Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Fase 5 - Johanna Murcia Archila
Fase 5 - Johanna Murcia Archila
TRABAJO COLABORATIVO
GRUPO 90168_17
TUTOR
FRANCISCO NICOLÁS SOLARTE
INTRODUCCIÓN ........................................................................................................................ 3
OBJETIVOS ................................................................................................................................ 4
General..................................................................................................................................... 4
Específicos .............................................................................................................................. 4
PLAN DE AUDITORIA .............................................................................................................. 5
Descripción de la empresa.................................................................................................... 5
Presupuesto: ......................................................................................................................... 11
Cronograma. ......................................................................................................................... 11
Distribución de los dominios y procesos de COBIT ........................................................ 12
Ejecución de la auditoria ..................................................................................................... 23
DS3 Administrar el desempeño y la capacidad ..................................................... 23
DS4 Garantizar la continuidad del servicio ................................................................. 29
Análisis de riesgo.............................................................................................................. 36
Tratamiento de riesgo ...................................................................................................... 38
Matriz de riesgo ................................................................................................................ 38
Resultados de la auditoria................................................................................................... 39
CONCLUSIONES..................................................................................................................... 53
REFERENCIAS BIBLIOGRÁFICAS ..................................................................................... 54
INTRODUCCIÓN
El presente trabajo comprende la unión de las fases 2,3 y 4 las cuales permitieron
los sistemas, logrando así realizar el proceso de cómo se hace y para qué sirve la
Todo el proceso, nos permitió evidenciar las causas, se relacionaron los hallazgos, a
procesamiento de estudio
OBJETIVOS
General
Específicos
Determinar las causas que originan los riesgos y resolver los problemas
mediante la definición y aplicación de controles
Evaluar las vulnerabilidades, amenazas y riesgos informáticos que la empresa
seleccionada pueda presentar
Elaborar el dictamen de la auditoría para cada uno de los procesos evaluados
teniendo en cuenta los hallazgos y controles existentes
Diseñar y aplicar los instrumentos de recolección de información
Realizar el análisis y evaluación de riesgos para cada proceso asignado.
Elaborar la matriz de riesgos de cada proceso evaluado.
Adquirir competencias de escritura al elaborar el dictamen de auditoría
Adquirir competencias comunicacionales en la sustentación de los
resultados de la auditoría
Aplicar la metodología de auditoría y conoce el estándar COBIT
PLAN DE AUDITORIA
Descripción de la empresa
Razón Social: Colegio Cooperativo Monseñor Ismael Perdomo
Convirtiendo la escuela, como parte del engranaje que estimula el desarrollo de todo
ser humano en una forma participativa, animada por procesos dinámicos de
participación entre maestros, padres de familia y comunidad, contribuyendo a
memorizar los índices de analfabetismo y deserción escolar, así como también la
pobreza en nuestro país.
Organigrama
Área de Sistemas
Ingeniero de
Rectoria
soporte
Docentes
encargados
Rectoría: Por ser el área líder del colegio, son encargados de los procesos
administrativos y decisiones en la institución.
50 equipos de cómputo,
o 40 computadores en sala de sistemas para estudiantes
o 10 portátiles para área administrativa (pagaduría, rectoría, secretaría,
celaduría, orientación y psicología)
3 impresores
1 servidor
Bases de datos de afiliados a la cooperativa, que deben ser los mismos padres
de alumnos actuales o egresados del colegio.
Cables de red para todos los equipos
Mouse, teclados, disco duro, tarjetas de red, tarjetas de vídeo y unidad de CD,
para todos los equipos de cómputo.
Plan de Auditoria
Uno de los recursos tecnológicos disponibles en las instituciones educativas son las
salas de sistemas, que abarcan un total de 50 equipos en funcionamiento diario.
Objetivos
Objetivo general.
Objetivos específicos.
Planificar la auditoría que permita identificar las condiciones actuales de las salas
de sistemas de la institución educativa.
Alcance y delimitación.
informáticos para optimizar el uso de los recursos existentes y optimizar el servicio a los
educandos.
Obsolescencia de la tecnología.
Recursos:
Presupuesto:
Ítem Valor
Útiles y Papelería $ 50.000
Equipos de Oficina. $ 300.000
Medios de almacenamiento magnético $ 50.000
Gastos generales: Cafetería, imprevistos, transporte, etc. $300.000
Pago de Honorarios (1 millón mensual x c/au) $4.000.000
Total presupuesto $4.700.000
Cronograma.
OCTUBRE NOVIEMBRE DICIEMBRE
ACTIVIDAD SEMANA SEMANA SEMANA
1 2 1 2 3 4 1 2 3 4
Estudio Preliminar
Planificar la Determinación de
auditoría Áreas Críticas de
Auditoria
Elaboración de
Programa de
Auditoria
Aplicar el
Evaluación de
modelo de
Riesgos
auditoria
Ejecución de
Pruebas y Obtención
de Evidencias
Elaboración de
Construir los
Informe
planes de
Sustentación de
mejoramiento
Informe
Distribución de los dominios y procesos de COBIT
Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI.
Estos procesos están agrupados en cuatro grandes dominios que se describen a continuación
junto con sus procesos y una descripción general de las actividades de cada uno:
Procesos:
PO1 Definición de un plan Estratégico: El objetivo es lograr un balance óptimo entre las
oportunidades de tecnología de información y los requerimientos de TI de negocio, para
asegurar sus logros futuros.
PO8 Asegurar el cumplimiento con los requerimientos Externos: El objetivo es cumplir con
obligaciones legales, regulatorias y contractuales, para ello se realiza una identificación y
análisis de los requerimientos externos en cuanto a su impacto en TI, llevando a cabo las
medidas apropiadas para cumplir con ellos.
PO9 Evaluación de riesgos: El objetivo es asegurar el logro de los objetivos de TI y responder
a las amenazas hacia la provisión de servicios de TI, mediante la participación de la propia
organización en la identificación de riesgos de TI y en el análisis de impacto, tomando medidas
económicas para mitigar los riesgos.
Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del
negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas
existentes.
Procesos:
AI5 Instalación y aceptación de los sistemas: El objetivo es verificar y confirmar que la solución
sea adecuada para el propósito deseado mediante la realización de una migración de
instalación, conversión y plan de aceptaciones adecuadamente formalizadas.
Procesos
DS1 Definición de niveles de servicio: El objetivo es establecer una comprensión común del
nivel de servicio requerido, mediante el establecimiento de convenios de niveles de servicio
que formalicen los criterios de desempeño contra los cuales se medirá la cantidad y la calidad
del servicio.
DS2 Administración de servicios prestados por terceros: El objetivo es asegurar que las tareas
y responsabilidades de las terceras partes estén claramente definidas, que cumplan y
continúen satisfaciendo los requerimientos, mediante el establecimiento de medidas de
control dirigidas a la revisión y monitoreo de contratos y procedimientos existentes, en cuanto
a su efectividad y suficiencia, con respecto a las políticas de la organización.
DS6 Educación y entrenamiento de usuarios: El objetivo es asegurar que los usuarios estén
haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y
responsabilidades involucrados realizando un plan completo de entrenamiento y desarrollo.
DS8 Apoyo y asistencia a los clientes de TI: El objetivo es asegurar que cualquier problema
experimentado por los usuarios sea atendido apropiadamente realizando una mesa de ayuda
que proporcione soporte y asesoría de primera línea.
DS11 Administración de Datos: El objetivo es asegurar que los datos permanezcan completos,
precisos y válidos durante su entrada, actualización, salida y almacenamiento, a través de
una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI.
Dominio: Monitoreo
Todos los procesos de una organización necesitan ser evaluados regularmente a través del
tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control,
integridad y confidencialidad.
Procesos
M1 Monitoreo del Proceso: El objetivo es asegurar el logro de los objetivos establecidos para
los procesos de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores
de desempeño gerenciales y la implementación de sistemas de soporte así como la atención
regular a los reportes emitidos.
M2 Evaluar lo adecuado del Control Interno: El objetivo es asegurar el logro de los objetivos
de control interno establecidos para los procesos de TI.
Objetivo
Puntos a Evaluar
-Disponibilidad de recursos de TI
-Monitoreo y reporte
Instrumentos de recolección
FUENTES DE
CONOCIMIENTO REPOSITORIO DE PRUEBAS APLICABLES
CARGO Rector
A través de planillas
¿Qué hacen para hacer la valoración del nivel del servicio prestado a los usuarios y clientes
del negocio?
A fin de año, después de finalizar clases, revisan los equipos de cómputo, accesorios,
salas de informática y evalúan cuáles componentes debe actualizar, cuándo hacerlo y el costo
involucrado.
_______________________ ______________________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA FIRMA
Lista de chequeo
LISTA DE CHEQUEO
DS3 Administrar el
Dominio Entregar y Dar Soporte (DS) Proceso Desempeño y la
Capacidad
CUESTIONARIO CUANTITATIVO
Colegio Cooperativo Monseñor
ENTIDAD AUDITADA Ismael Perdomo PAGINA
Evaluación del Desempeño y la
PROCESO AUDITADO Capacidad Actual 1 DE 1
RESPONSABLE Johanna Murcia Archila
MATERIAL DE SOPORTE COBIT 4.1
DOMINIO Entregar y Dar Soporte (DS)
DS3 Administrar el Desempeño
PROCESO AUDITADO y la Capacidad
Preguntas: SI NO NA REF FUENTE
1.1 Tiene la empresa una política
de calidad, para medir el 5
desempeño de los funcionarios
1.2 Han sido definidas y
documentadas responsabilidades y
5
autorizaciones claras para una
administración proactiva de calidad,
§ autorizaciones para controlar el
flujo de producto/servicio no 5
conforme?
§ autorizaciones para iniciar
acciones a fin de prevenir 5
problemas de calidad?
§ autorizaciones para identificar e
iniciar soluciones a problemas de 5
calidad.
1.3 Existe una Administración
Representativa global responsable 5
de temas de calidad,
2.1 Ha sido establecido un Manual
de procedimientos de las salas de 5
sistemas
2.2 Qué actividades son pertinentes
de ejecutar en estos espacios, tiene 5
conocimiento de esto
3.1 Están definidos claramente los
procedimientos de revisión de 5
bases de datos de la institución
Existe un buen manejo de los
5
usuarios y las redes del colegio
4.1 Cómo son las actividades de
diseño y desarrollo, incluyendo los
4
requerimientos de entrada y salida,
planificadas y controladas?
§ aprobación y revisión por
5
personal autorizado.
§ accesibilidad a los documentos
5
por personal apropiado.
18.1 Existe algún plan en curso de
capacitación para todo el personal
5
que desempeñan actividades que
afectan la calidad,
TOTALES 54 15
Cuestionario de control
1- ¿Existe alguna fuente de energía alterna que garantice el funcionamiento continuo del
centro de cómputo?
No
2- ¿Existe algún procedimiento, como la creación de Backus, que garantice la
recuperación de los datos en el caso de algún fallo del sistema?
Se tiene un Backup programado para ser realizado en horas de la noche
6- ¿Se lleva a cabo dentro del colegio algún tipo de registro sobre los errores más
comunes, que permita un análisis de probabilidad de ocurrencia de fallas?
Se lleva un listado de eventos ocurridos, sin embargo, no se sistematizan y
tampoco se generan estadísticas de ello
7- ¿Existe dentro del colegio algún marco de continuidad de TI que tome en cuenta la
estructura organizacional del colegio y cada uno de sus procesos?
Si existe
10- ¿Se ha desarrollado un análisis de riesgo que involucre las TI dentro de los procesos
críticos del colegio?
si
11- ¿Se lleva a cabo un proceso de comunicación a todas las áreas de la organización de
estos planes de continuidad?
Si
12- ¿Existe algún tipo de entrenamiento a los usuarios involucrados con los procesos
críticos de la organización en caso de algún altercado
Si
Lista de chequeo
Lista Chequeo
DS4 Garantizar la
Dominio Entregar y Dar Soporte (DS) Proceso Continuidad del
Servicio
FORMATO CUANTITATIVO
Con el propósito de mejorar el programa de auditorías internas y el desempeño de los
auditores internos, se solicita amablemente diligenciar el presente formato para cada uno de
los integrantes del equipo auditor. Sus aportes son muy importantes para fortalecer el
Sistema de Gestión de la Calidad.
Nombre del
Johanna Murcia Archila
auditor
Proceso
MDS 4antenimiento del Plan de Continuidad de TI.
auditado
Ciclo de
Fecha de la evaluación:
auditoría
Instrucciones: Con base en el enunciado califique su grado de acuerdo o desacuerdo
marcando con una X, donde:
4: Medianamente 2: En
6: Totalmente de acuerdo
de acuerdo desacuerdo
3: Medianamente 1: Totalmente
5: De acuerdo
en desacuerdo en desacuerdo
No. Afirmaciones 6 5 4 3 2 1
No se hace revisión de virus, troyanos Al no contar con VPN, no analiza el tráfico por VPN Ipsi, L”TP, PPTP
y espías en la VPN a través del uso y SSL en busca de software malintencionado, correo no deseado,
9 Accesos No autorizados al sistema Seguridad lógica
de sistema de usuario remoto (acceso contenidos inapropiados e infusiones.
remoto)
No se controla los permisos y No existe perfiles de usuario en el Modificación sin autorización de los datos, o de software instalado en
14 Seguridad lógica
privilegios de los usuarios sistema el sistema, incluyendo borrado de archivos.
EVALUACION DE RIESGOS
Probabilidad Impacto
Ni Descripción
Baja Media Alta Leve Moderado Catastrófico
No existen restricciones para el acceso del
R1 x x
personal externo a las salas de sistemas
Las máquinas cuentan con unas
características básicas que no permiten el
R2 x X
desarrollo óptimo en la ejecución de algunos
programas (Edición de videos)
La cobertura de las UPS no es la adecuada
R3 x x
para las caídas eléctricas
Insatisfacción por parte de los educandos con la
R4 x x
cobertura del sí fi
No se cuenta con el levantamiento de hojas de
R5 x x
vida de los pc de las salas de sistemas
La señal del internet es carente frente a las
R6 x x
necesidades de los usuarios
La intranet carece de seguridad frente a otros
R7 x x
usuarios
Se han presentado corto de elementos de las
R8 salas de sistemas o de otras instalaciones x x
asociadas en la institución
No existen responsables de los elementos de
R9 x x
las salas de sistemas
Matriz de riesgo
Alto R2 -R4-R5-
61-100% R6-R7
Medio
31-60% R1-
PROBABILIDAD
R3- R9
Bajo R8
0-30%
Leve Moderado Catastrófico
IMPACTO
Resultados de la auditoria
1- Formato de Halazgos
REF
HALLAZGO 1
R
2
PROCESO PÁGINA
DS4 Garantizar la Continuidad del
AUDITADO Servicio 1 DE 1
MATERIAL DE
COBIT
SOPORTE
CAUSAS: las máquinas son demasiado antiguas lo que ocasiona que no acepten
formatos nuevos como por ejemplo el vídeo.
VALORACIÓN DEL RIESGO: El nivel que obtuvo éste riesgo es de impacto medio,
con probabilidad Alta .
MATERIAL DE
COBIT
SOPORTE
DS4.4
Entregar y Dar Mantenimiento del
DOMINIO PROCESO
Soporte (DS) Plan de
Continuidad de TI.
REF
HALLAZGO 3
R
4
PÁGINA
PROCESO DS4 Garantizar la Continuidad del 1 DE 1
AUDITADO Servicio
RESPONSABLE JOHANNA MURCIA ARCHILA
MATERIAL DE
COBIT
SOPORTE
VALORACIÓN DEL RIESGO: El nivel que obtuvo éste riesgo es de impacto medio,
con probabilidad alta.
REF
HALLAZGO 4
R
5
PROCESO PÁGINA
DS4 Garantizar la Continuidad del
AUDITADO Servicio 1 DE 1
RESPONSABLE JOHANNA MURCIA ARCHILA
MATERIAL DE
COBIT
SOPORTE
DS4.6
Entregar y Dar Entrenamiento del
DOMINIO PROCESO
Soporte (DS) Plan de
Continuidad de TI.
VALORACIÓN DEL RIESGO: El nivel que obtuvo éste riesgo es de impacto medio,
con probabilidad alta.
REF
HALLAZGO 5
R
6
PROCESO PÁGINA
DS4 Garantizar la Continuidad del
AUDITADO Servicio 1 DE 1
DS4.9
Almacenamiento
Entregar y Dar
DOMINIO PROCESO de Respaldos
Soporte (DS)
Fuera de las
Instalaciones.
.
2- Cuadro de controles y tipo
Documentar los procesos de consulta, lecturas y facturación realizados por fuera del
software, para que sean integrados al software. Implementar registro de solicitudes de
modificaciones y diseño de soluciones y actualizaciones.
Cables expuestos Daño físico a circuitos El cableado puede ser dañado voluntaria o Hardware
accidentalmente.
No existe circuito regulado Fluctuaciones de voltaje Los picos de corriente pueden dañar los Hardware
equipos.
No hay fuente alterna de energía Cortes de energía Al fallar el servicio público de energía se Hardware
detiene la operación
Hardware sin mantenimiento Daño de equipos Al faltar el mantenimiento los equipos Hardware
acumulan mugre y contaminantes que los
pueden dañar permanentemente
No hay redundancia en las Caída del proveedor de Perdida de disponibilidad de la información en Hardware
conexiones Internet servicio caso tal que se tenga un corte por el proveedor
de servicio
No existe control de los dispositivos Introducción de información Alteración o pérdida de la información Hardware, información
de almacenamiento (USB, cd, falsa registrada en base de datos o equipos
discos)
Ausencia de cableado estructurado. Daño de los equipos e Peligro de corto circuito, sobre carga en los Hardware
infraestructura circuitos eléctricos, incendio y lesiones a el
personal
Falta de análisis al tráfico de red en Accesos no autorizados del Al no analizar el tráfico en busca de software Seguridad lógica, seguridad física
busca de actividad maliciosa sistema, fuga de malintencionado, correo no deseado,
información contenido inapropiado e intrusiones
Adquisición de software sin soporte Fallos en el sistema Incompatibilidad de los equipos de cómputo Software
del fabricante operativo, Reiterados con las funciones requeridas para el desarrollo
anuncios sobre la activación de las actividades empresariales
del sistema Operativo
Falta de capacitación del personal Fallas en la configuración de Falta de actualización y configuración Software
del área informática. los equipos adecuada del equipo por parte del personal
del área de sistemas
Uso de software no licenciado Inconvenientes legales Incurrir en actividades y prácticas ilegales, en Software
las políticas de derechos de autor.
No existe sistema de Backup Perdida de información Se puede perder información tanto histórica Seguridad lógica
como en uso y detener la operación
La empresa no cuenta con plan de Desastre natural Perdida de información Seguridad lógica
contingencia en caso de pérdida de
la información
Ausencia de planes para Desastres naturales No se realizan copias de seguridad de manera Seguridad lógica
recuperación de información periódica de la información sensible en
medios externos.
No existe proceso de revisión de Accesos no autorizados No existe directivas de contraseñas para las Seguridad lógica
contraseñas cuentas de usuario
Falta de control de cuentas de Suplantación de identidad Se encuentran activas cuentas de usuario de Seguridad lógica
usuario las contraseñas personal que ya no labora en la empresa. El
suministradas por el soporte ingreso se realiza con control de huella y la
base de datos en ocasiones no coincide
técnico no tienen mayor
cifrado o complejidad
No se controla los permisos y No existe perfiles de usuario Modificación sin autorización de los datos, o Seguridad lógica
privilegios de los usuarios en el sistema de software instalado en el sistema,
incluyendo borrado de archivos.
Los equipos no cuentan con cuentas Suplantación de identidad y Suplantación de identidad, acceso a datos Seguridad lógica
con sus respectivas contraseñas acceso de terceros sensibles por personal no autorizado
Algunos equipos no cuentan con Acceso de personal no Cualquier persona puede tener acceso a la Seguridad Lógica
contraseñas de inicio de sesión autorizado información almacenada en los equipos.
No se cuenta con un sistema de Se presenta un libre acceso Cada usuario maneja su propia información, Seguridad lógica
directorio activo a cada equipo y no se sin control al acceso o pérdida de la misma.
controla el acceso por
medio de usuarios
asignados.
La información transmitida no está Modificación Los sistemas de información disponibles no Seguridad lógica
cifrada cifran los datos cuando se están almacenando
o transmitiendo y los mismos son expuestos a
accesos no autorizados
Mal uso del correo institucional, ya Fuga de información Uso indebido del correo de electrónico para el Seguridad lógica
que no se utiliza solo para envío de información a personal externo
comunicación laboral
No hay seguimiento en la seguridad La empresa no cuenta con Inhabilidad de detección de intrusos, Seguridad lógica
de la información controles de seguridad contención y/o eliminación
informática
No se hace revisión de virus, Accesos no autorizados al Al no contar con VPN, no analiza el tráfico por Seguridad lógica
troyanos y espías en la VPN a través sistema VPN IPSec, L”TP, PPTP y SSL en busca de
del uso de sistema de usuario software malintencionado, correo no deseado,
remoto (acceso remoto) contenidos inapropiados e intusiones.
No existe un firewall activo. Accesos no autorizados La no aplicabilidad en Firewall – saber qué Seguridad lógica
puertos se deben bloquear o permitir, la forma
de interactuar con ella o es propietario de ella,
quien tiene acceso a la consola de control.
No se posee firewall No se tiene control en el Suplantación de información e intromisión Seguridad lógica
acceso a páginas web externa.
peligrosas
No hay seguimiento a los controles No existe Detección de El Ingeniero encargado la administración de Seguridad lógica
de seguridad del sistema informático intrusiones, contención y/o los sistemas de la empresa, no cumple con las
eliminación. funciones de administración de la seguridad
del sistema y tampoco tiene implementados
controles de seguridad por lo que se han
presentado ataques al sistema
Certificados de valides extendida No existen certificados de Confidencialidad para el usuario con respecto Seguridad Lógica
validez para las páginas a la autenticidad de los sitio Web por medio de
Web (EV - Extended Certificados Digitales
Validity) para comprobar la
identidad de los visitantes
Algunos equipos de cómputo no Falta de control en las Problema con actualizaciones automáticas, Seguridad Lógica
cuentan con una IP fija según el host actividades dentro de la red identificar las actividades en la red
de la empresa
Copias de Seguridad mal Perdida de Información No se pueden restablecer las copias de Seguridad Lógica
elaboradas seguridad automáticas desde los servidores a
los PC´s causando perdida de información
No se tiene un procedimiento Entrada o Accesos no Accesos no autorizados a los servidores Seguridad lógica
definido para el manejo remoto de autorizados
los servidores
Falta un procedimiento de manejo Instalación de software Problemas legales por uso de licencias e Seguridad lógica
de licencias ilegal instalaciones no permitidas
No hay un procedimiento el cual Entrada o Accesos no Accesos no autorizados de información Seguridad lógica
identifique los puertos activos en el autorizados
servidor
La conexión LAN es inalámbrica no No se tiene control del Conectarse a sitios prohibidos sin control. Seguridad lógica
administrada personal que se conecta a la
red corporativa
No hay una segmentación de la red La red es de acceso publico Acceso no autorizado a la red Manejo y control de personal, redes,
ya que los usuarios del área información
administrativa y los usuarios
normales están conectados en la
misma red y no existe un dispositivo
de control
Los usuarios del sistema no están Errores de usuario Los usuarios no cuentan con las Seguridad lógica, acceso a los datos,
capacitados en las herramientas competencias básicas para el manejo de las integridad de los datos
tecnológicas básicas herramientas tecnológicas de la empresa lo
cual puede afectar la seguridad de los equipos
y la información
No existe control en el acceso a los Alteración de la información, Los usuarios con acceso al equipo principal el Seguridad lógica, información
documentos digitales principales de accesos no autorizados a la cual se encuentra sin contraseña, pueden
la institución información acceder a los documentos importantes para la
institución
No existe un plan de evacuación Posible accidentalidad en el Daño en las personas Seguridad física
momento de una catástrofe
Instalaciones inadecuadas Daño de equipos La locación no cuenta con la adecuación para Seguridad física
servidores, rack etc.
No se cuenta con un ambiente Humano y ambiental En caso de lluvias puede dañarse por Seguridad física
apropiado del servidor físico que hay humedad. Al estar al alcance de todo el
en la compañía , se encuentra a la personal puede haber daño por estática.
vista de todos
No se cuenta con un sistema de Ambiental Daños físicos en la compañía y posibles Seguridad física
humo pérdidas de información
Internet libre Mal uso de internet Uso indiscriminado con descarga de todo tipo Software
de software que puede afectar equipos e
información
No existe un Control y monitoreo en Utilización de los recursos No existe control de acceso a direcciones de Redes
el acceso a Internet del sistema para fines no internet por parte del administrador, lo que
previstos hace insegura a la red de datos
Mala configuración de la seguridad Fallos en la red LAN Existen fallas en la seguridad y las Redes
de los dispositivos de red tales como comunicaciones originadas por la inadecuada
routers, switches configuración de los dispositivos de la red.
La configuración del router está por Acceso de terceros no Red lógica insegura redes
defecto autorizados
La prestación del servicio técnico es Atentados a las El trabajador externo puede ser una víctima Manejo y control de personal
realizado por terceros instalaciones de la empresa incógnita, indirecta y presencial a una
(vandalismo) agresión externa en contra de la Empresa.
CONCLUSIONES
En el marco de las auditorías llegan a ser muy interesantes para la mejora de calidad
y de los funcionamientos que se evalúan para llegar a mitigar los hallazgos y errores
al interior de la institución.
El desarrollo de trabajo consistió en evaluar los procesos COBIT, los cuales fueron
herramientas fundamentales y muy importantes para llevar a cabo los procesos de
la institución Auditada, por otro lado nos permiten la implementación de sistemas y
de evaluación para llegar a tener una buena optimización de sus productos
informáticos.