Diseño de formatos de hallazgos y definición de controles

Inicialmente debe partir del cuadro de tratamiento de los riesgos resultante en

trabajo colaborativo anterior para cada uno de los procesos evaluados

El tratamiento de los riesgos hace referencia a la acción que se deberá ejecutar de acuerdo
con el nivel de probabilidad y ocurrencia de los riesgos encontrados, en este sentido los riesgos
pueden ser aceptados, transferidos o se debe ejercer controles sobre ellos. Para los riesgos
que se encuentran en color verde (debajo de la diagonal) como son de baja probabilidad e
impacto leve, y no causan mayores daños a la organización generalmente se aceptan, para
los riesgos que están en color amarillo (diagonal) y los riesgos que están en color rojo (encima
de la diagonal) cuya probabilidad es media o alta y el impacto es moderado o catastrófico se
debe transferir o ejercer controles. Aceptarlo significa convivir con el riesgo, transferirlo
significa que otra empresa o personal especializado se haga cargo de esos riesgos y la
empresa paga por ese servicio y ejercer control significa que debo proponer controles para
esos riesgos.

ID. Riesgo Descripción Riesgo Tratamiento Riesgo

R1 Uso inadecuado de los reguladores y falta de Controlarlo
mantenimiento de los mismos
R2 No existe sistema de protección contra cortocircuitos y Transferirlo
caídas de energía.
R3 Recarga defectuosa de los tóner de la impresora láser Controlarlo
R4 No existe políticas de administración y respaldo de Controlarlo
almacenamiento de la información
R5 No existe control ni restricciones para el manejo de la Controlarlo
información.
R14 No se cuenta con privacidad suficiente en los sitios de Aceptarlo
trabajo
R15 No hay Etiquetas de identificación y control de puntos de Aceptarlo
red
R16 Los Patch cord de modem a switch son categoría 5 Eliminarlo
mientras la mayoría del cableado es categoría 5e y 6.
R9 No se cuenta con planes de contingencia en caso de una Controlarlo
catástrofe o siniestro para salvaguardar la infraestructura.

Primero hay que elaborar el cuadro de hallazgos para cada uno de los riesgos
cuyo tratamiento sea reducirlo mediante controles o transferirlo o eliminarlo, en
el formato se describe cada uno de los riesgos detectado y probado que se
convierte el hallazgo, las posibles causas que lo originan, las consecuencias que
puede traer de llegar a ocurrir, el nivel de riesgo en que se encuentra el proceso y
las posibles soluciones o controles (preventivas, detectivas, correctivas o de
recuperación).
A continuación, se presenta el formato de hallazgos y un ejemplo aplicado.

FORMATO DE HALLAZGOS

En este formato se describe las inconsistencias encontradas. Esta información será

desglosada de la siguiente manera:

REF: Se refiere al ID del elemento.

ENTIDAD AUDITADA: En este espacio se indicará el nombre de la entidad a la cual se

le está realizando el proceso de auditoría.

PROCESO AUDITADO: En este espacio se indicará el nombre del proceso objeto de

la auditoria, para el caso será Contratación TI.

RESPONSABLES: En este espacio se indicarán los nombres del equipo auditor que
está llevando a cabo el proceso de auditoría.

MATERIAL DE SOPORTE: En este espacio se indicará el nombre del material que

soporta el proceso, para el caso será COBIT.

DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que se
está evaluando.

PROCESO: Espacio reservado para el nombre del proceso en específico que se está
auditando dentro de los dominios del COBIT.

HALLAZGO: Aquí se encontrará la descripción de cada hallazgo, así como la referencia

al cuestionario cuantitativo que lo soporta.

CONSECUENCIAS Y RIESGOS: En este apartado se encuentra la descripción de las

consecuencias del hallazgo, así como la cuantificación del riesgo encontrado.

EVIDENCIAS: Aquí encontramos en nombre de la evidencia y el número del anexo

donde ésta se encuentra o si es una entrevista o cuestionario en que cuestionario se
encuentra.

RECOMENDACIONES: En este último apartado se hace una descripción de las

recomendaciones que el equipo auditor ha presentado a las entidades auditadas.
 REF

HALLAZGO

PÁGINA
PROCESO AUDITADO Funcionamiento del aspecto físico de la red de datos
1 DE 1

RESPONSABLE Nombre del auditor responsable

MATERIAL DE SOPORTE COBIT

DOMINIO Dominio de CobIT PROCESO Proceso de CobIT

DESCRIPCIÓN HALLAZGO: Aquí se copia la descripción de cada uno de los riesgos que ya han sido
confirmados mediante pruebas y que están en el cuadro de tratamiento de los riesgos.

CAUSAS: En esta celda se debe describir las posibles causas que originan los riesgos, el identificar las
causas servirá para definir los controles que deberán atacar las causas origen de los riesgos y problemas
detectados en el proceso evaluado.

CONSECUENCIAS: Es el impacto que pueden causar esos hallazgos de llegar a concretarse los riesgos, aquí
se mencionan que activos informáticos se verán afectados con la ocurrencia del riesgo.

VALORACIÓN DEL RIESGO: En este espacio se especifica el nivel de riesgo en que se encuentra el proceso
evaluado, esta información esta en el cuestionario al aplicar la formula. Los valores pueden ser
Bajo/medio/alto

RECOMENDACIONES: Aquí se debe especificar los controles que se deben aplicar para mitigar los riesgos
encontrados.
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT): Aquí deben estar las respuestas de la
entrevista, el cuestionario aplicado, el pantallazo, el documento, el video, el reporte de una herramienta
de software, entre otros. Estas son las evidencias de las pruebas realizadas.

Ejemplo Hallazgos

Tabla Hallazgo 1

REF

HALLAZGO 1
HHDN_O1

PROCESO Funcionamiento del aspecto físico de la red de PÁGINA

AUDITADO datos 1 DE 1

RESPONSABLE Francisco Solarte

MATERIAL DE
COBIT
SOPORTE

Definir un plan
Planear y Organizar
DOMINIO PROCESO estratégico de TI
(PO)
(PO1)

DESCRIPCIÓN:

 No existe un grupo encargado de evaluar y estudiar el desempeño de la red de

datos en su aspecto físico.
 No existen políticas ni procedimientos relacionados con la conformación adecuada
de la arquitectura y del aspecto físico de la red de datos.

Esto es debido a la falta del manual de funciones donde se especifique el personal a cargo
de la red de datos ni los procedimientos que se realizaran por parte de los funcionarios.

CAUSAS: XXXXXXXXXXX
 CONSECUENCIAS:

 Al no existir un grupo encargado de evaluar y estudiar el desempeño del aspecto

físico de la red de datos se pierde la claridad para tomar decisiones pertinentes en
caso de un desempeño no aceptado de la red de datos.
 Al no existir políticas ni procedimientos relacionados con la conformación de la
arquitectura y del aspecto físico de la red de datos se pierde la opción de ajustar a
las condiciones adecuadas que necesita la entidad los servicios de red de datos.

VALORACIÓN DEL RIESGO:

 Probabilidad de ocurrencia: 56%

 Impacto según relevancia del proceso: Catastrófico

RECOMENDACIONES:

 Conformar un grupo determinado de funcionarios que evalúen y estudien el

desempeño de la red física de datos para con ello tomen decisiones oportunas y
adecuadas en la eventualidad de no cumplir objetivos planteados.
 Elaborar e implementar políticas y procedimientos relacionados con la conformación
de la arquitectura y del aspecto físico de la red de datos para ajustar los servicios
de red a las necesidades propias que necesite la entidad.

EVIDENCIAS - REF_PT:

CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)

E_AUDIO/A_CHDN_01

Hay que tener en cuenta que para cada riesgo se debe hacer un formato de hallazgos,
preferiblemente para los riesgos cuyo tratamiento sea controlarlo.
Posteriormente se toma cada una de las recomendaciones que se colocaron en los formatos
de hallazgos y se elabora el cuadro de controles y tipo de control. En el cuadro debe ir la
descripción del hallazgo, el tipo de control y la descripción de los controles propuestos. En
cuanto a los tipos de control estos pueden ser preventivos, detectivos, correctivos y de
recuperación, los controles preventivos servirán para prevenir que los riesgos se concreten y
ocasionen daños, los controles detectivos se utilizan para detectar el momento exacto en que
está concretándose los riesgos y los controles correctivos se implementan una vez haya
concretado el riesgo y haya ocasionado los daños. Para un riesgo se pueden definir uno o
varios controles, por ejemplo, un riesgo puede definirse controles preventivos y correctivos, o
preventivos solamente, o preventivos y detectivos y correctivos.

Ejemplo:

RIESGOS o TIPO DE SOLUCIONES O CONTROLES

HALLAZGOS CONTROL
ENCONTRADOS
Uso inadecuado de CORRECTIVO Capacitar al personal de la
los reguladores organización sobre la forma de utilizar
y optimizar los recursos. Si no existe
la persona indicada en la empresa
para dar la asesoría, se podría
contratar con una entidad externa.
Recarga excesiva de CORRECTIVO Concientizar al personal sobre el
los tóneres de la consumo de la impresora e invitarlos a
impresora laser implementar estrategias con el fin de
minimizar los gastos.
No existe políticas de PREVENTIVO Elaborar políticas de administración y
administración y organización de la información, lo cual
respaldo de se podría realizar a través de la
almacenamiento de contratación de un ingeniero de
la información sistemas con experiencia en manejo
de servidores y seguridad para la
realización de esta labor.
No existe control ni PREVENTIVO Control en el manejo de la información
restricciones para el analizando el alcance que debe tener
manejo de la cada empleado para poder cumplir con
información. el desarrollo de sus labores.
No existe cuenta CORRECTIVO Creación de cuentas de usuario por
propia de usuario cada empleado.
para el acceso a los
equipos.
Los empleados tienen CORRECTIVO Realizar un estudio si es viable dejar
privilegio de el privilegio de administrador en todos
los equipos o por el contrario si se
administrador en sus puede crear una cuenta diferente que
equipos contenga los privilegios necesarios
para elaborar las tareas pertinentes
con cada cargo.
Puertos USB y PREVENTIVO Deshabilitar los puertos y unidades
unidades ópticas que no son necesarias por los
habilitadas en todos empleados para desarrollar las
los equipos actividades diarias, con el fin de evitar
trasferir virus y que terceros
sustraigan información de la
organización.
No se cuenta con PREVENTIVO Elaborar y capacitar al personal sobre
planes de planes de contingencia con el fin de
contingencia en caso estar preparados en el momento de un
de una catástrofe o eventual siniestro.
siniestro para
salvaguardar la
infraestructura.
Existe solo un sitio PREVENTIVO Almacenar la información de la
para el empresa de manera automática a
almacenamiento de través de la programación de copias
la información en un servidor de respaldo.
contable y
administrativa.
No existe área de PREVENTIVO Creación de un área de informática
informática con el fin de reasignar labores y sacar
el mejor provecho del personal
existente dependiendo de su perfil
profesional.
No existe personal CORRECTIVO Contratación de una persona con los
idóneo acerca del conocimientos idóneos para el área de
manejo de la red y su informática.
funcionamiento.
No existe control para CORRECTIVO Controlar el acceso y bloqueo de
el acceso ilimitado a páginas que no brindan ningún
internet. beneficio para el desarrollo de las
actividades laborales.
Desactualización del CORRECTIVO Actualización del manual de funciones
manual de funciones por parte de los empleados de la
de los empleados. organización.
La visión de la CORRECTIVO Replantear la visión de la empresa con
empresa no tiene el fin de poder trazarse nuevos
una fecha límite para objetivos.
su cumplimiento, y
está ya se alcanzó.
No existen antivirus CORRECTIVO Compra de antivirus licenciados con el
licenciados. fin de minimizar el riesgo de
infecciones y malware en los equipos
de computo de la organización.
No existen en CORRECTIVO Adquisición de licencias para los
algunos equipos el equipos de computo u otra alternativa
sistema operativo incentivar la cultura de la utilización
licenciado. software libre “Linux”.
No existe control de CORRECTIVO Elaboración de inventarios en la
inventarios. organización, con el fin de saber con
qué bienes se cuentan y que
estrategias utilizar para el
mantenimiento de los mismos.
No existe sistema de DETECTIVO Adquisición de un sistema que permita
protección en caídas proteger los equipos en el momento
de energía.
Problemas de ruido DETECTIVO
externo
No se cuenta con DETECTIVO
privacidad suficiente
en los sitios de
trabajo
Etiquetas de CORRECTIVO Etiquetar los puntos de red con el fin
identificación y de identificar de forma más efectiva
control de puntos de en el momento que se presente algún
red inapropiadas. inconveniente en la red de datos.
Patch cord de CORRECTIVO Cambio del cableado de manera
modem a switch estándar.
categoría 5 mientras
la mayoría del
cableado es
categoría 5e y 6.