Identifica los modelos
Empresarial gerenciales y recurso humano
PO2.3 Esquema de la empresa.
de Clasificación La empresa aplica los
de Datos estándares de calidad
PO2.4 establecido por el ISO 9001.
Administración de Se generan capacitaciones o
Integridad cursos que mejoren las
actividades desarrolladas por
el personal
Se realizan auditorias en
todas las áreas de la empresa
PO3.2 Plan de Cuenta con material
Infraestructura computacional suficiente para
Tecnológica cuada una de las áreas de la
empresa.
AI1.2 Reporte de La empresa cuenta con
Análisis de protocolos de seguridad
Riesgos informática
 Encuesta de percepción.

1. ¿tiene como consideración principal desarrollar un cronograma de

actividades en su empresa?

SI __ NO__

2. ¿identifica claramente los riesgos que afectan a la empresa?

SI __ NO__

3. ¿Ha contratado empresas externas para desarrollar una auditoria completa

a la empresa?

SI __ NO__

4. ¿Ha realizado una auditoría interna a la empresa?

SI __ NO__

5. ¿Desarrolla un proceso adecuado de operación logístico en su empresa?

SI __ NO__
1.2 departamento de finanzas.

 Lista de chequeo.

LISTA DE CHEQUEO - DEPARTAMENTO DE FINANZAS

CUMPLE

CUMPLE
NO
PROCESO IDENTIFICADOR OBSERVACIONES
COBIT

PO2.1 Modelo de Se maneja un software para el

Arquitectura de desarrollo de las actividades
Información del departamento.
Empresarial Poseen matriz estadística en
la empresa para revisión de
PO2.3 Esquema los indicadores.
de Clasificación Con que constancia se
de Datos desarrolla inventarios de
activos y pasivos fijos.
Los tiquetes de rutas están
PO2.4 sujetas a variaciones de
Administración de precios.
Integridad Se cumple con las normas
legales en el pago de planillas
y seguridad social de sus
trabajadores.
Se presentan las planillas de
acuerdo a la ley al ministerio
de trabajo.
Los contratos de compra se
encuentran legalmente
estipulados e indicados en la
DIAN
Que nivel de endeudamiento
tiene la empresa debido al
pago de obligaciones de pago
de parafiscales

PO3.2 Plan de Poseen fondos económicos

Infraestructura para la rehabilitación,
Tecnológica mantenimiento y cambio de
equipos informáticos.
 Encuesta de percepción.

1. ¿Se relaciona este departamento con las demás áreas de desarrollo de la

empresa?

SI __ NO__

2. ¿Se desarrollan auditorías internas de las operaciones sistemáticas

realizadas en el área de finanzas?

SI __ NO__

3. ¿poseen cuentas bancarias legalmente establecidas bajo la normatividad

del estado?

SI __ NO__

4. ¿Se desarrolla un balance de cuentas de ingresos y egresos

periódicamente?

SI __ NO__

5. ¿se maneja un software para llevar el manejo de la contabilidad de la

empresa?

SI __ NO__

6. ¿el área de contabilidad posee computadores acordes de acuerdo a la

necesidad que maneja?

SI __ NO__
1.3 departamento administrativo y estadístico.

 Lista de chequeo

LISTA DE CHEQUEO - DEPARTAMENTO DE ADMINISTRACION/ ESTADISTICO

CUMPLE

CUMPLE
NO
PROCESO IDENTIFICADOR OBSERVACIONES
COBIT

PO2.1 Modelo de Se posee un manual de

Arquitectura de organización previamente
Información avalado por los entes de
Empresarial control estipulados por el
ministerio de transporte
PO2.3 Esquema Se manejan periódicamente
de Clasificación encuestas o buzón de
de Datos sugerencias para los clientes
de la empresa.
PO2.4 Se desarrolla una debida
Administración de normatividad en la empresa
Integridad La capacidad logística de la
empresa es adecuada de
acuerdo a la demanda de la
misma
PO3.2 Plan de Se maneja base de datos
Infraestructura para los libros administrativos
Tecnológica y estadísticos de la empresa
AI1.2 Reporte de Los equipos cuentan con
Análisis de respaldo informático para la
Riesgos protección de sus
operaciones administrativas.
DS13.5 Se maneja el mantenimiento
Mantenimiento adecuado para el correcto
Preventivo del desarrollo informático de la
Hardware empresa.
 Encuesta de percepción.

1. ¿se desarrollan periódicamente auditorias administrativas en la empresa?

SI __ NO__

2. ¿en que se basan al desarrollar tablas estadísticas y de control de la

empresa?

SI __ NO__

3. ¿poseen minutas de control manual para el control de actividades de la

empresa?

SI __ NO__

4. ¿Se desarrolla diagnostico para el control del cronograma de actividades?

SI __ NO__

5. ¿Se desarrolla un control periódico a la inclusión de nuevas propuestas en

las actividades de la empresa?

SI __ NO__

6. ¿El área administrativa cuenta con computadores para suplir las

necesidades de la misma?

SI __ NO__
1.4 departamento de jefe de personal, disciplinario y ético.

 Lista de chequeo.

LISTA DE CHEQUEO - DEPARTAMENTO DE JEFE DE PERSONAL, DISCIPLINARIO Y

ETICO

CUMPLE

CUMPLE
NO
PROCESO IDENTIFICADOR OBSERVACIONES
COBIT

PO2.1 Modelo de El área de personal mantiene

Arquitectura de parámetros estipulados para
Información la selección de personal
Empresarial adecuado para las
PO2.3 Esquema actividades de la empresa.
de Clasificación
de Datos
PO2.4
Administración de
Integridad
Se encuentran definidos los
parametros disciplinarios para
sancionar acciones en contra
del manual de la empresa.
Se desarrolla una adecuada
capacitación a los nuevos
empleados de la empresa
AI1.2 Reporte de Se sanciona adecuadamente
Análisis de a los responsables de la
Riesgos ejecución de un mal reporte
de análisis de riesgos.
DS13.5 Se realiza el adecuado y
Mantenimiento oportuno mantenimiento al
Preventivo del hardware de la empresa
Hardware
PO3.2 Plan de Posee la empresa un software
Infraestructura de seguridad para evitar faltas
Tecnológica eticas y disciplinarias dentro
de la empresa
Se mantiene un plan de
infraestructura acorde con la
planeación y manejo de
personal así como un manual
tecnológico que indique las
normas de la empresa.
 Encuesta de percepción.

1. ¿existe un manual etico y disciplinario dirigido a los empleados de la

empresa?

SI __ NO

2. ¿los empleados siguen a cabalidad las normas establecidas por la

empresa?

SI __ NO__

3. ¿existe un control sistemático en el área de personal en la empresa?

SI __ NO__

4. ¿se ejecutan las sanciones disciplinarias a los empleados que faltan a las
normas establecidas por la empresa?

SI __ NO__

5. ¿El jefe de personal realiza constantes seguimientos para revisar el

cumplimiento de las normas indicadas en la empresa?

SI __ NO__

6. ¿existe una respectiva base de datos de actividades disciplinarias

incumplidas por los empleados de la empresa?

SI __ NO__
 2. Diseñar y aplicar un conjunto de pruebas que permitan confirmar las
vulnerabilidades, amenazas y riesgos detectados con los instrumentos de
recolección de información.

Posibles riesgos.

 Desarrollar un barrido en la parte estructural específicamente en el área de

sistemas para verificar el empleo de software y hardware adecuados a la
empresa.
 Encuestas y listas de chequeo a cada departamento.
 Análisis de documentos de desarrollo y control de la empresa
 Análisis del respaldo sistemático del área de seguridad de la empresa.
 Evaluar las tecnologías de información tanto de hardware como del software.
 Evaluar la infraestructura tecnológica existente en la empresa.

Procedimientos a ejecutar:

 Evaluar las claves de acceso de los equipos.

 Hacer una implementación sistemática para hackear el sistema y verificar su.
confiabilidad.
 Observar la seguridad para ingresar a los sistemas individuales de los
administrativos de la empresa.
 Verificación de mantenimiento preventivo de los componentes de hardware.
 Comprobación de ingreso al sistema de los administrativos indicados a
realizar el proceso de control de la empresa.
 3. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados
para cada proceso evaluado.

PROCESO COBIT VULNERABILIDAD AMENAZAS RIESGO

PO2.1 Modelo de No existen procesos de Copia de procesos de
Arquitectura de Base de datos de la inducción para el control y acceso a bases
Información Empresarial empresa correcto manejo de de datos por parte de
PO2.3 Esquema de Mecanismos de bases de datos, asi empresas en
Clasificación de Datos verificación de normas como para la competencia.
PO2.4 Administración de para el análisis implementación de los
Integridad adecuado de datos de mismos
control.

PO3.2 Plan de . Mal manejo al Perdida de datos

Infraestructura Diseño de aplicación de implementar las irreversible en los
Tecnológica los sistemas de aplicaciones procesos de control de
información. tecnológicas. la empresa

AI1.2 Reporte de . Posible hurto de datos Perdidas de

Análisis de Riesgos Acceso autorizado a de riesgos a los cuales contraseñas y usuarios
medios electrónicos no se expone la empresa. administrativos de la
autorizados empresa

DS13.5 Mantenimiento Acceso inmediato a los Perdida de datos del Perdida de todos los
Preventivo del Hardware sistemas de la empresa. sistema tecnológico de la soportes e historia tanto
empresa administrativa como
Daños por agentes operacional de la
electrónicos en el empresa.
sistema.

4. Realizar el análisis y evaluación de riesgos para cada proceso asignado.

análisis y evaluación de los procesos.

objetivo: determinar si cumple o no con la auditoria definidos mediante el proceso

de control.

Según la auditoria.

PO2.1, PO2.3, PO2.4: En este proceso se enfocará hacia los errores que pueda
causar al usuario por el reconocimiento de información sobre los activos y pasivos
del sistema en la empresa.

PO3.2 Plan de Infraestructura Tecnológica: En este proceso se enfocará desde la

normatividad corporativa a verificar la falta de normas o reglas de la empresa de los
cuales pueden llegar a producir un gran riesgo.

AI1.2 Reporte de Análisis de Riesgos: En este proceso se enfocará en la

información y datos del sistema al que puedan estar expuestos el acceso no
autorizado o alteración de la transmisión de datos no cifrados.
DS13.5 Mantenimiento Preventivo del Hardware: En este proceso se enfocará a
diferentes fallas que pueda presentar los componentes del hardware y software,
errores de diseño, pruebas e implementación del mismo dentro del sistema.

ME2.1 Monitoreo del Marco de Trabajo de Control Interno: En este proceso se

enfocará a fallas de seguridad en el acceso y transmisión de las políticas de soporte
interno/ externo y seguridad de la red del sistema.
 5. Elaborar la matriz de riesgos de cada proceso evaluado

CUADRO DE ANALISIS Y EVALUACION DE POSIBILIDAD DE RIESGO

PROCESO ELEMENTOS DE CRIMINALIDAD SUCESOS FISICOS NEGLIGENCIA

COBIT INFORMACION
ROBO VIRUS INCENDIO ACCIDENTALIDAD MUERTE NO CIFRAR
CONTRASEÑAS
PO2.1 Modelo
de Arquitectura
de Información
Empresarial
PO2.3 Esquema
de Clasificación
de Datos
PO2.4
Administración
de Integridad

PO3.2 Plan de ----------------------------

Infraestructura
Tecnológica
AI1.2 Reporte
de Análisis de
Riesgos
DS13.5
Mantenimiento
Preventivo del
Hardware
ME2.1
Monitoreo del
Marco de
Trabajo de
Control Interno
 6. Elaborar el cuadro de tratamiento de riesgos para cada riesgo detectado.

CUADRO DE ANALISIS Y EVALUACION DE POSIBILIDAD DE RIESGO

PROCESO COBIT ELEMENTOS DE CRIMINALIDAD SUCESOS FISICOS NEGLIGENCIA

INFORMACION
ROBO VIRUS INCENDIO ACCIDENTALIDAD MUERTE NO CIFRAR
CONTRASEÑAS
PO2.1 Modelo de
Arquitectura de
Información
Empresarial
PO2.3 Esquema de
Clasificación de
Datos
PO2.4
Administración de
Integridad

PO3.2 Plan de
Infraestructura
Tecnológica
AI1.2 Reporte de
Análisis de Riesgos
DS13.5
Mantenimiento
Preventivo del
Hardware
ME2.1 Monitoreo
del Marco de
Trabajo de Control
Interno