Lista de vulnerabilidades, amenazas y riesgos informáticos detectados en la

empresa propuesta agrupados por categorías

N Vulnerabilidad Amenazas Riesgo Categoría

°
1 Cuando un asesor Filtración y robo de Modificación de Seguridad
es despedido o información paquetes adquiridos por lógica
renuncia, la confidencial de hogares y empresas,
empresa demora clientes, hogares y aumentos de velocidad,
hasta un mes para empresas. paquetes adicionales
bloquear el login del etc.
usuario (credencial
de acceso).
2 Retrasos en el Aumento de clientes Incumplimiento en Seguridad
tiempo de atención en lista de espera de indicadores para clientes lógica
(ans) en solución de atención en servicio al Tigo une hogares y
ticket soporte cliente y reporte de empresas.
técnico daños.
3 Falla en hardware Falla en comunicación Suministrar información hardware
diademas, y solución en primer incorrecta, ausencia total
micrófonos, contacto. del servicio, retrasos en
teclados, mouse, la operación. 
monitores en la
operación.
4 Falta de control en Distracciones que Uso inadecuado de Seguridad
los asesores con los afectan la seguridad usuarios y contraseñas. lógica
celulares en el de la operación. 
puesto de trabajo.
5 Perdida de energía Perdida de Actualizaciones y hardware
y falta de ups en la comunicación y o configuraciones
operación.   configuración remota incompletas quedan con
con los usuarios. error.
6 Firewall confidencialidad, Pueden estar Seguridad
desactualizado integridad y expuestos a nuevos Logica
disponibilidad de la virus y malware.
información de la
organización puede Tener ataques de
quedar comprometida Hackers y ataques de
denegación de servicio.

Quedar sin soporte

para nuevas
tecnologías
emergentes.
 Tener problemas de
compatibilidad con
dispositivos finales en
la organización.
7 Credenciales de acceso Perdida de Ingreso a la red, Seguridad
con nivel de seguridad Información usuarios de dominio, Lógica
bajo

Objetivo General

Evaluar la seguridad lógica, el talento humano (empleados, seguridad, usuarios,

empleados área informática), el software instalado y el funcionamiento de la red y
los servicios de red en la empresa Emtelco CX & BPO de la ciudad de Medellín.

Objetivo 1: Conocer la seguridad lógica, el talento humano contratado por la

empresa, el software instalado, y el funcionamiento de la red de datos para
conocer los problemas existentes, analizando las vulnerabilidades y amenazas
que originan los riesgos con el propósito de obtener soluciones viables.
Objetivo 2: Elaborar el plan de auditoría para determinar actividades que se
desarrollan en la auditoria y la asignación de los recursos para cada actividad en
el tiempo, elaborar los instrumentos de recolección de información que permitan
conocer otros riesgos que no han sido detectados inicialmente, diseñar las
pruebas que permitan evidenciar los riesgos, y determinar del estándar CobIT
cuales de los procesos tienen relación directa con el objetivo general y que serán
evaluados.
Objetivo 3: Ejecutar las pruebas y aplicar los instrumentos de recolección de
información que se han diseñado para encontrar los riesgos existentes para los
procesos de CobIT relacionados directamente con los activos a evaluar, y aplicar
las listas de chequeo para verificar los controles existentes (seguridad lógica, el
talento humano (empleados, seguridad, usuarios, empleados área informática), el
software instalado y el funcionamiento de la red y los servicios de red),
posteriormente hacer el análisis y evaluación de riesgos para determinar las
posibles causas que originan los riesgos y valorar los riesgos por probabilidad e
impacto para buscar las mejores soluciones que permitan mitigarlos.
Objetivo 4: Determinar los hallazgos encontrados con sus respectivas pruebas,
elaborar el dictamen de la auditoría para cada proceso de CobIT evaluado que
permita medir el nivel de madurez de la empresa, y elaborar el informe final de los
hallazgos encontrados y las recomendaciones de solución de esos problemas en
la empresa.

Para este caso, los alcances de la auditoria serán:

De la seguridad lógica:
- Eliminación de usuarios y claves (credenciales de acceso) de los
empleados que por renuncias o despidos ya no hacen parte de la empresa.
- Resolver en el menor tiempo posible las solicitudes(ticket) realizadas por
los clientes.
- Minimizar en lo posible el uso de celulares en los puestos de trabajo.
-
-
De la red de datos se evaluará los siguientes aspectos:
- El adecuado funcionamiento de los computadores y sus periféricos.
- Suministro adecuado de electricidad y la importancia del uso de las UPS.
-
-

Del talento humano

- Cumplimiento de funciones por los empleados del área informática.
- Responsables de la seguridad física y lógica.
- Responsables de información sensible de la empresa
- Formación en seguridad de los empleados
-
-
-
la seguridad física se evaluará:
-
-
-
-
-

Metodología Objetivo 1:
 - Realizar una entrevista inicial con el encargado de administrar la red para
conocer los problemas más frecuentes en la red
- Realizar una entrevista inicial con el encargado de administrar el sistema
para determinar los problemas de seguridad física y lógica existentes.
- Obtener información sobre incidentes de seguridad física y lógica que se
hayan presentado en la empresa.
Metodología Objetivo 2:
- Elaborar el plan de auditoria de las actividades a desarrollar.
- Asignar por fases los recursos humanos, económicos, físicos y tecnológicos
para la ejecución de la auditoria.
- Elaborar formatos para la recolección de información resultado de las
entrevistas.
- Diseñar las pruebas que permitan evidenciar los riesgos.
- Definir del estándar CobiT los procesos que tienen relación con el objetivo
general.
- Ejecutar las evaluaciones a los riesgos identificados.
Metodología Objetivo 3:
-
-
-
-
-
-
-
-

Metodología Objetivo 4:
-
-
-
-
-
-
-
De la misma manera se hará para los otros objetivos específicos que han sido
planteados.
El siguiente punto en el plan de auditoría es hacer una relación de los recursos
que se necesitan para desarrollar la auditoría, los recursos pueden ser: Talento
humano que serán ustedes como auditores, los recursos físicos o sitio donde se
lleva a cabo la auditoria, los recursos tecnológicos (el hardware, cámaras,
grabadoras digitales, memorias, celulares y el software que se necesite para
pruebas) y los recursos económicos que se presentan en una tabla de
presupuesto.
Recursos humanos:
Apellidos y Nombres Roles en la Auditoria
Estudiante 1 Auditor Junior
Estudiante 2 Auditor Junior
Oscar David Aguirre Romero Líder Auditor
Estudiante 4 Auditor Junior
Estudiante 5 Auditor Junior

Recursos físicos: la auditoría se llevará a cabo en la empresa Emtelco CX &

BPO de la ciudad de Medellín específicamente en el área de las TICs.
Recursos tecnológicos: grabadora digital para entrevistas, cámara fotográfica
para pruebas que servirán de evidencia, computador portátil, software para
pruebas de auditoría sobre escaneo y tráfico en la red.
Recursos económicos:
Ítem Cantidad subtotal
Computador 2 3.000.000
Celulares de alta gama 2 1.200.000
con cámara y grabadora
de sonido.
Software para pruebas 1 500.000

Total 3.7000.000

Y finalmente se hace el cronograma de actividades, donde se determina el tiempo

de duración de cada una de las actividades programadas para cumplir los
objetivos específicos. Se representa mediante un diagrama de GANNT, para
construirlo se toman las actividades generales de cada objetivo y se especifica el
tiempo de duración de cada actividad. Para el tiempo, deben tener en cuenta la
agenda de actividades del curso.
 Mes 1 Mes 2 Mes 3
Actividad
 1  2  3  4  1  2  3  4  1  2  3  4

ACTIVIDAD 1
Objetivo 1 ACTIVIDAD 2
…….
ACTIVIDAD 3
Objetivo 2 ACTIVIDAD 4
ACTIVIDAD 5

Objetivo 3 ACTIVIDAD 6
ACTIVIDAD 7

Objetivo 4 ACTIVIDAD 8

NOTA: Revisar el ejemplo que está en el blog del curso. En el submenú de plan de
auditoria.
El link del blog es el siguiente:
http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html